infecté par Win32:Patched-HU

[bzoum]

Et voila le rapport d'antivir. Il ne le trouve pas, on dirait mais bitdefender la trouvé dans svchost (je n'ai pas le rapport de ce dernier car il s'est bloqué en cours de route).

 

Voici le rapport d'antivir :

 

 

Avira AntiVir Personal

Date de création du fichier de rapport : lundi 22 décembre 2008 15:21

 

La recherche porte sur 1109510 souches de virus.

 

Détenteur de la licence :Avira AntiVir PersonalEdition Classic

Numéro de série : 0000149996-ADJIE-0001

Plateforme : Windows XP

Version de Windows :(Service Pack 3) [5.1.2600]

Mode Boot : Démarré normalement

Identifiant : SYSTEM

Nom de l'ordinateur :FELICITE

 

Informations de version :

BUILD.DAT : 8.2.0.52 16931 Bytes 02/12/2008 14:55:00

AVSCAN.EXE : 8.1.4.10 315649 Bytes 18/11/2008 08:21:00

AVSCAN.DLL : 8.1.4.1 49921 Bytes 21/07/2008 13:44:27

LUKE.DLL : 8.1.4.5 164097 Bytes 12/06/2008 12:44:16

LUKERES.DLL : 8.1.4.0 13057 Bytes 04/07/2008 07:30:27

ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 11:30:36

ANTIVIR1.VDF : 7.1.0.197 1170432 Bytes 07/12/2008 14:16:37

ANTIVIR2.VDF : 7.1.0.250 342528 Bytes 18/12/2008 14:16:39

ANTIVIR3.VDF : 7.1.1.19 137216 Bytes 22/12/2008 14:16:40

Version du moteur: 8.2.0.45

AEVDF.DLL : 8.1.0.6 102772 Bytes 14/10/2008 10:05:56

AESCRIPT.DLL : 8.1.1.19 336252 Bytes 22/12/2008 14:16:51

AESCN.DLL : 8.1.1.5 123251 Bytes 07/11/2008 15:06:41

AERDL.DLL : 8.1.1.3 438645 Bytes 04/11/2008 13:58:38

AEPACK.DLL : 8.1.3.4 393591 Bytes 11/11/2008 09:41:39

AEOFFICE.DLL : 8.1.0.33 196987 Bytes 22/12/2008 14:16:50

AEHEUR.DLL : 8.1.0.75 1524087 Bytes 22/12/2008 14:16:49

AEHELP.DLL : 8.1.2.0 119159 Bytes 22/12/2008 14:16:44

AEGEN.DLL : 8.1.1.8 323956 Bytes 22/12/2008 14:16:43

AEEMU.DLL : 8.1.0.9 393588 Bytes 14/10/2008 10:05:56

AECORE.DLL : 8.1.5.2 172405 Bytes 22/12/2008 14:16:42

AEBB.DLL : 8.1.0.3 53618 Bytes 14/10/2008 10:05:56

AVWINLL.DLL : 1.0.0.12 15105 Bytes 09/07/2008 08:40:02

AVPREF.DLL : 8.0.2.0 38657 Bytes 16/05/2008 09:27:58

AVREP.DLL : 8.0.0.2 98344 Bytes 31/07/2008 12:02:15

AVREG.DLL : 8.0.0.1 33537 Bytes 09/05/2008 11:26:37

AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 08:29:19

AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12/06/2008 12:27:46

SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 17:28:02

SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12/06/2008 12:49:36

NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 12:05:07

RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 04/07/2008 07:23:16

RCTEXT.DLL : 8.0.52.1 86273 Bytes 17/07/2008 10:08:43

 

Configuration pour la recherche actuelle :

Nom de la tâche..................: Contrôle intégral du système

Fichier de configuration.........: C:\Program Files\Avira\AntiVir PersonalEdition Classic\sysscan.avp

Documentation....................: bas

Action principale................: quarantaine

Action secondaire................: ignorer

Recherche sur les secteurs d'amorçage maître: marche

Recherche sur les secteurs d'amorçage: marche

Secteurs d'amorçage..............: C:, D:, I:,

Recherche dans les programmes actifs: marche

Recherche en cours sur l'enregistrement: marche

Recherche de Rootkits............: marche

Fichier mode de recherche........: Sélection de fichiers intelligente

Recherche sur les archives.......: marche

Limiter la profondeur de récursivité: 20

Archive Smart Extensions.........: marche

Types d'archives divergents......: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,

Heuristique de macrovirus........: marche

Heuristique fichier..............: moyen

 

Début de la recherche : lundi 22 décembre 2008 15:21

 

La recherche d'objets cachés commence.

'70277' objets ont été contrôlés, '0' objets cachés ont été trouvés.

