Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

RESOLU


Messages recommandés

Ok, mais pour info, tu m'as deja fait utilise le combofix, et j'avais poste un rapport le mercredi 10 décembre dernier.

Ce qui y a de bizzare, c'est qu'apres avoir utilisé le programme "OTMoveIt3.exe"je n'ai plus trouvé le programme "combofix" sur mon bureau ni dans aucun fichiers programme. Ca l'a fait tout bonnement disparaitre.

 

Cela dit, je l'ai a nouveau telechargé, lancé, et voici son rapport (suivi d'un nouveau rapport HiJackThis):

 

********************************************************************************

*********************************************************************************

*********************************************************************************

*****

ComboFix 08-12-14.01 - rolle 2008-12-14 18:57:49.2 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.511.163 [GMT 1:00]

Lancé depuis: c:\documents and settings\rolle\Bureau\ComboFix.exe

* Un nouveau point de restauration a été créé

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\windows\system32\config\systemprofile\Application Data\ShoppingReport

c:\windows\system32\config\systemprofile\Application Data\ShoppingReport\cs\persist.dbs

 

.

((((((((((((((((((((((((((((( Fichiers créés du 2008-11-14 au 2008-12-14 ))))))))))))))))))))))))))))))))))))

.

 

2008-12-14 18:55 . 2008-12-14 18:57 <REP> d-------- C:\Qoobox

2008-12-14 18:55 . 2008-12-14 19:03 <REP> d-------- C:\ComboFix

2008-12-14 12:52 . 2008-12-14 12:52 <REP> d-------- c:\program files\Moyea

2008-12-14 10:36 . 2008-12-14 10:36 <REP> d-------- C:\_OTMoveIt

2008-12-14 10:36 . 2008-12-14 10:36 <REP> d-------- C:\_OTMoveIt

2008-12-13 17:46 . 2008-12-13 17:46 <REP> d-------- c:\documents and settings\All Users.WINDOWS\Application Data\Symantec

2008-12-10 21:10 . 2008-12-10 21:10 <REP> d--hs---- C:\RECYCLER

2008-12-10 21:01 . 2008-12-10 21:01 <REP> d-------- c:\program files\Symantec

2008-12-10 21:01 . 2008-12-10 21:01 124,464 --a------ c:\windows\system32\drivers\SYMEVENT.SYS

2008-12-10 21:01 . 2008-12-10 21:01 60,808 --a------ c:\windows\system32\S32EVNT1.DLL

2008-12-10 21:01 . 2008-12-10 21:01 35,888 -ra------ c:\windows\system32\drivers\SymIM.sys

2008-12-10 21:01 . 2008-12-10 21:01 10,635 --a------ c:\windows\system32\drivers\SYMEVENT.CAT

2008-12-10 21:01 . 2008-12-10 21:01 806 --a------ c:\windows\system32\drivers\SYMEVENT.INF

2008-12-10 21:00 . 2008-12-13 17:39 <REP> d-------- c:\windows\system32\drivers\NIS

2008-12-10 21:00 . 2008-12-10 21:00 <REP> d-------- c:\program files\Windows Sidebar

2008-12-10 21:00 . 2008-12-10 21:00 <REP> d-------- c:\program files\Norton Internet Security

2008-12-10 20:59 . 2008-12-10 20:59 <REP> d-------- c:\program files\NortonInstaller

2008-12-10 20:06 . 2008-12-10 20:06 <REP> drahs---- C:\cmdcons

2008-12-10 19:59 . 2008-12-10 20:01 <REP> d-------- C:\32788R22FWJFW.0.tmp

2008-12-10 19:59 . 2008-12-10 20:01 <REP> d-------- C:\32788R22FWJFW.0.tmp

2008-12-08 22:23 . 2008-12-08 22:23 6,144 --a------ c:\windows\GnuHashes.ini

2008-12-08 22:16 . 2008-12-08 22:16 1,718 --ahs---- c:\windows\system32\GroupPolicy000.dat

2008-12-08 22:15 . 2008-12-08 22:15 373,760 --ahs---- c:\windows\system32\36.tmp

2008-12-08 22:15 . 2008-12-14 10:36 135,168 --a------ c:\windows\system32\dsauth32.dll

2008-12-08 21:50 . 2008-12-14 16:41 <REP> d-------- c:\documents and settings\rolle\Application Data\LimeWire

2008-12-08 14:28 . 2008-12-08 14:28 <REP> d-------- c:\program files\LimeWire

2008-12-08 03:17 . 2008-12-11 22:53 2,100 --a------ c:\documents and settings\All Users.BAK

2008-12-08 03:14 . 2008-12-08 03:14 <REP> d-------- c:\documents and settings\All Users.WINDOWS\Application Data\NortonInstaller

2008-12-08 03:14 . 2008-12-10 21:00 <REP> d-------- c:\documents and settings\All Users.WINDOWS\Application Data\Norton

2008-12-07 23:56 . 2008-12-10 19:51 <REP> d-------- c:\program files\Navilog1

2008-12-07 23:49 . 2008-12-07 23:51 <REP> d-------- c:\program files\Yahoo!

