problème avec le Trojan Monderd

Pendragon · le 5 décembre 2008

Bonjour à tous,

J'ai actuellement un problème avec le Trojan "Monderd".

J'ai Antivir qui me bloque ce trojan au bas mot une quarantaine de fois par jour (et je ne suis pas connecté en permanence ...)

Cette désagréable surprise est survenue suite à un tchatte de mon fils sur MSN (soyons indulgent, il n'a que 11 ans, ... privé d'MSN quand même ...)

J'ai appliqué vos premiers pas pour les premières analyses. Antivir a viré quelques saloperies, de même que Bitdefender en online. J'ai passé Spybot qui a trouvé quelques spy, par contre, durant que Spybot tourné, ce trojan Monderd est devenu fou et Antivir devait lui interdire l'accés toutes les 3 secondes ... A terme de ces premières analyses, CWShredder n'a rien trouvé pour sa partie.

Je me permets donc de poster un rapport HiJackThis afin que vous m'aidiez à éradiquer ce squatter encombrant ...

Merci d'avance du temps que vous prendrez ...

Rapport HijackThis :

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 15:25:51, on 05/12/2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16735)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe

c:\APPS\Powercinema\Kernel\CLML_NTService\CLMLServer.exe

C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Apps\Softex\OmniPass\Omniserv.exe

C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe

C:\Program Files\Sonic\DigitalMedia LE v7\MyDVD LE\USBDeviceService.exe

c:\APPS\Powercinema\Kernel\TV\CLSched.exe

C:\Apps\Softex\OmniPass\OPXPApp.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\Program Files\Sonic\DigitalMedia LE v7\MyDVD LE\DetectorApp.exe

C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe

C:\Apps\Softex\OmniPass\scureapp.exe

C:\APPS\Powercinema\PCMService.exe

C:\Program Files\QuickTime\QTTask.exe

C:\Program Files\Real\RealPlayer\RealPlay.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe

C:\WINDOWS\system32\atwtusb.exe

C:\WINDOWS\V0220Mon.exe

C:\Program Files\Creative\Creative Live! Cam\VideoFX\StartFX.exe

C:\APPS\SMP\SmpSys.exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Microsoft ActiveSync\wcescomm.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\Creative\Creative Live! Cam\Live! Cam Manager\CTLCMgr.exe

C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe

C:\PROGRA~1\MICROS~3\rapimgr.exe

C:\Program Files\Windows Live\Messenger\usnsvc.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Internet Explorer\iexplore.exe

D:\Documents and Settings\Famille\Bureau\nettoyeurs et optimiseurs\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tele2.fr/internet/portail/go/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll

O3 - Toolbar: GeneaBarre, la barre d'outils de GeneaNet - {486E390A-7713-433F-A882-8B52263E595A} - C:\Program Files\GeneaBarre\GeneaBarre, la barre d'outils de GeneaNet\tbu06771\geneabarre-fr.dll

O3 - Toolbar: Pando Toolbar - {E3EA4FD9-CADE-4ae5-84F7-086EEE888BE4} - C:\Program Files\PandoBar\bar\1.bin\PANDOBAR.DLL

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [DetectorApp] C:\Program Files\Sonic\DigitalMedia LE v7\MyDVD LE\DetectorApp.exe

O4 - HKLM\..\Run: [iSUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [OmniPass] C:\Apps\Softex\OmniPass\scureapp.exe

O4 - HKLM\..\Run: [PCMService] "c:\APPS\Powercinema\PCMService.exe"

O4 - HKLM\..\Run: [iMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\Run: [AnyDVD] C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe

O4 - HKLM\..\Run: [sSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot

O4 - HKLM\..\Run: [PDF4 Registry Controller] "C:\Program Files\ScanSoft\PDF Professional 4.0\\RegistryController.exe"

O4 - HKLM\..\Run: [iSUSPM Startup] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\isuspm.exe" -startup

O4 - HKLM\..\Run: [atwtusb] atwtusb.exe beta

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [V0220Mon.exe] C:\WINDOWS\V0220Mon.exe

O4 - HKLM\..\Run: [AVFX Engine] C:\Program Files\Creative\Creative Live! Cam\VideoFX\StartFX.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKCU\..\Run: [smpcSys] C:\APPS\SMP\SmpSys.exe

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [Creative Live! Cam Manager] C:\Program Files\Creative\Creative Live! Cam\Live! Cam Manager\CTLCMgr.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: Open with ScanSoft PDF Converter 4.0 - res://C:\Program Files\ScanSoft\PDF Professional 4.0\cnvres_eng.dll /100

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll

O9 - Extra 'Tools' menuitem: Créer un favori mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll

O9 - Extra button: GeneaBarre, la barre d'outils de GeneaNet - {486E390A-7713-433F-A882-8B52263E595A} - C:\Program Files\GeneaBarre\GeneaBarre, la barre d'outils de GeneaNet\tbu06771\geneabarre-fr.dll

O9 - Extra 'Tools' menuitem: GeneaBarre, la barre d'outils de GeneaNet - {486E390A-7713-433F-A882-8B52263E595A} - C:\Program Files\GeneaBarre\GeneaBarre, la barre d'outils de GeneaNet\tbu06771\geneabarre-fr.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab

O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) -

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O16 - DPF: {87AF076E-D86D-4E87-ADDD-F05804E1F150} - https://www.vm-wl.com/DownloadManager/Relea...rod/DownMan.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/softwareupdate/su2...15105/CTPID.cab

O20 - AppInit_DLLs: hexkvh.dll qihmxx.dll

O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe

O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe

O23 - Service: CyberLink Media Library Service - Cyberlink - c:\APPS\Powercinema\Kernel\CLML_NTService\CLMLServer.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Softex OmniPass Service (omniserv) - Softex Inc. - C:\Apps\Softex\OmniPass\Omniserv.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe

O23 - Service: USBDeviceService - Unknown owner - C:\Program Files\Sonic\DigitalMedia LE v7\MyDVD LE\USBDeviceService.exe

--

End of file - 12435 bytes

pear · le 5 décembre 2008

Bonsoir,

Enregistrez le rapport antivir, svp.

Vous le posterez avec les suivants.