 

La recherche sur les processus démarrés commence :

Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés

Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés

Processus de recherche 'msiexec.exe' - '1' module(s) sont contrôlés

Processus de recherche 'epmworker.exe' - '1' module(s) sont contrôlés

Processus de recherche 'Generic.exe' - '1' module(s) sont contrôlés

Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés

Processus de recherche 'hamachi.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'RpcAgentSrv.exe' - '1' module(s) sont contrôlés

Processus de recherche 'nvsvc32.exe' - '1' module(s) sont contrôlés

Processus de recherche 'MSCamS32.exe' - '1' module(s) sont contrôlés

Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés

Processus de recherche 'hamachi.exe' - '1' module(s) sont contrôlés

Processus de recherche 'GoogleUpdaterService.exe' - '1' module(s) sont contrôlés

Processus de recherche 'KHALMNPR.exe' - '1' module(s) sont contrôlés

Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés

Processus de recherche 'rapimgr.exe' - '1' module(s) sont contrôlés

Processus de recherche 'SetPoint.exe' - '1' module(s) sont contrôlés

Processus de recherche 'wcescomm.exe' - '1' module(s) sont contrôlés

Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés

Processus de recherche 'Application Launcher.exe' - '1' module(s) sont contrôlés

Processus de recherche 'rundll32.exe' - '1' module(s) sont contrôlés

Processus de recherche 'RTHDCPL.exe' - '1' module(s) sont contrôlés

Processus de recherche 'daemon.exe' - '1' module(s) sont contrôlés

Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés

Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés

Processus de recherche 'aawservice.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés

Processus de recherche 'services.exe' - '1' module(s) sont contrôlés

Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés

Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés

Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés

'40' processus ont été contrôlés avec '40' modules

 

La recherche sur les secteurs d'amorçage maître commence :

Secteur d'amorçage maître HD0

[iNFO] Aucun virus trouvé !

Secteur d'amorçage maître HD1

[iNFO] Aucun virus trouvé !

 

La recherche sur les secteurs d'amorçage commence :

Secteur d'amorçage 'C:\'

[iNFO] Aucun virus trouvé !

Secteur d'amorçage 'D:\'

[iNFO] Aucun virus trouvé !

Secteur d'amorçage 'I:\'

[iNFO] Aucun virus trouvé !

 

La recherche sur les renvois aux fichiers exécutables (registre) commence.

Le registre a été contrôlé ( '63' fichiers).

 

 

La recherche sur les fichiers sélectionnés commence :

 

Recherche débutant dans 'C:\'

C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\WinVBtr.zip

[RESULTAT] Contient le code suspect GEN/PwdZIP

[REMARQUE] Le résultat positif a été classé comme suspect.

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49bda330.qua' !

C:\Documents and Settings\Félicité\.housecall6.6\SmitfraudFix\Agent.OMZ.Fix.exe

[RESULTAT] Le fichier contient un programme exécutable. Cependant, celui-ci se dissimule sous une extension de fichier inoffensive (HIDDENEXT/Crypted)

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49b4a34a.qua' !

C:\Documents and Settings\Félicité\Application Data\Thunderbird\Profiles\pi3er0l1.default\Mail\Local Folders\Inbox

[0] Type d'archive: Netscape/Mozilla Mailbox

--> Mailbox_[From: "Noemi Spears" <deborah.danby@vhs-wien-west.at>][Message-ID: <300666126.30657377849826@vhs-wien-west.at>][subject: Something hot]5430.mim

[1] Type d'archive: MIME

--> card.zip

[2] Type d'archive: ZIP

--> card.exe

[RESULTAT] Contient le modèle de détection du ver WORM/Ntech.I

--> Mailbox_[From: "Lorrie Daniel" <lavanya.danby@wiwi.hu-berlin.d][Message-ID: <169483249.60952980623127@wiwi.hu-berlin.de>][subject: Happy Valentine's day ]7036.mim

[1] Type d'archive: MIME

--> card.zip

[2] Type d'archive: ZIP

--> card.scr

[RESULTAT] Contient le cheval de Troie TR/Dropper.Gen

[AVERTISSEMENT] Ce fichier est une boîte à lettres. Pour ne pas gêner votre fonction d'e-mails, ce fichier n'est pas réparé ou supprimé !

C:\Documents and Settings\Félicité\Application Data\Thunderbird\Profiles\pi3er0l1.default\Mail\Local Folders\Junk

[0] Type d'archive: Netscape/Mozilla Mailbox

--> Mailbox_[Message-ID: <45B17160.5010103@tdouglasgroup.com>][From: Atkins <bqh@tdouglasgroup.com>][subject: Chinese missile shot down Russian aircraft]1852.mim

[1] Type d'archive: MIME

--> Video.exe

[RESULTAT] Contient le cheval de Troie TR/Drop.Small.DBY

--> Mailbox_[From: "Elizabeth Felix" <grahame.danby@wachaumarathon][subject: Here is it][Message-ID: <01c7fc1e$d0053890$f6616e55@grahame.danby>]4570.mim

[1] Type d'archive: MIME

--> card.zip

[2] Type d'archive: ZIP

--> card.exe

[RESULTAT] Contient le modèle de détection du ver WORM/Ntech.I

[AVERTISSEMENT] Ce fichier est une boîte à lettres. Pour ne pas gêner votre fonction d'e-mails, ce fichier n'est pas réparé ou supprimé !