2008-12-07 17:08 . 2008-12-07 17:08 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware

2008-12-07 17:08 . 2008-12-07 17:08 <REP> d-------- c:\documents and settings\rolle\Application Data\Malwarebytes

2008-12-07 17:08 . 2008-12-07 17:08 <REP> d-------- c:\documents and settings\All Users.WINDOWS\Application Data\Malwarebytes

2008-12-07 17:08 . 2008-12-03 19:52 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys

2008-12-07 17:08 . 2008-12-03 19:52 15,504 --a------ c:\windows\system32\drivers\mbam.sys

2008-12-03 21:01 . 2008-10-24 12:10 453,632 -----c--- c:\windows\system32\dllcache\mrxsmb.sys

2008-11-24 19:05 . 2008-11-29 01:58 <REP> d-------- c:\documents and settings\rolle\Application Data\Twain

2008-11-24 14:06 . 2008-11-24 20:16 <REP> d-------- c:\windows\system32\vp2

2008-11-24 14:06 . 2008-11-24 20:14 <REP> d-------- c:\windows\system32\NX

2008-11-24 14:06 . 2008-12-06 00:40 <REP> d-------- C:\Temp

2008-11-24 14:06 . 2008-12-06 00:40 <REP> d-------- C:\Temp

2008-11-23 23:56 . 2008-11-23 23:56 147,456 --a------ c:\windows\system32\vbzip10.dll

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-12-13 17:28 --------- d-----w c:\program files\bwin

2008-12-11 18:16 --------- d-----w c:\program files\Fichiers communs\Symantec Shared

2008-11-25 21:38 --------- d-----w c:\program files\Java

2008-11-05 20:41 --------- d-----w c:\program files\Everest Poker

2008-11-02 13:55 --------- d-----w c:\documents and settings\rolle\Application Data\Moyea

2008-10-24 11:10 453,632 ----a-w c:\windows\system32\drivers\mrxsmb.sys

2008-09-29 05:00 75 ----a-w c:\windows\Fonts\verdanaz._ttf

2008-09-28 20:52 264 ----a-w c:\windows\Fonts\webdings._ttf

2007-02-20 19:47 41,992 -c--a-w c:\documents and settings\rolle\Application Data\GDIPFONTCACHEV1.DAT

2006-09-11 00:29 278,528 -c--a-w c:\program files\Fichiers communs\FDEUnInstaller.exe

.

 

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-05 15360]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"eabconfg.cpl"="c:\program files\HPQ\Quick Launch Buttons\EabServr.exe" [2004-08-19 290816]

"Cpqset"="c:\program files\HPQ\Default Settings\cpqset.exe" [2004-03-01 200766]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2004-04-08 4730880]

"Apoint"="c:\program files\Apoint2K\Apoint.exe" [2003-10-08 159744]

"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]

"ISUSScheduler"="c:\program files\Fichiers communs\InstallShield\UpdateService\issch.exe" [2004-06-16 81920]

"ISUSPM Startup"="c:\progra~1\FICHIE~1\INSTAL~1\UPDATE~1\isuspm.exe" [2004-06-16 221184]

"AGRSMMSG"="AGRSMMSG.exe" [2004-09-04 c:\windows\AGRSMMSG.exe]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\6c37c379511]

2008-12-14 10:36 135168 c:\windows\system32\dsauth32.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"VIDC.I420"= i263_32.drv

"msacm.g723"= g723.acm

"vidc.I263"= I263_32.drv

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SoftwareDistribution32]

@="Service"

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM Startup]

--a------ 2004-06-16 06:03 221184 c:\progra~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechCommunicationsManager]

--a------ 2006-10-31 00:03 284184 c:\program files\Fichiers communs\Logitech\LComMgr\Communications_Helper.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechQuickCamRibbon]

--a------ 2006-11-15 20:58 746520 c:\program files\Logitech\QuickCam10\QuickCam10.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LVCOMSX]

--a------ 2006-11-15 21:01 244512 c:\program files\Fichiers communs\Logitech\LComMgr\LVComSX.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UnlockerAssistant]

--a------ 2006-09-07 18:19 15872 c:\program files\Unlocker\UnlockerAssistant.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UpdateManager]

--a------ 2003-08-19 00:01 110592 c:\program files\Fichiers communs\Sonic\Update Manager\sgtray.exe

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Messenger\\msmsgs.exe"=

"c:\\StubInstaller.exe"=

"c:\\WINDOWS\\system32\\dpvsetup.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\LimeWire\\LimeWire.exe"=

"c:\\WINDOWS\\system32\\dplaysvr.exe"=

"c:\\Documents and Settings\\rolle\\Bureau\\Age Of Empire II\\empires2.exe"=

"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=

"c:\\Program Files\\MSN Messenger\\livecall.exe"=

"c:\\Documents and Settings\\rolle\\Bureau\\Age Of Empire II\\age2_x1.exe"=

 

R0 SymEFA;Symantec Extended File Attributes;\SystemRoot\\SystemRoot\System32\Drivers\NIS\1001000.021\SYMEFA.SYS []

R1 BHDrvx86;Symantec Heuristics Driver;c:\windows\system32\Drivers\NIS\1001000.021\BHDrvx86.sys [2008-12-12 255536]

R1 ccHP;Symantec Hash Provider;c:\windows\system32\Drivers\NIS\1001000.021\ccHPx86.sys [2008-12-12 362544]

R1 IDSxpx86;IDSxpx86;\??\c:\documents and settings\All Users.WINDOWS\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\ipsdefs\20081210.002\IDSxpx86.sys [2008-12-11 274808]

R2 LF30FS;LF30FS;\??\c:\program files\Everstrike Software\ XP 3.6\LF30XP.sys [2004-11-19 101488]

R2 Norton Internet Security;Norton Internet Security;"c:\program files\Norton Internet Security\Engine\16.1.0.33\ccSvcHst.exe" /s "Norton Internet Security" /m "c:\program files\Norton Internet Security\Engine\16.1.0.33\diMaster.dll" /prefetch:1 []

R3 EraserUtilRebootDrv;EraserUtilRebootDrv;\??\c:\program files\Fichiers communs\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [2008-12-11 99376]

S2 DComEx;COM+ System Executer;c:\windows\System32\SoftwareDistribution32\mmc.exe []

S2 SoftwareDistribution32;Software Distribution;c:\windows\Rootdistribution32.exe []

S3 Philipscam2;Caméra numérique Philips 646 ; Vidéo;c:\windows\system32\DRIVERS\philcam1.sys [2006-10-19 75776]

 

*Newly Created Service* - CATCHME

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.google.fr/

mStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_FR&c=Q105&bd=pavilion&pf=laptop

uInternet Connection Wizard,ShellNext = iexplore

.