Téléchargez Malwarebytes' Anti-Malware (MBAM)

[branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)

Si vous utilisez Spybot

Pour désactiver TeaTimer qui ne set à rien et peut faire échouer une désinfection:!

Afficher d'abord le Mode Avancé dans SpyBot

->Options Avancées :

- >menu Mode, Mode Avancé.

Une colonne de menus apparaît dans la partie gauche :

- >cliquer sur Outils,

- >cliquer sur Résident,

Dans Résident :

- >décocher Résident "TeaTimer" pour le désactiver.

* Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.

Enregistrez le sur le bureau .

Fermer toutes les fenêtres et programmes

Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)

N'apportez aucune modification aux réglages par défaut et, en fin d'installation,

Vérifiez que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées

MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse.

cliquer sur OK pour fermer la boîte de dialogue..

* Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

Si le pare-feu demande l'autorisation à MBAM de se connecter, acceptez.

* Une fois la mise à jour terminée, allez dans l'onglet Recherche.

* Sélectionnez "Exécuter un examen complet"

* Cliquez sur "Rechercher"

* .L' analyse prendra un certain temps, soyez patient !

* A la fin , un message affichera :

L'examen s'est terminé normalement.

*Si MBAM n'a rien trouvé, il le dira aussi.

Cliquez sur "Ok" pour poursuivre.

*Fermez les navigateurs.

Cliquez sur Afficher les résultats .

*Sélectionnez tout et cliquez sur Supprimer la sélection ,

MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.

* Copiez-collez ce rapport dans la prochaine réponse.

Pendragon · le 5 décembre 2008

Merci de votre réponse

Voici le dernier rapport Antivir en date :

Avira AntiVir Personal

Report file date: vendredi 5 décembre 2008 06:56

Scanning for 1074021 virus strains and unwanted programs.

Licensed to: Avira AntiVir PersonalEdition Classic

Serial number: 0000149996-ADJIE-0001

Platform: Windows XP

Windows version: (Service Pack 3) [5.1.2600]

Boot mode: Normally booted

Username: SYSTEM

Computer name: SN117652040312

Version information:

BUILD.DAT : 8.2.0.337 16934 Bytes 18/11/2008 13:05:00

AVSCAN.EXE : 8.1.4.10 315649 Bytes 25/11/2008 17:27:05

AVSCAN.DLL : 8.1.4.0 40705 Bytes 18/07/2008 08:55:42

LUKE.DLL : 8.1.4.5 164097 Bytes 18/07/2008 08:55:42

LUKERES.DLL : 8.1.4.0 12033 Bytes 18/07/2008 08:55:42

ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 05:44:49

ANTIVIR1.VDF : 7.1.0.56 411136 Bytes 09/11/2008 16:36:40

ANTIVIR2.VDF : 7.1.0.160 571392 Bytes 30/11/2008 17:27:03

ANTIVIR3.VDF : 7.1.0.189 200192 Bytes 04/12/2008 19:07:53

Engineversion : 8.2.0.41

AEVDF.DLL : 8.1.0.6 102772 Bytes 15/10/2008 19:02:07

AESCRIPT.DLL : 8.1.1.17 336251 Bytes 04/12/2008 19:08:10

AESCN.DLL : 8.1.1.5 123251 Bytes 07/11/2008 21:36:05

AERDL.DLL : 8.1.1.3 438645 Bytes 05/11/2008 20:16:52

AEPACK.DLL : 8.1.3.4 393591 Bytes 11/11/2008 16:35:57

AEOFFICE.DLL : 8.1.0.31 196987 Bytes 04/12/2008 19:08:07

AEHEUR.DLL : 8.1.0.74 1519990 Bytes 04/12/2008 19:08:04

AEHELP.DLL : 8.1.2.0 119159 Bytes 18/11/2008 17:26:23

AEGEN.DLL : 8.1.1.6 323955 Bytes 28/11/2008 17:26:23

AEEMU.DLL : 8.1.0.9 393588 Bytes 15/10/2008 19:01:52

AECORE.DLL : 8.1.5.2 172405 Bytes 28/11/2008 17:26:20

AEBB.DLL : 8.1.0.3 53618 Bytes 15/10/2008 19:01:47

AVWINLL.DLL : 1.0.0.12 15105 Bytes 18/07/2008 08:55:42

AVPREF.DLL : 8.0.2.0 38657 Bytes 18/07/2008 08:55:42

AVREP.DLL : 8.0.0.2 98344 Bytes 31/07/2008 15:38:32

AVREG.DLL : 8.0.0.1 33537 Bytes 18/07/2008 08:55:42

AVARKT.DLL : 1.0.0.23 307457 Bytes 19/04/2008 19:02:25

AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 18/07/2008 08:55:42

SQLITE3.DLL : 3.3.17.1 339968 Bytes 19/04/2008 19:02:26

SMTPLIB.DLL : 1.2.0.23 28929 Bytes 18/07/2008 08:55:42

NETNT.DLL : 8.0.0.1 7937 Bytes 19/04/2008 19:02:26

RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 18/07/2008 08:55:39

RCTEXT.DLL : 8.0.52.0 86273 Bytes 18/07/2008 08:55:39

Configuration settings for the scan:

Jobname..........................: Complete system scan

Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp

Logging..........................: low

Primary action...................: interactive

Secondary action.................: ignore

Scan master boot sector..........: off

Scan boot sector.................: on

Boot sectors.....................: C:, D:,

Process scan.....................: on

Scan registry....................: on

Search for rootkits..............: off

Scan all files...................: All files

Scan archives....................: on

Recursion depth..................: 20

Smart extensions.................: on

Deviating archive types..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,

Macro heuristic..................: on

File heuristic...................: high

Deviating risk categories........: +APPL,+GAME,+JOKE,+PCK,+SPR,

Start of the scan: vendredi 5 décembre 2008 06:56

The scan of running processes will be started

Scan process 'avscan.exe' - '1' Module(s) have been scanned

Scan process 'avcenter.exe' - '1' Module(s) have been scanned

Scan process 'avgnt.exe' - '1' Module(s) have been scanned

Scan process 'iexplore.exe' - '1' Module(s) have been scanned

Scan process 'rundll32.exe' - '1' Module(s) have been scanned

Scan process 'WLLoginProxy.exe' - '1' Module(s) have been scanned

Scan process 'iexplore.exe' - '1' Module(s) have been scanned

Scan process 'usnsvc.exe' - '1' Module(s) have been scanned

Scan process 'rapimgr.exe' - '1' Module(s) have been scanned

Scan process 'msnmsgr.exe' - '1' Module(s) have been scanned

Scan process 'CTLCMgr.exe' - '1' Module(s) have been scanned

Scan process 'TeaTimer.exe' - '1' Module(s) have been scanned

Scan process 'wcescomm.exe' - '1' Module(s) have been scanned

Scan process 'ctfmon.exe' - '1' Module(s) have been scanned

Scan process 'GoogleToolbarNotifier.exe' - '1' Module(s) have been scanned

Scan process 'SMPSYS.EXE' - '1' Module(s) have been scanned

Scan process 'StartFX.exe' - '1' Module(s) have been scanned

Scan process 'V0220Mon.exe' - '1' Module(s) have been scanned

Scan process 'Atwtusb.exe' - '1' Module(s) have been scanned

Scan process 'AnyDVD.exe' - '1' Module(s) have been scanned

Scan process 'avgas.exe' - '1' Module(s) have been scanned

Scan process 'realplay.exe' - '1' Module(s) have been scanned

Scan process 'QTTask.exe' - '1' Module(s) have been scanned

Scan process 'PCMService.exe' - '1' Module(s) have been scanned

Scan process 'scureapp.exe' - '1' Module(s) have been scanned

Scan process 'issch.exe' - '1' Module(s) have been scanned

Scan process 'DetectorApp.exe' - '1' Module(s) have been scanned

Scan process 'RTHDCPL.exe' - '1' Module(s) have been scanned

Scan process 'explorer.exe' - '1' Module(s) have been scanned

Scan process 'wscntfy.exe' - '1' Module(s) have been scanned

Scan process 'alg.exe' - '1' Module(s) have been scanned

Scan process 'OPXPApp.exe' - '1' Module(s) have been scanned

Scan process 'CLSched.exe' - '1' Module(s) have been scanned

Scan process 'USBDeviceService.exe' - '1' Module(s) have been scanned

Scan process 'ULCDRSvr.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'StarWindService.exe' - '1' Module(s) have been scanned

Scan process 'OmniServ.exe' - '1' Module(s) have been scanned

Scan process 'nvsvc32.exe' - '1' Module(s) have been scanned

Scan process 'GoogleUpdaterService.exe' - '1' Module(s) have been scanned

Scan process 'CLMLServer.exe' - '1' Module(s) have been scanned

Scan process 'CLCapSvc.exe' - '1' Module(s) have been scanned

Scan process 'guard.exe' - '1' Module(s) have been scanned

Scan process 'AOLacsd.exe' - '1' Module(s) have been scanned

Scan process 'sched.exe' - '1' Module(s) have been scanned

Scan process 'avguard.exe' - '1' Module(s) have been scanned

Scan process 'spoolsv.exe' - '1' Module(s) have been scanned

Scan process 'aawservice.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'lsass.exe' - '1' Module(s) have been scanned

Scan process 'services.exe' - '1' Module(s) have been scanned

Scan process 'winlogon.exe' - '1' Module(s) have been scanned

Scan process 'csrss.exe' - '1' Module(s) have been scanned

Scan process 'smss.exe' - '1' Module(s) have been scanned

58 processes with 58 modules were scanned

Start scanning boot sectors:

Boot sector 'C:\'

[iNFO] No virus was found!

Boot sector 'D:\'

[iNFO] No virus was found!

Starting to scan the registry.

The registry was scanned ( '71' files ).

Starting the file scan:

Begin scan in 'C:\' <HDD>

C:\ARK7F.tmp

[DETECTION] Is the TR/Monderd.106496.1 Trojan

[WARNING] An error has occurred and the file was not deleted. ErrorID: 26003

[WARNING] The file could not be deleted!

[NOTE] Attempting to perform action using the ARK lib.

[NOTE] The file was moved to '4bcd528c.qua'!

C:\pagefile.sys

[WARNING] The file could not be opened!

C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP805\A0131833.dll

[DETECTION] Is the TR/Monderd.70656 Trojan

[NOTE] The file was moved to '4969ca1e.qua'!

C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP805\A0131834.dll

[DETECTION] Is the TR/Monderd.106496.1 Trojan

[NOTE] The file was moved to '48ef680f.qua'!

C:\WINDOWS\system32\iifcAQHW.VIR

[DETECTION] Is the TR/Monderd.39936.1 Trojan

[WARNING] An error has occurred and the file was not deleted. ErrorID: 26003

[WARNING] The file could not be deleted!

[NOTE] Attempting to perform action using the ARK lib.

[NOTE] The file was moved to '4bc9cce1.qua'!

C:\WINDOWS\system32\drivers\sptd.sys

[WARNING] The file could not be opened!

Begin scan in 'D:\' <DATA>

End of the scan: vendredi 5 décembre 2008 08:22

Used time: 1:26:58 Hour(s)

The scan has been done completely.

14763 Scanning directories

549734 Files were scanned

4 viruses and/or unwanted programs were found

0 Files were classified as suspicious:

0 files were deleted

0 files were repaired

4 files were moved to quarantine

0 files were renamed

2 Files cannot be scanned

549728 Files not concerned

12506 Archives were scanned

4 Warnings

4 Notes

Pendragon · le 5 décembre 2008

voici le rapport MBAM :

Malwarebytes' Anti-Malware 1.31

Version de la base de données: 1463

Windows 5.1.2600 Service Pack 3

05/12/2008 20:40:49

mbam-log-2008-12-05 (20-40-49).txt

Type de recherche: Examen complet (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|L:\|)

Eléments examinés: 265514

Temps écoulé: 1 hour(s), 29 minute(s), 54 second(s)

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 1

Clé(s) du Registre infectée(s): 23

Valeur(s) du Registre infectée(s): 1

Elément(s) de données du Registre infecté(s): 4

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 11

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):

C:\WINDOWS\system32\khfGyyyy.dll (Trojan.Vundo.H) -> Delete on reboot.

Clé(s) du Registre infectée(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo.H) -> Delete on reboot.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\iifcaqhw (Trojan.Vundo.H) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\CLSID\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo.H) -> Delete on reboot.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{bc17edb3-59f1-4668-a6bf-ff9871822a40} (Trojan.Vundo.H) -> Delete on reboot.