C:\Documents and Settings\Félicité\Application Data\Thunderbird\Profiles\pi3er0l1.default\Mail\Local Folders\Laurence

[0] Type d'archive: Netscape/Mozilla Mailbox

--> Mailbox_[Message-ID: <45B17160.5010103@tdouglasgroup.com>][From: Atkins <bqh@tdouglasgroup.com>][subject: Chinese missile shot down Russian aircraft]4826.mim

[1] Type d'archive: MIME

--> Video.exe

[RESULTAT] Contient le cheval de Troie TR/Drop.Small.DBY

[AVERTISSEMENT] Ce fichier est une boîte à lettres. Pour ne pas gêner votre fonction d'e-mails, ce fichier n'est pas réparé ou supprimé !

C:\Documents and Settings\Félicité\Application Data\Thunderbird\Profiles\pi3er0l1.default\Mail\Local Folders\olivier

[0] Type d'archive: Netscape/Mozilla Mailbox

--> Mailbox_[From: "Elizabeth Felix" <grahame.danby@wachaumarathon][subject: Here is it][Message-ID: <01c7fc1e$d0053890$f6616e55@grahame.danby>]1146.mim

[1] Type d'archive: MIME

--> card.zip

[2] Type d'archive: ZIP

--> card.exe

[RESULTAT] Contient le modèle de détection du ver WORM/Ntech.I

[AVERTISSEMENT] Ce fichier est une boîte à lettres. Pour ne pas gêner votre fonction d'e-mails, ce fichier n'est pas réparé ou supprimé !

C:\Documents and Settings\Félicité\Bureau\SmitfraudFix.exe

[0] Type d'archive: RAR SFX (self extracting)

--> SmitfraudFix\Agent.OMZ.Fix.exe

[RESULTAT] Le fichier contient un programme exécutable. Cependant, celui-ci se dissimule sous une extension de fichier inoffensive (HIDDENEXT/Crypted)

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49b8a5a8.qua' !

C:\Documents and Settings\Félicité\Bureau\SmitfraudFix\Agent.OMZ.Fix.exe

[RESULTAT] Le fichier contient un programme exécutable. Cependant, celui-ci se dissimule sous une extension de fichier inoffensive (HIDDENEXT/Crypted)

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49b4a626.qua' !

C:\WINDOWS\system32\svchost.exe

[AVERTISSEMENT] Impossible d'ouvrir le fichier !

C:\WINDOWS\system32\drivers\sptd.sys

[AVERTISSEMENT] Impossible d'ouvrir le fichier !

Recherche débutant dans 'D:\' <tampon>

D:\pagefile.sys

[AVERTISSEMENT] Impossible d'ouvrir le fichier !

Recherche débutant dans 'I:\' <data>

I:\disque travail\Travail\Travail\Préparation CID\Correspondance officielle - texte de référence\Charte correspondance.doc

[RESULTAT] Contient le code du macrovirus Word W97M/Kompu

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49b0cea1.qua' !

I:\disque travail\Travail\Travail\Préparation CID\Correspondance officielle - texte de référence\Charte.zip

[0] Type d'archive: ZIP

--> Charte correspondance.doc

[RESULTAT] Contient le code du macrovirus Word W97M/Kompu

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4814fa7a.qua' !

I:\Travail\Préparation CID\Correspondance officielle - texte de référence\Charte correspondance.doc

[RESULTAT] Contient le code du macrovirus Word W97M/Kompu

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49b0d040.qua' !

I:\Travail\Préparation CID\Correspondance officielle - texte de référence\Charte.zip

[0] Type d'archive: ZIP

--> Charte correspondance.doc

[RESULTAT] Contient le code du macrovirus Word W97M/Kompu

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4812cd39.qua' !