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-12-14 19:02:49

Windows 5.1.2600 Service Pack 2 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

Cpqset = c:\program files\HPQ\Default Settings\cpqset.exe????????5?7?9?0??p???? ???B???????????????B? ??????

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

 

[HKEY_LOCAL_MACHINE\system\ControlSet002\Services\Norton Internet Security]

"ImagePath"="\"c:\program files\Norton Internet Security\Engine\16.1.0.33\ccSvcHst.exe\" /s \"Norton Internet Security\" /m \"c:\program files\Norton Internet Security\Engine\16.1.0.33\diMaster.dll\" /prefetch:1"

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'winlogon.exe'(1172)

c:\windows\System32\dsauth32.dll

c:\windows\system32\WININET.dll

.

Heure de fin: 2008-12-14 19:05:37

ComboFix-quarantined-files.txt 2008-12-14 18:04:55

 

Avant-CF: 27 667 947 520 octets libres

Après-CF: 27,663,372,288 octets libres

 

164

 

********************************************************************************

*********************************************************************************

*********************************************************************************

******

 

Rapport HiJackThis (il semble que la methode brusque n'ait pas marché): J'ai tjrs qq pop up de "scan PC" moins virulents qu'avant... mais ils sont tjrs la.

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:15:19, on 12/14/08

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\CDBurnerXP\NMSAccessU.exe

C:\Program Files\Norton Internet Security\Engine\16.1.0.33\ccSvcHst.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\vssvc.exe

C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe

C:\Program Files\Apoint2K\Apoint.exe

C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe

C:\WINDOWS\AGRSMMSG.exe

C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe

C:\Program Files\Apoint2K\Apntex.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\Program Files\Norton Internet Security\Engine\16.1.0.33\ccSvcHst.exe

C:\WINDOWS\System32\svchost.exe

C:\Documents and Settings\rolle\Bureau\iexplore.exe

C:\WINDOWS\explorer.exe

C:\Documents and Settings\rolle\Bureau\HiJackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&a...n&pf=laptop

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: Symantec NCO BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Program Files\Norton Internet Security\Engine\16.1.0.33\coIEPlg.dll

O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Program Files\Norton Internet Security\Engine\16.1.0.33\IPSBHO.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O2 - BHO: Catcher Class - {ADECBED6-0366-4377-A739-E69DFBA04663} - C:\Program Files\Moyea\FLV Downloader\MoyeaCth.dll (file missing)

O3 - Toolbar: Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Program Files\Norton Internet Security\Engine\16.1.0.33\coIEPlg.dll

O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start

O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [iSUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [iSUSPM Startup] c:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\isuspm.exe -startup

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O20 - Winlogon Notify: 6c37c379511 - C:\WINDOWS\System32\dsauth32.dll

O23 - Service: COM+ System Executer (DComEx) - Unknown owner - C:\WINDOWS\System32\SoftwareDistribution32\mmc.exe (file missing)

O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Program Files\HPQ\SHARED\HPQWMI.exe

O23 - Service: iPod Service (iPodService) - Unknown owner - C:\Program Files\iPod\bin\iPodService.exe (file missing)

O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe

O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Fichiers communs\Logitech\SrvLnch\SrvLnch.exe

O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe

O23 - Service: Norton Internet Security - Symantec Corporation - C:\Program Files\Norton Internet Security\Engine\16.1.0.33\ccSvcHst.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Software Distribution (SoftwareDistribution32) - Unknown owner - C:\WINDOWS\Rootdistribution32.exe (file missing)

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: StarWind AE Service (StarWindServiceAE) - Unknown owner - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe (file missing)

O24 - Desktop Component 0: (no name) - http://www.glenatbd.com/dyn/glenat/upload/...ran/224-800.jpg

 

--

End of file - 5950 bytes

Lien vers le commentaire
Partager sur d’autres sites

Ben il en reste, ça revient là.

 

 

:!: Ce qui suit n'est que pour ta machine, et ta machine seulement.

Ne surtout pas utiliser sur une autre machine : dangereux.

 

  • Désactive ton antivirus, il peut gêner.
  • Ouvre le Bloc-notes. Vérifie que dans le menu "Format", le "retour automatique à la ligne" est désactivé. Copie colle ceci dedans :

Killall::

file::

c:\windows\system32\dsauth32.dll

 

folder::

c:\documents and settings\rolle\Application Data\Twain

c:\program files\Everest Poker

 

Registry::

[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\6c37c379511]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SoftwareDistribution32]

 

driver::

SoftwareDistribution32

DComEx

  • Sauvegarde cela comme fichier texte nommé CFScript, sur le bureau.
     
  • Fais un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe comme sur la capture

img-2258535my8h.gif

  • Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
  • Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
  • Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

 

Ensuite ajoute un nouveau rapport HijackThis stp après ce rapport là, et réactive ton antivirus.

Lien vers le commentaire
Partager sur d’autres sites

c'est fait...

Je precise que pendant le deroulement de l'opération certains messages sont apparus:

 

Dans la fenêtre "FIND3M": "FINDSTR: impossible d'ouvrir temp01"

 

Et puis qq secondes apres, un message d'erreur dans une autre fenetre erreur: "Impossible d'exploiter RegRuns00: erreur d'ouverture du fichier. Il pourrait y avoir une erreur de disque ou de fichier system"

 

Sinon, le programme a continué son deroulement et voici le rapport "COMBOFIX", suivi d'un rapport "HiJackThis":

 

COMBOFIX:

********************************************************************************

*******************************************

ComboFix 08-12-14.01 - rolle 2008-12-14 22:24:49.3 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.511.234 [GMT 1:00]

Lancé depuis: c:\documents and settings\rolle\Bureau\ComboFix.exe

Commutateurs utilisés :: c:\documents and settings\rolle\Bureau\CFScript.txt

* Un nouveau point de restauration a été créé

 