HKEY_CLASSES_ROOT\CLSID\{bc17edb3-59f1-4668-a6bf-ff9871822a40} (Trojan.Vundo.H) -> Delete on reboot.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{bc17edb3-59f1-4668-a6bf-ff9871822a40} (Trojan.Vundo) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook (Trojan.BHO) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\TypeLib\{4509d3cc-b642-4745-b030-645b79522c6d} (Trojan.BHO) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\Interface\{4897bba6-48d9-468c-8efa-846275d7701b} (Trojan.BHO) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\CLSID\{ca3eb689-8f09-4026-aa10-b9534c691ce0} (Trojan.BHO) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook.1 (Trojan.BHO) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{5dde5591-a8ab-4897-93ef-1e4e943f85a7} (Trojan.Zlob) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{cc18ae76-7e65-4258-a193-9ea0c52da6b8} (Trojan.Zlob) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{100eb1fd-d03e-47fd-81f3-ee91287f9465} (Adware.Shopping.Report) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{c5428486-50a0-4a02-9d20-520b59a9f9b2} (Adware.Shopping.Report) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{c5428486-50a0-4a02-9d20-520b59a9f9b3} (Adware.Shopping.Report) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b64f4a7c-97c9-11da-8bde-f66bad1e3f3a} (Rogue.WinAntivirus) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{00000000-0000-0000-0000-100005000004} (Rogue.Installer) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> Delete on reboot.

Elément(s) de données du Registre infecté(s):

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\khfgyyyy -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\scrfile\shell\open\command\ (Broken.OpenCommand) -> Bad: (NOTEPAD.EXE %1) Good: ("%1" /S) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\regfile\shell\open\command\ (Broken.OpenCommand) -> Bad: (NOTEPAD.EXE %1) Good: (regedit.exe "%1") -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\khfgyyyy -> Delete on reboot.

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

Fichier(s) infecté(s):

C:\WINDOWS\system32\iifcAQHW.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\khfGyyyy.dll (Trojan.Vundo.H) -> Delete on reboot.

C:\WINDOWS\system32\yyyyGfhk.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\yyyyGfhk.ini2 (Trojan.Vundo.H) -> Quarantined and deleted successfully.

D:\Documents and Settings\Famille\Local Settings\Application Data\pbbdnwfzdm_navps.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.

D:\Documents and Settings\Famille\Local Settings\Application Data\pbbdnwfzdm_nav.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.

D:\Documents and Settings\Famille\Local Settings\Application Data\pbbdnwfzdm.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.

C:\Program Files\GeneaBarre\GeneaBarre, la barre d'outils de GeneaNet\tbu06771\tbhelper.dll (Trojan.BHO) -> Quarantined and deleted successfully.

C:\ARK92.tmp (Trojan.Vundo) -> Delete on reboot.

C:\WINDOWS\system32\kqhbiwkri_navps.dat (Adware.NaviPromo) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\kqhbiwkri_nav.dat (Adware.NaviPromo) -> Quarantined and deleted successfully.

pear · le 6 décembre 2008

Bonjour,

Nettoyezles fichiers temporaires:

Télécharger AtfCleaner

et lancez le en tant qu'Administrateur

Pour activer la commande "Exécuter en tant que "sur les raccourcis , si vous n'avez pas les droits Administrateur:

1. Cliquez avec le bouton droit sur l'icône du raccourci, puis cliquez sur Propriétés.

2. Sur l'onglet Raccourci, cliquez sur Paramètres avancés.

3. Activez la case à cocher suivante :

"Cette option peut vous autoriser à exécuter ce raccourci en tant qu'autre utilisateur ou à continuer en tant que vous-même tout en protégeant votre ordinateur et vos données de programmes non autorisés"

Pour activer la commande" Exécuter en tant que" sur des objets qui ne sont pas des raccourcis :

1. Appuyez sur la touche Maj et maintenez-la enfoncée.

2. Cliquez avec le bouton droit sur l'objet que vous souhaitez ouvrir.

3. Cliquez sur Exécuter en tant que.

4. Dans la boîte de dialogue Exécuter en tant que, cliquez sur l'option" L'utilisateur suivant et tapez les références du nom d'utilisateur et mot de passe."

Si vous n'avez pas de mot de passe , validez

Si cela ne s'exécutait pas:

Démarrer ->Exécuter->Services.msc->Connexion secondaire->Démarrage Manuel

Réessayer

Désinstallez la Restauration Système.

Poste de Travail->Propriétés->Restauration Système.

Cocher la case "Désactiver la Restauration sur tous les lecteurs".

Vous la décocherez par la suite, après désinfection.

Un nouveau point de restauration sera créé au redémarrage.

Scan en ligne

NOTE: Le scan en ligne sera à faire avec Internet Explorer.

Désactiver l'antivirus actuel

Kaspersky

b]Sous Vista,il faut désactiver l'UAC, et cliquer droit sur Internet Explorer / Exécuter en tant qu'administrateur et coller l'URL de Kaspersky[/b]

http://www.kaspersky.com/kos/eng/partner/d...kavwebscan.html

Vider la corbeille.

* Cliquer sur Accept

* Une barre jaune va demander d'accepter l'installation de Kavwebscan_Unicode.cab, installer l'Active X.

* cliquer une nouvelle fois sur "Accept"

* Les bases de mises à jour vont s'installer, patienter un moment

* Cliquer sur Next.

* Cliquer sur My Computer, le scan se met en route;

attendre la fin du scan sans fermer la fenêtre sinon il s'arrêtera.

A la fin du scan, si des objets infectés sont découverts, cliquer sur Save report as... Choisirr bureau et nommer le rapport "rapport Kaspersky" et dans le champ d'enregistrement, choisir "fichiers texte" enregistrer le rapport.

Copier/coller l'entièreté du fichier texte ouvert, par clic droit dessus, sélectionner tout/copier.

Coller ce rapport dans la réponse sur le forum.