FILE ::

c:\windows\system32\dsauth32.dll

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\documents and settings\rolle\Application Data\Twain

c:\program files\Everest Poker

c:\program files\Everest Poker\casino.exe

c:\program files\Everest Poker\cstart-tmp.exe

c:\program files\Everest Poker\cstart.exe

c:\program files\Everest Poker\data\fonts\kgp-en.ttf

c:\program files\Everest Poker\data\mp-lobby\fr.gvt

c:\program files\Everest Poker\data\mp-lobby\shared.gvt

c:\program files\Everest Poker\data\mp-poker\background\black.gvt

c:\program files\Everest Poker\data\mp-poker\background\china.gvt

c:\program files\Everest Poker\data\mp-poker\background\default.gvt

c:\program files\Everest Poker\data\mp-poker\background\garden.gvt

c:\program files\Everest Poker\data\mp-poker\background\hawaii.gvt

c:\program files\Everest Poker\data\mp-poker\background\japan.gvt

c:\program files\Everest Poker\data\mp-poker\background\kitchen.gvt

c:\program files\Everest Poker\data\mp-poker\background\med.gvt

c:\program files\Everest Poker\data\mp-poker\background\woods.gvt

c:\program files\Everest Poker\data\mp-poker\fr\bitmaps.gvt

c:\program files\Everest Poker\data\mp-poker\fr\mp-poker_strings.txt

c:\program files\Everest Poker\data\mp-poker\fr\mp-poker_tutorial.txt

c:\program files\Everest Poker\data\mp-poker\shared.gvt

c:\program files\Everest Poker\data\shared\fr\country.txt

c:\program files\Everest Poker\data\shared\fr\language.txt

c:\program files\Everest Poker\data\shared\fr\ordinal.txt

c:\program files\Everest Poker\data\shared\shared\bitmaps\btn_scroll.gvt

c:\program files\Everest Poker\data\shared\shared\bitmaps\check.art

c:\program files\Everest Poker\data\shared\shared\bitmaps\chips.art

c:\program files\Everest Poker\data\shared\shared\sounds\button.ogg

c:\program files\Everest Poker\data\shared\shared\sounds\carddeal.ogg

c:\program files\Everest Poker\data\shared\shared\sounds\cardflip.ogg

c:\program files\Everest Poker\data\shared\shared\sounds\chipclick.ogg

c:\program files\Everest Poker\data\startup\en\startup_strings.txt

c:\program files\Everest Poker\data\startup\fr\cstart.txt

c:\program files\Everest Poker\data\startup\fr\startup_strings.txt

c:\program files\Everest Poker\data\startup\shared\bitmaps\splash_poker.art

c:\program files\Everest Poker\data\startup\shared\icons\ep.ico

c:\program files\Everest Poker\data\startup\shared\sounds\alert.ogg

c:\program files\Everest Poker\Everest Poker.exe

c:\program files\Everest Poker\gvbase.dll

c:\program files\Everest Poker\gvcrt.dll

c:\program files\Everest Poker\gvgfx-dib.dll

c:\program files\Everest Poker\gvgfx.dll

c:\program files\Everest Poker\gvmain.dll

c:\program files\Everest Poker\gvmain.exe

c:\program files\Everest Poker\gvnetwork.dll

c:\program files\Everest Poker\gvsound.dll

c:\program files\Everest Poker\history\1381.txt

c:\program files\Everest Poker\history\1382.txt

c:\program files\Everest Poker\history\1383.txt

c:\program files\Everest Poker\history\1386.txt

c:\program files\Everest Poker\history\1387.txt

c:\program files\Everest Poker\history\1388.txt

c:\program files\Everest Poker\history\1389.txt

c:\program files\Everest Poker\history\1390.txt

c:\program files\Everest Poker\history\1391.txt

c:\program files\Everest Poker\history\1392.txt

c:\program files\Everest Poker\history\1393.txt

c:\program files\Everest Poker\history\1394.txt

c:\program files\Everest Poker\history\1395.txt

c:\program files\Everest Poker\history\1396.txt

c:\program files\Everest Poker\history\1397.txt

c:\program files\Everest Poker\history\1398.txt

c:\program files\Everest Poker\history\1402.txt

c:\program files\Everest Poker\history\1403.txt

c:\program files\Everest Poker\history\1404.txt

c:\program files\Everest Poker\history\1405.txt

c:\program files\Everest Poker\history\1406.txt

c:\program files\Everest Poker\history\1407.txt

c:\program files\Everest Poker\history\1408.txt

c:\program files\Everest Poker\history\1409.txt

c:\program files\Everest Poker\history\1411.txt

c:\program files\Everest Poker\history\1412.txt

c:\program files\Everest Poker\history\1414.txt

c:\program files\Everest Poker\history\1416.txt

c:\program files\Everest Poker\history\1417.txt

c:\program files\Everest Poker\history\1418.txt

c:\program files\Everest Poker\history\1420.txt

c:\program files\Everest Poker\history\1422.txt

c:\program files\Everest Poker\history\1424.txt

c:\program files\Everest Poker\history\1425.txt

c:\program files\Everest Poker\history\1426.txt

c:\program files\Everest Poker\history\1427.txt

c:\program files\Everest Poker\history\1429.txt

c:\program files\Everest Poker\history\1430.txt

c:\program files\Everest Poker\history\1431.txt

c:\program files\Everest Poker\history\1439.txt

c:\program files\Everest Poker\history\1441.txt

c:\program files\Everest Poker\history\1443.txt

c:\program files\Everest Poker\history\1444.txt

c:\program files\Everest Poker\history\1445.txt

c:\program files\Everest Poker\history\1446.txt

c:\program files\Everest Poker\history\1447.txt

c:\program files\Everest Poker\history\1449.txt

c:\program files\Everest Poker\history\1450.txt

c:\program files\Everest Poker\history\1451.txt

c:\program files\Everest Poker\history\1452.txt

c:\program files\Everest Poker\history\1453.txt

c:\program files\Everest Poker\history\1454.txt

c:\program files\Everest Poker\history\1455.txt

c:\program files\Everest Poker\history\1456.txt

c:\program files\Everest Poker\history\1458.txt

c:\program files\Everest Poker\history\1459.txt

c:\program files\Everest Poker\history\1460.txt

c:\program files\Everest Poker\history\1461.txt

c:\program files\Everest Poker\history\1462.txt

c:\program files\Everest Poker\history\1463.txt

c:\program files\Everest Poker\history\1464.txt

c:\program files\Everest Poker\history\1465.txt

c:\program files\Everest Poker\history\1467.txt

c:\program files\Everest Poker\history\1468.txt

c:\program files\Everest Poker\history\1469.txt

c:\program files\Everest Poker\history\1470.txt

c:\program files\Everest Poker\history\1471.txt

c:\program files\Everest Poker\history\1472.txt

c:\program files\Everest Poker\history\1473.txt

c:\program files\Everest Poker\history\1474.txt

c:\program files\Everest Poker\history\1475.txt

c:\program files\Everest Poker\history\1476.txt

c:\program files\Everest Poker\history\1477.txt

c:\program files\Everest Poker\history\1478.txt

c:\program files\Everest Poker\history\1479.txt

c:\program files\Everest Poker\history\1480.txt

c:\program files\Everest Poker\history\1481.txt

c:\program files\Everest Poker\history\1482.txt

c:\program files\Everest Poker\history\1483.txt

c:\program files\Everest Poker\history\1484.txt

c:\program files\Everest Poker\history\1485.txt

c:\program files\Everest Poker\history\1486.txt

c:\program files\Everest Poker\history\1487.txt

c:\program files\Everest Poker\history\1488.txt

c:\program files\Everest Poker\history\1489.txt

c:\program files\Everest Poker\history\1490.txt

c:\program files\Everest Poker\history\1492.txt

c:\program files\Everest Poker\history\1493.txt

c:\program files\Everest Poker\history\1494.txt

c:\program files\Everest Poker\history\1495.txt

c:\program files\Everest Poker\history\1496.txt

c:\program files\Everest Poker\history\1497.txt

c:\program files\Everest Poker\history\1498.txt

c:\program files\Everest Poker\history\1499.txt

c:\program files\Everest Poker\history\1500.txt

c:\program files\Everest Poker\history\1501.txt

c:\program files\Everest Poker\history\1502.txt

c:\program files\Everest Poker\history\1503.txt

c:\program files\Everest Poker\history\1504.txt

c:\program files\Everest Poker\history\1505.txt

c:\program files\Everest Poker\history\1506.txt

c:\program files\Everest Poker\history\1507.txt

c:\program files\Everest Poker\history\1508.txt

c:\program files\Everest Poker\history\1509.txt

c:\program files\Everest Poker\history\1510.txt

c:\program files\Everest Poker\history\1511.txt

c:\program files\Everest Poker\history\1512.txt

c:\program files\Everest Poker\history\1513.txt

c:\program files\Everest Poker\history\1514.txt

c:\program files\Everest Poker\history\1515.txt

c:\program files\Everest Poker\history\1516.txt

c:\program files\Everest Poker\history\1517.txt

c:\program files\Everest Poker\history\1518.txt

c:\program files\Everest Poker\history\1519.txt

c:\program files\Everest Poker\history\1520.txt

c:\program files\Everest Poker\history\1521.txt

c:\program files\Everest Poker\history\1522.txt

c:\program files\Everest Poker\history\1523.txt

c:\program files\Everest Poker\history\1524.txt

c:\program files\Everest Poker\history\1525.txt

c:\program files\Everest Poker\history\1526.txt

c:\program files\Everest Poker\history\1527.txt

c:\program files\Everest Poker\history\1529.txt

c:\program files\Everest Poker\history\1530.txt

c:\program files\Everest Poker\history\1531.txt

c:\program files\Everest Poker\history\1535.txt

c:\program files\Everest Poker\history\1536.txt

c:\program files\Everest Poker\history\1537.txt

c:\program files\Everest Poker\init.ini

c:\program files\Everest Poker\log.dat

c:\program files\Everest Poker\notes\Player-ALX_Majestik\Opponent-ysa_for_ever.xpn

c:\program files\Everest Poker\settings.ini

c:\program files\Everest Poker\toc_fr.ini

c:\program files\Everest Poker\var\content-fr.dat

c:\windows\system32\dsauth32.dll

 

.

((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Legacy_DCOMEX

-------\Legacy_SOFTWAREDISTRIBUTION32

-------\Service_DComEx

-------\Service_SoftwareDistribution32

 

 

((((((((((((((((((((((((((((( Fichiers créés du 2008-11-14 au 2008-12-14 ))))))))))))))))))))))))))))))))))))

.

 

2008-12-14 12:52 . 2008-12-14 12:52 <REP> d-------- c:\program files\Moyea

2008-12-14 10:36 . 2008-12-14 10:36 <REP> d-------- C:\_OTMoveIt

2008-12-13 17:46 . 2008-12-13 17:46 <REP> d-------- c:\documents and settings\All Users.WINDOWS\Application Data\Symantec

2008-12-10 21:01 . 2008-12-10 21:01 <REP> d-------- c:\program files\Symantec

2008-12-10 21:01 . 2008-12-10 21:01 124,464 --a------ c:\windows\system32\drivers\SYMEVENT.SYS

2008-12-10 21:01 . 2008-12-10 21:01 60,808 --a------ c:\windows\system32\S32EVNT1.DLL

2008-12-10 21:01 . 2008-12-10 21:01 35,888 -ra------ c:\windows\system32\drivers\SymIM.sys

2008-12-10 21:01 . 2008-12-10 21:01 10,635 --a------ c:\windows\system32\drivers\SYMEVENT.CAT