Aide en cas de problème

Cybersécurité

Pendragon · le 6 décembre 2008

voici le rapport de Kaspersky :

--------------------------------------------------------------------------------

KASPERSKY ONLINE SCANNER 7 REPORT

Saturday, December 6, 2008

Operating System: Microsoft Windows XP Home Edition Service Pack 3 (build 2600)

Kaspersky Online Scanner 7 version: 7.0.25.0

Program database last update: Saturday, December 06, 2008 14:27:54

Records in database: 1440355

--------------------------------------------------------------------------------

Scan settings:

Scan using the following database: extended

Scan archives: yes

Scan mail databases: yes

Scan area - My Computer:

C:\

D:\

E:\

F:\

G:\

H:\

I:\

J:\

L:\

Scan statistics:

Files scanned: 211782

Threat name: 1

Infected objects: 1

Suspicious objects: 0

Duration of the scan: 03:07:53

File name / Threat name / Threats count

C:\ARK9D.tmp Infected: Trojan.Win32.Monderd.gen 1

The selected area was scanned.

pear · le 7 décembre 2008

Ok, cette saleté change de nom.

Vous allez télécharger Combofix.

Ce logiciel est très puissant et ne doit pas être utilisé sans une aide compétente sous peine de risquer des dommages irréversibles.

Veuillez noter que ce logiciel est régulièrement mis à jour et que la version que vous allez charger sera obsolète dans quelques jours.

Avant de l'installer,lisez ce Mode opératoire:

Ensuite

Télécharger combofix.exe de sUBs

et sauvegardez le sur le bureau

Tout d'abord, Combofix vérifie si la Console de récupération est installée et vous propose de le faire dans le cas contraire.

La Console de récupération Windows vous permettra de démarrer dans un mode spécial de récupération (réparation).

Elle peut être nécessaire si votre ordinateur rencontre un problème après une tentative de nettoyage.

C'est une procédure simple, qui ne vous prendra que peu de temps et pourra peut-être un jour vous sauver la mise.

Après installation,vous devriez voir ce message:

The Recovery Console was successfully installed.

Fermez ou désactivez tous les programmes Antivirus, Antispyware, Pare-feu actifs car ils pourraient perturber le fonctionnement de ComboFix.

Cela est absolument nécessaire au succès de la procédure.

Bien évidemment, vous les rétablirez ensuite.

Si vous utilez Combofix pour détruire Bagle, voyez le $ 3 Renommer Combofix

*Double cliquer sur combofix.exe pour le lancer.

Ne pas fermer la fenêtre qui vient de s'ouvrir , le bureau serait vide et cela pourrait entraîner un plantage du programme!

1)La console de Récupération

Certaines infections (Rootkit en Mbr)ne peuvent être traitées qu'en utilisant la Console de Récupération,

D'importantes procédures que Combix est susceptible de lancer ne fonctionneront qu'à la condition que la console de récupération(Sous Xp) soit installée

C'est pourquoiil vous est instament conseillé d' installer d'abord la Console de Récupération sur le pc .

Les utilisateurs de Windows Vista peuvent utiliser leur CD Windows pour démarrer en mode Vista Recovery Environment (Environnement de réparation Vista)

Cela permettra de réparer le système au cas ou le pc ne redémarrerait plus suite à la désinfection.

Si c'est déjà fait, passez au point 2).

* Après avoir cliqué sur le lien correspondant à votre version de Windows, vous serez dirigé sur une page:

cliquez sur le bouton Télécharger afin de récupérer le package d'installation sur leBureau:

Ne modifiez pas le nom du fichier

Windows XP Service Pack 2 (SP2) > Microsoft Windows XP Professionnel SP2

* Faites un glisser/déposer de ce fichier sur le fichier ComboFix.exe comme sur la capture >

* Suivre les indications à l'écran pour lancer ComboFix et lorsqu'on le demande, accepter le Contrat de Licence d'Utilisateur Final pour installer la Console de Récupération Microsoft.

* Lorsque ce sera terminé, un message disant que la Console a bien été installée apparait, puis un rapport nommé CF_RC.txt va s'afficher:

postez en le contenu .

2)Lancer le scan

Connecter tous les disques amovibles (disque dur externe, clé USB…).

* Taper sur la touche 1 pour démarrer le scan.

Si pour une raison quelconque, Vista par exemple, combofix ne se lançait pas,

Démarrez en mode sans échec, choisissez le compte Administrateur, lancez Combofix

Lorsque ComboFix tourne, ne touchez plus du tout à votre ordinateur, vous risqueriez de planter le programme.

* Le scan pourrait prendre un certain temps:Soyez patient!

A la fin,,un rapport sera généré : postez en le contenu dans un prochain message.

* Si le rapport est trop long, postez le en deux fois.

Il se trouve à c:\combofix.txt

3) Renommer ComboFix

Dans certains cas, Ver Bagle par exemple,il est nécessaire de renommer ComboFix.exe en Combo-Fix.exe avant le téléchargement pour traiter l' infection.

Bagle cible tout fichier nommé ComboFix et génère un message d'erreur.

Désinstallez Combofix:

Démarrer > Exécuter ->combofix.exe /u

Valider par OK

ComboFix démarre et affiche un message disant que ComboFix est bien éliminé: cliquer sur OK.

.

Attention, par défaut, Firefox ne permet pas le renommage avant sauvegarde, utiliser plutôt IE

Pour le renommer:

Clic droit sur http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Choisir "Enregistrer la cible du lien..sous...."

Choisir le bureau

En bas, à Nom du Fichier:

Insérez un trait d'union (-) entre Combo et Fix.

Vous devez obtenir -> Combo-Fix.exe

Cliquez enfin sur -> Enregistrer

Lancez Combo-fix.exe

En cas de problème, :

méthode illustrée

Pendragon · le 7 décembre 2008

voici le rapport de combofix de ce matin :

ComboFix 08-12-06.06 - Famille 2008-12-07 11:11:34.1 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.525 [GMT 1:00]

Lancé depuis: d:\documents and settings\Famille\Bureau\ComboFix.exe

* Un nouveau point de restauration a été créé

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\windows\Downloaded Program Files\setup.inf

c:\windows\system32\csi64.dll

c:\windows\Tasks\ecwzdakh.job

.

((((((((((((((((((((((((((((( Fichiers créés du 2008-11-07 au 2008-12-07 ))))))))))))))))))))))))))))))))))))

.