2008-12-10 21:01 . 2008-12-10 21:01 806 --a------ c:\windows\system32\drivers\SYMEVENT.INF

2008-12-10 21:00 . 2008-12-13 17:39 <REP> d-------- c:\windows\system32\drivers\NIS

2008-12-10 21:00 . 2008-12-10 21:00 <REP> d-------- c:\program files\Windows Sidebar

2008-12-10 21:00 . 2008-12-10 21:00 <REP> d-------- c:\program files\Norton Internet Security

2008-12-10 20:59 . 2008-12-10 20:59 <REP> d-------- c:\program files\NortonInstaller

2008-12-10 19:59 . 2008-12-10 20:01 <REP> d-------- C:\32788R22FWJFW.0.tmp

2008-12-08 22:23 . 2008-12-08 22:23 6,144 --a------ c:\windows\GnuHashes.ini

2008-12-08 22:16 . 2008-12-08 22:16 1,718 --ahs---- c:\windows\system32\GroupPolicy000.dat

2008-12-08 22:15 . 2008-12-08 22:15 373,760 --ahs---- c:\windows\system32\36.tmp

2008-12-08 21:50 . 2008-12-14 22:03 <REP> d-------- c:\documents and settings\rolle\Application Data\LimeWire

2008-12-08 14:28 . 2008-12-08 14:28 <REP> d-------- c:\program files\LimeWire

2008-12-08 03:17 . 2008-12-14 22:29 2,100 --a------ c:\documents and settings\All Users.BAK

2008-12-08 03:14 . 2008-12-08 03:14 <REP> d-------- c:\documents and settings\All Users.WINDOWS\Application Data\NortonInstaller

2008-12-08 03:14 . 2008-12-10 21:00 <REP> d-------- c:\documents and settings\All Users.WINDOWS\Application Data\Norton

2008-12-07 23:56 . 2008-12-10 19:51 <REP> d-------- c:\program files\Navilog1

2008-12-07 23:49 . 2008-12-07 23:51 <REP> d-------- c:\program files\Yahoo!

2008-12-07 17:08 . 2008-12-07 17:08 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware

2008-12-07 17:08 . 2008-12-07 17:08 <REP> d-------- c:\documents and settings\rolle\Application Data\Malwarebytes

2008-12-07 17:08 . 2008-12-07 17:08 <REP> d-------- c:\documents and settings\All Users.WINDOWS\Application Data\Malwarebytes

2008-12-07 17:08 . 2008-12-03 19:52 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys

2008-12-07 17:08 . 2008-12-03 19:52 15,504 --a------ c:\windows\system32\drivers\mbam.sys

2008-12-03 21:01 . 2008-10-24 12:10 453,632 -----c--- c:\windows\system32\dllcache\mrxsmb.sys

2008-11-24 14:06 . 2008-11-24 20:16 <REP> d-------- c:\windows\system32\vp2

2008-11-24 14:06 . 2008-11-24 20:14 <REP> d-------- c:\windows\system32\NX

2008-11-24 14:06 . 2008-12-06 00:40 <REP> d-------- C:\Temp

2008-11-23 23:56 . 2008-11-23 23:56 147,456 --a------ c:\windows\system32\vbzip10.dll

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-12-14 21:09 --------- d-----w c:\program files\bwin

2008-12-11 18:16 --------- d-----w c:\program files\Fichiers communs\Symantec Shared

2008-11-25 21:38 --------- d-----w c:\program files\Java

2008-11-02 13:55 --------- d-----w c:\documents and settings\rolle\Application Data\Moyea

2008-10-24 11:10 453,632 ----a-w c:\windows\system32\drivers\mrxsmb.sys

2008-09-29 05:00 75 ----a-w c:\windows\Fonts\verdanaz._ttf

2008-09-28 20:52 264 ----a-w c:\windows\Fonts\webdings._ttf

2007-02-20 19:47 41,992 -c--a-w c:\documents and settings\rolle\Application Data\GDIPFONTCACHEV1.DAT

2006-09-11 00:29 278,528 -c--a-w c:\program files\Fichiers communs\FDEUnInstaller.exe

.

 

((((((((((((((((((((((((((((( snapshot@2008-12-14_19.03.53,82 )))))))))))))))))))))))))))))))))))))))))

.

- 2008-12-14 13:45:37 155,702 ----a-r c:\windows\Installer\{9113040C-6000-11D3-8CFE-0050048383C9}\bcicon.exe

+ 2008-12-14 20:17:22 155,702 ----a-r c:\windows\Installer\{9113040C-6000-11D3-8CFE-0050048383C9}\bcicon.exe

- 2008-12-14 13:45:38 2,560 ----a-r c:\windows\Installer\{9113040C-6000-11D3-8CFE-0050048383C9}\cagicon.exe

+ 2008-12-14 20:17:22 2,560 ----a-r c:\windows\Installer\{9113040C-6000-11D3-8CFE-0050048383C9}\cagicon.exe

- 2008-12-14 13:45:35 34,304 ----a-r c:\windows\Installer\{9113040C-6000-11D3-8CFE-0050048383C9}\misc.exe

+ 2008-12-14 20:17:21 34,304 ----a-r c:\windows\Installer\{9113040C-6000-11D3-8CFE-0050048383C9}\misc.exe

- 2008-12-14 13:45:38 8,192 ----a-r c:\windows\Installer\{9113040C-6000-11D3-8CFE-0050048383C9}\mspicons.exe

+ 2008-12-14 20:17:22 8,192 ----a-r c:\windows\Installer\{9113040C-6000-11D3-8CFE-0050048383C9}\mspicons.exe

- 2008-12-14 13:45:38 3,584 ----a-r c:\windows\Installer\{9113040C-6000-11D3-8CFE-0050048383C9}\opwicon.exe

+ 2008-12-14 20:17:22 3,584 ----a-r c:\windows\Installer\{9113040C-6000-11D3-8CFE-0050048383C9}\opwicon.exe