2008-12-05 17:54 . 2008-12-05 17:54 <REP> d-------- d:\documents and settings\Famille\Application Data\Malwarebytes

2008-12-05 17:54 . 2008-12-05 17:54 <REP> d-------- d:\documents and settings\All Users\Application Data\Malwarebytes

2008-12-05 17:54 . 2008-12-05 17:54 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware

2008-12-05 17:54 . 2008-12-03 19:52 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys

2008-12-05 17:54 . 2008-12-03 19:52 15,504 --a------ c:\windows\system32\drivers\mbam.sys

2008-12-03 23:33 . 2008-12-03 23:33 <REP> d-------- c:\windows\report

2008-12-03 23:33 . 2008-12-03 23:32 21,230,229 --a------ c:\windows\LPT$VPN.687

2008-12-03 23:32 . 2008-12-03 23:32 <REP> d-------- c:\windows\AU_Backup

2008-12-03 23:32 . 2008-12-03 23:32 21,230,229 --a------ c:\windows\VPTNFILE.687

2008-12-03 23:32 . 2008-12-03 23:32 1,972,560 --a------ c:\windows\tsc.ptn

2008-12-03 23:32 . 2008-12-03 23:32 1,213,784 --a------ c:\windows\vsapi32.dll

2008-12-03 23:32 . 2008-12-03 23:32 345,157 --a------ c:\windows\tsc.exe

2008-12-03 23:32 . 2008-12-03 23:32 91,744 --a------ c:\windows\BPMNT.dll

2008-12-03 23:32 . 2008-12-03 23:32 71,749 --a------ c:\windows\hcextoutput.dll

2008-12-03 23:32 . 2008-12-04 17:37 823 --a------ c:\windows\tsc.ini

2008-12-03 23:27 . 2008-12-03 23:32 <REP> d-------- c:\windows\AU_Temp

2008-12-03 23:27 . 2008-12-03 23:27 <REP> d-------- c:\windows\AU_Log

2008-12-03 23:27 . 2008-12-03 23:27 507,904 --a------ c:\windows\TMUPDATE.DLL

2008-12-03 23:27 . 2008-12-03 23:27 286,720 --a------ c:\windows\PATCH.EXE

2008-12-03 23:27 . 2008-12-03 23:27 69,689 --a------ c:\windows\UNZIP.DLL

2008-12-03 23:27 . 2008-12-03 23:27 170 --a------ c:\windows\GetServer.ini

2008-12-01 21:37 . 2008-12-01 21:37 <REP> d-------- c:\program files\Lavasoft

2008-12-01 18:19 . 2008-12-01 18:19 39,936 --a------ C:\ARK9D.tmp

2008-11-30 23:32 . 2008-11-30 23:33 5,465 --a------ C:\oror.exe

2008-11-30 18:23 . 2008-11-30 18:23 1,025 --a------ C:\ous.exe

2008-11-22 18:35 . 2008-11-22 18:35 <REP> d-------- d:\documents and settings\All Users\Application Data\Apple Computer

2008-11-22 18:35 . 2008-11-22 18:35 <REP> d-------- d:\documents and settings\All Users\Application Data\Apple

2008-11-22 18:35 . 2008-11-22 18:35 <REP> d-------- c:\program files\Apple Software Update

2008-11-22 18:27 . 2008-11-22 18:27 <REP> d-------- d:\documents and settings\Famille\Application Data\Mindscape

2008-11-22 13:38 . 2008-11-23 00:32 <REP> d-------- c:\program files\GeoplanGeospace

2008-11-12 12:08 . 2008-09-04 18:16 1,106,944 --------- c:\windows\system32\dllcache\msxml3.dll

2008-11-12 12:08 . 2008-10-24 12:21 455,296 --------- c:\windows\system32\dllcache\mrxsmb.sys

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-12-06 06:54 --------- d-----w d:\documents and settings\All Users\Application Data\Google Updater

2008-12-05 21:35 --------- d-----w c:\program files\Jewel Quest 2

2008-12-05 16:58 --------- d-----w d:\documents and settings\All Users\Application Data\Spybot - Search & Destroy

2008-12-01 21:56 --------- d-----w c:\program files\Spybot - Search & Destroy

2008-12-01 20:36 --------- d-----w c:\program files\Fichiers communs\Wise Installation Wizard

2008-12-01 18:08 --------- d-----w d:\documents and settings\All Users\Application Data\Lavasoft

2008-11-28 15:29 --------- d-----w c:\program files\Dofus

2008-11-26 21:14 --------- d-----w c:\program files\eMule

2008-11-22 17:36 --------- d-----w c:\program files\QuickTime

2008-11-22 16:20 --------- d--h--w c:\program files\InstallShield Installation Information

2008-11-22 16:20 --------- d-----w c:\program files\MindScape

2008-11-15 09:22 --------- d-----w c:\program files\Fichiers communs\Adobe

2008-11-12 21:13 --------- d-----w d:\documents and settings\All Users\Application Data\Microsoft Help

2008-11-03 22:24 --------- d-----w d:\documents and settings\STFY\Application Data\OpenOffice.org2

2008-11-03 16:58 --------- d-----w d:\documents and settings\Famille\Application Data\OpenOffice.org2

2008-11-01 22:05 --------- d-----w c:\program files\Warcraft III

2008-10-31 20:33 2,829 ----a-w c:\windows\War3Unin.pif

2008-10-31 20:33 126,976 ----a-w c:\windows\War3Unin.exe

2008-10-31 15:29 --------- d-----w c:\program files\PhotoFiltre

2008-10-31 10:25 --------- d-----w d:\documents and settings\Geoffrey\Application Data\OpenOffice.org2