- 2008-12-14 13:45:38 114,688 ----a-r c:\windows\Installer\{9113040C-6000-11D3-8CFE-0050048383C9}\outicon.exe

+ 2008-12-14 20:17:23 114,688 ----a-r c:\windows\Installer\{9113040C-6000-11D3-8CFE-0050048383C9}\outicon.exe

- 2008-12-14 13:45:36 16,384 ----a-r c:\windows\Installer\{9113040C-6000-11D3-8CFE-0050048383C9}\PEicons.exe

+ 2008-12-14 20:17:21 16,384 ----a-r c:\windows\Installer\{9113040C-6000-11D3-8CFE-0050048383C9}\PEicons.exe

- 2008-12-14 13:45:36 12,800 ----a-r c:\windows\Installer\{9113040C-6000-11D3-8CFE-0050048383C9}\pubs.exe

+ 2008-12-14 20:17:21 12,800 ----a-r c:\windows\Installer\{9113040C-6000-11D3-8CFE-0050048383C9}\pubs.exe

- 2008-12-14 13:45:39 22,528 ----a-r c:\windows\Installer\{9113040C-6000-11D3-8CFE-0050048383C9}\unbndico.exe

+ 2008-12-14 20:17:23 22,528 ----a-r c:\windows\Installer\{9113040C-6000-11D3-8CFE-0050048383C9}\unbndico.exe

- 2008-12-14 13:45:35 45,056 ----a-r c:\windows\Installer\{9113040C-6000-11D3-8CFE-0050048383C9}\wordicon.exe

+ 2008-12-14 20:17:20 45,056 ----a-r c:\windows\Installer\{9113040C-6000-11D3-8CFE-0050048383C9}\wordicon.exe

- 2008-12-14 13:45:35 90,112 ----a-r c:\windows\Installer\{9113040C-6000-11D3-8CFE-0050048383C9}\xlicons.exe

+ 2008-12-14 20:17:20 90,112 ----a-r c:\windows\Installer\{9113040C-6000-11D3-8CFE-0050048383C9}\xlicons.exe

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-05 15360]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"VIDC.I420"= i263_32.drv

"msacm.g723"= g723.acm

"vidc.I263"= I263_32.drv

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM Startup]

--a------ 2004-06-16 06:03 221184 c:\progra~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechCommunicationsManager]

--a------ 2006-10-31 00:03 284184 c:\program files\Fichiers communs\Logitech\LComMgr\Communications_Helper.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechQuickCamRibbon]

--a------ 2006-11-15 20:58 746520 c:\program files\Logitech\QuickCam10\QuickCam10.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LVCOMSX]

--a------ 2006-11-15 21:01 244512 c:\program files\Fichiers communs\Logitech\LComMgr\LVComSX.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UnlockerAssistant]

--a------ 2006-09-07 18:19 15872 c:\program files\Unlocker\UnlockerAssistant.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UpdateManager]

--a------ 2003-08-19 00:01 110592 c:\program files\Fichiers communs\Sonic\Update Manager\sgtray.exe

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Messenger\\msmsgs.exe"=

"c:\\StubInstaller.exe"=

"c:\\WINDOWS\\system32\\dpvsetup.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\LimeWire\\LimeWire.exe"=

"c:\\WINDOWS\\system32\\dplaysvr.exe"=

"c:\\Documents and Settings\\rolle\\Bureau\\Age Of Empire II\\empires2.exe"=

"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=

"c:\\Program Files\\MSN Messenger\\livecall.exe"=

"c:\\Documents and Settings\\rolle\\Bureau\\Age Of Empire II\\age2_x1.exe"=

 

R0 SymEFA;Symantec Extended File Attributes;\SystemRoot\\SystemRoot\System32\Drivers\NIS\1001000.021\SYMEFA.SYS []

R1 BHDrvx86;Symantec Heuristics Driver;c:\windows\system32\Drivers\NIS\1001000.021\BHDrvx86.sys [2008-12-12 255536]

R1 ccHP;Symantec Hash Provider;c:\windows\system32\Drivers\NIS\1001000.021\ccHPx86.sys [2008-12-12 362544]

R1 IDSxpx86;IDSxpx86;\??\c:\documents and settings\All Users.WINDOWS\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\ipsdefs\20081210.002\IDSxpx86.sys [2008-12-11 274808]

R2 LF30FS;LF30FS;\??\c:\program files\Everstrike Software\ XP 3.6\LF30XP.sys [2004-11-19 101488]

R2 Norton Internet Security;Norton Internet Security;"c:\program files\Norton Internet Security\Engine\16.1.0.33\ccSvcHst.exe" /s "Norton Internet Security" /m "c:\program files\Norton Internet Security\Engine\16.1.0.33\diMaster.dll" /prefetch:1 []

R3 EraserUtilRebootDrv;EraserUtilRebootDrv;\??\c:\program files\Fichiers communs\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [2008-12-11 99376]

S3 Philipscam2;Caméra numérique Philips 646 ; Vidéo;c:\windows\system32\DRIVERS\philcam1.sys [2006-10-19 75776]

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.google.fr/

mStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_FR&c=Q105&bd=pavilion&pf=laptop

uInternet Connection Wizard,ShellNext = iexplore

.

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-12-14 22:29:57

Windows 5.1.2600 Service Pack 2 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

Cpqset = c:\program files\HPQ\Default Settings\cpqset.exe????????5?7?9?0??`???? ???B???????????????B? ??????

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

 

[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\Norton Internet Security]

"ImagePath"="\"c:\program files\Norton Internet Security\Engine\16.1.0.33\ccSvcHst.exe\" /s \"Norton Internet Security\" /m \"c:\program files\Norton Internet Security\Engine\16.1.0.33\diMaster.dll\" /prefetch:1"

.

------------------------ Autres processus actifs ------------------------

.

c:\program files\Fichiers communs\Logitech\LVMVFM\LVPrcSrv.exe

c:\windows\system32\scardsvr.exe

c:\program files\CDBurnerXP\NMSAccessU.exe

c:\program files\Norton Internet Security\Engine\16.1.0.33\ccSvcHst.exe

c:\windows\system32\nvsvc32.exe

c:\windows\system32\locator.exe

c:\program files\Analog Devices\SoundMAX\SMAgent.exe

c:\windows\system32\wdfmgr.exe

c:\windows\system32\vssvc.exe

c:\program files\HPQ\Quick Launch Buttons\eabservr.exe

c:\program files\Apoint2K\Apoint.exe

c:\program files\Java\jre1.6.0_07\bin\jusched.exe

c:\windows\AGRSMMSG.exe

c:\program files\Fichiers communs\InstallShield\UpdateService\issch.exe

c:\program files\Apoint2K\ApntEx.exe

c:\program files\Norton Internet Security\Engine\16.1.0.33\ccSvcHst.exe

c:\windows\system32\wbem\wmiapsrv.exe

.

**************************************************************************

.

Heure de fin: 2008-12-14 22:35:39 - La machine a redémarré

ComboFix-quarantined-files.txt 2008-12-14 21:35:34

ComboFix2.txt 2008-12-14 18:05:38

 

Avant-CF: 26 817 404 928 octets libres

Après-CF: 26,886,037,504 octets libres

 

369

 

 

HIJACKTHIS:

********************************************************************************

*******************************************

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 23:36:45, on 12/14/08

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe

C:\Program Files\CDBurnerXP\NMSAccessU.exe

C:\Program Files\Norton Internet Security\Engine\16.1.0.33\ccSvcHst.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\vssvc.exe

C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe

C:\Program Files\Apoint2K\Apoint.exe

C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe

C:\WINDOWS\AGRSMMSG.exe

C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe

C:\Program Files\Apoint2K\Apntex.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Norton Internet Security\Engine\16.1.0.33\ccSvcHst.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\system32\notepad.exe

C:\Documents and Settings\rolle\Bureau\iexplore.exe

C:\Program Files\bwin\bwinPoker.exe

C:\Documents and Settings\rolle\Bureau\HiJackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&a...n&pf=laptop

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: Symantec NCO BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Program Files\Norton Internet Security\Engine\16.1.0.33\coIEPlg.dll

O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Program Files\Norton Internet Security\Engine\16.1.0.33\IPSBHO.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O2 - BHO: Catcher Class - {ADECBED6-0366-4377-A739-E69DFBA04663} - C:\Program Files\Moyea\FLV Downloader\MoyeaCth.dll (file missing)

O3 - Toolbar: Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Program Files\Norton Internet Security\Engine\16.1.0.33\coIEPlg.dll

O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start

O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [iSUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [iSUSPM Startup] c:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\isuspm.exe -startup

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Program Files\HPQ\SHARED\HPQWMI.exe

O23 - Service: iPod Service (iPodService) - Unknown owner - C:\Program Files\iPod\bin\iPodService.exe (file missing)

O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe

O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Fichiers communs\Logitech\SrvLnch\SrvLnch.exe

O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe

O23 - Service: Norton Internet Security - Symantec Corporation - C:\Program Files\Norton Internet Security\Engine\16.1.0.33\ccSvcHst.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: StarWind AE Service (StarWindServiceAE) - Unknown owner - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe (file missing)

O24 - Desktop Component 0: (no name) - http://www.glenatbd.com/dyn/glenat/upload/...ran/224-800.jpg

 

--

End of file - 5753 bytes

Lien vers le commentaire
Partager sur d’autres sites

Effectivement depuis hier, je n'ai plus de fenetres intempestives qui s'ouvrent, alors que j'en avais systematiquement au moment du 1er clic sur internet explorer.

Y a juste que à ses tout debuts lorsque j'allumais mon PC, il ne lui fallait pas plus de 10 scde pour avoir la connection reseau. Et depuis qq temps il faut que j'attende 1 mn au moins pour avoir la connection sans fil... . J'avais mis ce delais tardif sur le compte du declenchement de certains programmes au moment du demarrage.

Mais je suppose que c'est un autre PB, et ca n'est pas plus perturbant finalement

 

En tout cas Merci, j'ai mis NORTON Internet security en par feu dorenavant, et j'imagine que je devrais faire de frequents nettoyages...

 

Si on en a enfin terminé, je te remercie d'avoir pris le temps de m'aider.

Lien vers le commentaire
Partager sur d’autres sites

Si tu avais ajouté un délai (startup delayer ?), vire-le. :P

 

Désinstalle combofix : entre combofix /u dans la boite exécuter du menu démarrer.

Après cela, efface ce dossier s'il existe encore.

C:\QooBox

 

Désinstalle Navilog via Ajout/suppression de programmes.

 

Tu peux garder MBAM, il t'a été utile, et c'est un outil tout public, contrairement à certains utilisés pour nettoyer la machine.

Le module résident (qui tourne à l'arrière plan) est payant, mais le programme fonctionne en mode gratuit, ce module ne s'active simplement pas. Du coup dans sa version gratuite il cohabite avec tout, en tant que scanneur à la demande.

 

Il faut bien garder ton système et les logiciels à jour pour éviter les vulnérabilités.

PSI de Secunia peut t'y aider. https://psi.secunia.com/

JavaRa peut t'y aider pour Java : http://raproducts.org/

 

Il faudra passer au SP3 de windows XP. (lien)

Puis passer par windows updates régulièrement.

 

Voici un peu de lecture, une compilation de conseils pour éviter une réinfection et sécuriser la machine.

 

Un petit point sur les risques du P2P en matière de sécurité logicielle (par Ogu) :

img-103332veltm.jpg

 

N'hésite pas à poser des questions, cette partie est aussi importante que la désinfection.

 

Tu peux marquer résolu dans le titre, (en éditant le premier post, le titre devient modifiable).

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...