2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys

2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll

2008-10-16 13:13 202,776 ----a-w c:\windows\system32\dllcache\wuweb.dll

2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll

2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\dllcache\wuaueng.dll

2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll

2008-10-16 13:12 561,688 ----a-w c:\windows\system32\dllcache\wuapi.dll

2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll

2008-10-16 13:12 323,608 ----a-w c:\windows\system32\dllcache\wucltui.dll

2008-10-16 13:09 92,696 ----a-w c:\windows\system32\dllcache\cdm.dll

2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll

2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe

2008-10-16 13:09 51,224 ----a-w c:\windows\system32\dllcache\wuauclt.exe

2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll

2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll

2008-10-16 13:08 34,328 ----a-w c:\windows\system32\dllcache\wups.dll

2008-10-16 13:06 268,648 ----a-w c:\windows\system32\mucltui.dll

2008-10-16 13:06 208,744 ----a-w c:\windows\system32\muweb.dll

2008-10-15 16:35 337,408 ------w c:\windows\system32\dllcache\netapi32.dll

2008-10-03 17:12 6,066,176 ------w c:\windows\system32\dllcache\ieframe.dll

2008-09-30 15:43 1,286,152 ----a-w c:\windows\system32\msxml4.dll

2008-09-15 15:26 1,846,528 ----a-w c:\windows\system32\win32k.sys

2008-09-15 15:26 1,846,528 ------w c:\windows\system32\dllcache\win32k.sys

2008-09-10 01:15 1,307,648 ------w c:\windows\system32\msxml6.dll

2008-09-10 01:15 1,307,648 ------w c:\windows\system32\dllcache\msxml6.dll

2008-09-08 10:41 333,824 ------w c:\windows\system32\dllcache\srv.sys

2008-08-22 14:24 32,768 --sha-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008082220080823\index.dat

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

"{486E390A-7713-433F-A882-8B52263E595A}"= "c:\program files\GeneaBarre\GeneaBarre, la barre d'outils de GeneaNet\tbu06771\geneabarre-fr.dll" [2007-10-15 2265088]

"{E3EA4FD9-CADE-4ae5-84F7-086EEE888BE4}"= "c:\program files\PandoBar\bar\1.bin\PANDOBAR.DLL" [2008-06-08 266240]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]

"{486E390A-7713-433F-A882-8B52263E595A}"= "c:\program files\GeneaBarre\GeneaBarre, la barre d'outils de GeneaNet\tbu06771\geneabarre-fr.dll" [2007-10-15 2265088]

"{E3EA4FD9-CADE-4AE5-84F7-086EEE888BE4}"= "c:\program files\PandoBar\bar\1.bin\PANDOBAR.DLL" [2008-06-08 266240]

[HKEY_CLASSES_ROOT\clsid\{486e390a-7713-433f-a882-8b52263e595a}]

[HKEY_CLASSES_ROOT\geneanetx.geneanetx.3]

[HKEY_CLASSES_ROOT\TypeLib\{77AA25E8-6083-4949-A831-9CB11861DC10}]

[HKEY_CLASSES_ROOT\geneanetx.geneanetx]

[HKEY_CLASSES_ROOT\clsid\{e3ea4fd9-cade-4ae5-84f7-086eee888be4}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SmpcSys"="c:\apps\SMP\SmpSys.exe" [2005-11-17 975360]

"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-13 68856]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

"H/PC Connection Agent"="c:\program files\Microsoft ActiveSync\wcescomm.exe" [2006-06-26 1211176]

"Creative Live! Cam Manager"="c:\program files\Creative\Creative Live! Cam\Live! Cam Manager\CTLCMgr.exe" [2006-05-31 143360]

"MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-04-27 7573504]

"DetectorApp"="c:\program files\Sonic\DigitalMedia LE v7\MyDVD LE\DetectorApp.exe" [2005-10-20 102400]

"ISUSScheduler"="c:\program files\Fichiers communs\InstallShield\UpdateService\issch.exe" [2005-08-11 81920]

"OmniPass"="c:\apps\Softex\OmniPass\scureapp.exe" [2006-01-30 1978368]

"PCMService"="c:\apps\Powercinema\PCMService.exe" [2006-02-23 147456]

"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-05 208952]

"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]

"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2007-06-29 286720]

"RealTray"="c:\program files\Real\RealPlayer\RealPlay.exe" [2006-08-03 26112]

"!AVG Anti-Spyware"="c:\program files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 6731312]

"AnyDVD"="c:\program files\SlySoft\AnyDVD\AnyDVD.exe" [2007-08-24 454144]

"SSBkgdUpdate"="c:\program files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-09-30 155648]

"PDF4 Registry Controller"="c:\program files\ScanSoft\PDF Professional 4.0\\RegistryController.exe" [2006-08-22 40960]

"ISUSPM Startup"="c:\program files\Fichiers communs\InstallShield\UpdateService\isuspm.exe" [2005-08-11 249856]

"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 266497]

"V0220Mon.exe"="c:\windows\V0220Mon.exe" [2006-06-28 32768]

"AVFX Engine"="c:\program files\Creative\Creative Live! Cam\VideoFX\StartFX.exe" [2006-10-19 20480]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]

"nwiz"="nwiz.exe" [2006-04-27 c:\windows\system32\nwiz.exe]

"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2005-01-07 c:\windows\system32\HdAShCut.exe]

"RTHDCPL"="RTHDCPL.EXE" [2005-12-09 c:\windows\RTHDCPL.exe]

"atwtusb"="atwtusb.exe" [2002-03-11 c:\windows\system32\Atwtusb.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

d:\documents and settings\STFY\Menu D‚marrer\Programmes\D‚marrage\

OpenOffice.org 2.1.lnk - d:\openoffice.org 2.1\program\quickstart.exe [2006-11-27 393216]

d:\documents and settings\Famille\Menu D‚marrer\Programmes\D‚marrage\

Adobe Gamma.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2006-09-01 110592]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\OPXPGina]

2006-01-30 07:53 49152 c:\apps\Softex\OmniPass\OPXPGina.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

"AppInit_DLLs"=hexkvh.dll qihmxx.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"msacm.dvacm"= c:\progra~1\FICHIE~1\ULEADS~1\Vio\Dvacm.acm

"msacm.mpegacm"= c:\progra~1\FICHIE~1\ULEADS~1\MPEG\mpegacm.acm

"msacm.ulmp3acm"= c:\progra~1\FICHIE~1\ULEADS~1\MPEG\ulmp3acm.acm

"vidc.xvid"= xvid.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"Alcmtr"=ALCMTR.EXE

"BOOT"=c:\program files\ISSENDIS\ISSENDIS WebUpdate v6\issendiswebupdatev6.exe /BOOT

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]

"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\APPS\\skype\\phone\\Skype.exe"=

"c:\program files\Microsoft ActiveSync\rapimgr.exe"= c:\program files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager

"c:\program files\Microsoft ActiveSync\wcescomm.exe"= c:\program files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager

"c:\program files\Microsoft ActiveSync\WCESMgr.exe"= c:\program files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application

"c:\\WINDOWS\\system32\\dpnsvr.exe"=

"c:\\Program Files\\Messenger\\msmsgs.exe"=

"c:\\Program Files\\AOL 9.0\\aol.exe"=

"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"c:\\Program Files\\SightSpeed\\SightSpeed.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

"c:\\Program Files\\Microsoft Office\\Office12\\WINWORD.EXE"=

"c:\\Program Files\\Warcraft III\\Warcraft III.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

"58201:TCP"= 58201:TCP:*:Disabled:Pando P2P TCP Listening Port

"58201:UDP"= 58201:UDP:*:Disabled:Pando P2P UDP Listening Port

R3 V0220Dev;Live! Cam Video IM;c:\windows\system32\DRIVERS\V0220Dev.sys [2008-08-20 146112]

R3 V0220Vfx;V0220VFX;c:\windows\system32\DRIVERS\V0220Vfx.sys [2008-08-20 6272]

S3 utblfilt;utblfilt;c:\windows\system32\drivers\utblfilt.sys [2007-01-11 12084]

*Newly Created Service* - CATCHME

*Newly Created Service* - PROCEXP90

.

Contenu du dossier 'Tâches planifiées'

2008-12-06 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program files\Apple Software Update\SoftwareUpdate.exe [2007-06-03 13:42]

2008-12-06 c:\windows\Tasks\rpc.job

- c:\program files\Winferno\RegistryPowerCleaner\RegPowerClean.exe []

.

- - - - ORPHELINS SUPPRIMES - - - -

BHO-{78cc9229-170a-4ea1-bd59-de9b5421b241} - (no file)

BHO-{B9681B98-5AAC-4EA5-BF92-F381914BE841} - (no file)

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.tele2.fr/internet/portail/go/

uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8

uInternet Connection Wizard,ShellNext = iexplore

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

IE: Open with ScanSoft PDF Converter 4.0 - c:\program files\ScanSoft\PDF Professional 4.0\cnvres_eng.dll /100

IE: {486E390A-7713-433F-A882-8B52263E595A} - {486E390A-7713-433F-A882-8B52263E595A} - c:\program files\GeneaBarre\GeneaBarre, la barre d'outils de GeneaNet\tbu06771\geneabarre-fr.dll

c:\windows\Downloaded Program Files\oscan81.ocx_x - c:\windows\bdoscandellang.ini

c:\windows\bdoscandel.exe

c:\windows\Downloaded Program Files\live.ini

c:\windows\Downloaded Program Files\scanoptions.tsi

c:\windows\Downloaded Program Files\lang.ini

c:\windows\Downloaded Program Files\ipsupd.dll

c:\windows\Downloaded Program Files\bdupd.dll

c:\windows\Downloaded Program Files\libfn.dll

c:\windows\Downloaded Program Files\bdcore.dll

c:\windows\Downloaded Program Files\oscan8.ocx

O16 -: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499}

hxxp://www.zebulon.fr/scan8/oscan8.cab

c:\windows\Downloaded Program Files\oscan8.inf

O16 -: {87AF076E-D86D-4E87-ADDD-F05804E1F150} - hxxps://www.vm-wl.com/DownloadManager/Release/Prod/DownMan.cab

c:\windows\Downloaded Program Files\setup.inf

.

------- Associations de fichier -------

.

JSEFile=NOTEPAD.EXE %1

VBEFile=NOTEPAD.EXE %1

VBSFile=NOTEPAD.EXE %1

.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-12-07 11:14:59

Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès

Fichiers cachés: 0

**************************************************************************

.

--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(620)

c:\apps\Softex\OmniPass\opxpgina.dll

.

Heure de fin: 2008-12-07 11:16:02

ComboFix-quarantined-files.txt 2008-12-07 10:16:00

Avant-CF: 1 914 331 136 octets libres

Après-CF: 1,895,784,448 octets libres

250 --- E O F --- 2008-11-12 21:13:49

pear · le 8 décembre 2008

Bonjour,

Combo, Nettoyage

# Déconnectez-vous du net et désactivez l'antivirus (juste le temps de la procédure !)

Connecter tous les disques amovibles (disque dur externe, clé USB…).

Dans certaines circonstances , le Mode sans échec peut être nécessaire

Ouvrez Combofix

# Dans le bloc-note ,copiez-collez ces lignes :

Killall::

Folder::

File::

c:\windows\LPT$VPN.687

c:\windows\VPTNFILE.687

C:\ARK9D.tmp

C:\oror.exe

C:\ous.exe

C:\windows\system32\hexkvh.dll

C:\windows\system32\qihmxx.dll

Driver::

srosa2.sys

Rootkit::

Registry::

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

"AppInit_DLLs"=-

* Attention, ce code a été rédigé spécialement pour cet utilisateur, il serait dangereux de le réutiliser dans d'autres cas !

Enregistrez-le en lui donnant le nom CFScript.txt

* Faire un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe

* Au message qui apparait dans une fenêtre bleue ( Type 1 to continue, or 2 to abort) , taper 1 puis valider.

* Patienter le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!

Ne toucher à rien tant que le scan n'est pas terminé.

* Une fois le scan achevé, un rapport va s'afficher: poster son contenu.

* Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

Pendragon · le 8 décembre 2008

Voici le rapport combofix à la suite de la procédure enoncée ci dessus :

ComboFix 08-12-07.01 - Famille 2008-12-08 21:13:14.2 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.520 [GMT 1:00]

Lancé depuis: d:\documents and settings\Famille\Bureau\ComboFix.exe

Commutateurs utilisés :: d:\documents and settings\Famille\Bureau\CFScript.txt

* Un nouveau point de restauration a été créé

FILE ::

C:\ARK9D.tmp

C:\oror.exe

C:\ous.exe

c:\windows\LPT$VPN.687

c:\windows\system32\hexkvh.dll

c:\windows\system32\qihmxx.dll

c:\windows\VPTNFILE.687

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\ARK9D.tmp

C:\oror.exe

C:\ous.exe

c:\windows\LPT$VPN.687

c:\windows\VPTNFILE.687

.

((((((((((((((((((((((((((((( Fichiers créés du 2008-11-08 au 2008-12-08 ))))))))))))))))))))))))))))))))))))