 

 

Fin de la recherche : lundi 22 décembre 2008 18:36

Temps nécessaire: 3:15:10 Heure(s)

 

La recherche a été effectuée intégralement

 

24363 Les répertoires ont été contrôlés

694183 Des fichiers ont été contrôlés

13 Des virus ou programmes indésirables ont été trouvés

1 Des fichiers ont été classés comme suspects

0 Des fichiers ont été supprimés

0 Des virus ou programmes indésirables ont été réparés

8 Les fichiers ont été déplacés dans la quarantaine

0 Les fichiers ont été renommés

3 Impossible de contrôler des fichiers

694166 Fichiers non infectés

37740 Les archives ont été contrôlées

7 Avertissements

8 Consignes

70277 Des objets ont été contrôlés lors du Rootkitscan

0 Des objets cachés ont été trouvés

 

 

 

Quand j'avais installé Birdefender, il m'alertait en permanence, comme avast, au sujet de ce tojan (toujours dans le processus système svchost)

[Apollo]

Mouais bon on va employer la grosse Bertha car Antivir n'ose pas liquider certains machins.

 

Le logiciel qui suit n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.

Ne pas utiliser en dehors de ce cas de figure : dangereux.

 

Désactive ton antivirus, firewall et antispyware le temps de l'analyse.

 

Connecter les supports amovibles (clé usb et autres) avant de procéder.

 

Tutoriel officiel

 

Télécharge combofix.exe de sUBs et sauvegarde le sur ton bureau (et pas ailleurs).

• Si la console de récupération n'est pas installée sur un XP, ComboFix va proposer de l'installer: Accepter!
  
• Assure toi que tous les programmes sont fermés avant de commencer.
  
• Double-clique combofix.exe afin de l'exécuter.
  
• Clique sur "Oui" au message de Limitation de Garantie qui s'affiche.
  
• Il est possible que ton pare-feu (firewall) te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sûre: accepte.
  
• Ne ferme pas la fenêtre qui vient de s'ouvrir, tu te retrouverais avec un bureau vide.
  
• Lorsque l'analyse sera terminée, un rapport apparaîtra.
  
• Copie-colle ce rapport dans ta prochaine réponse.
  Le rapport se trouve dans : C:\Combofix.txt (si jamais).
  

 

Si tu perds la connexion après le passage de ComboFix, voici comment la réparer ICI.

 

@++

[bzoum]

Je le lance en cession normale ? pas en mode sans échec ? Car à chaque fois, en cesion normale, svchost est inacessible.

[Apollo]

Non! Ne lance jamais ComboFix en mode sans échec.

[bzoum]

Voila c'est fait. La seule chose, c'est qu'en redemarrant, antivir guard s'est lancé et pendant la deuxième phase, antivira m'annoncait le troyen toutes les 5 secondes (je faisais à chaque fois ignorer pour géner le moins possible combofix)

 

Je l'ai toujours car dès que je lance certaines applications, le trojan est trouvé par antivir, toujours dans svchost.

 

Voici son rapport :

 

ComboFix 08-12-21.04 - Félicité 2008-12-22 19:13:25.1 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.2047.1454 [GMT 1:00]

Lancé depuis: c:\documents and settings\Félicité\Bureau\ComboFix.exe

* Un nouveau point de restauration a été créé

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\windows\system32\drivers\npf.sys

c:\windows\system32\packet.dll

c:\windows\system32\pthreadVC.dll

c:\windows\system32\tmp.reg

c:\windows\system32\wanpacket.dll

c:\windows\system32\wpcap.dll

 

.

((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Legacy_NPF

-------\Service_NPF

 

 

((((((((((((((((((((((((((((( Fichiers créés du 2008-11-22 au 2008-12-22 ))))))))))))))))))))))))))))))))))))

.

 

2008-12-22 15:15 . 2008-12-22 15:15 <REP> d-------- c:\program files\Avira

2008-12-22 15:15 . 2008-12-22 15:15 <REP> d-------- c:\documents and settings\All Users\Application Data\Avira

2008-12-22 14:18 . 2008-12-22 14:18 54,156 --ah----- c:\windows\QTFont.qfn

2008-12-22 14:18 . 2008-12-22 14:18 1,409 --a------ c:\windows\QTFont.for

2008-12-22 12:32 . 2008-12-22 15:05 121 --a------ c:\windows\bdagent.INI

2008-12-22 12:07 . 2008-12-22 12:07 850 --a------ c:\windows\system32\ProductTweaks.xml

2008-12-22 12:07 . 2008-12-22 12:07 385 --a------ c:\windows\system32\user_gensett.xml

2008-12-22 12:03 . 2008-12-22 12:03 <REP> d-------- c:\program files\BitDefender

2008-12-22 11:59 . 2008-12-22 15:14 <REP> d-------- c:\program files\Fichiers communs\BitDefender

2008-12-22 09:25 . 2008-12-22 11:56 <REP> d-------- c:\windows\BDOSCAN8

2008-12-22 08:08 . 2008-12-22 08:08 <REP> d-------- c:\program files\Sony Ericsson

2008-12-22 08:08 . 2008-12-22 08:08 <REP> d-------- c:\program files\Fichiers communs\Sony Ericsson Shared

2008-12-21 23:37 . 2008-12-21 23:37 <REP> d-------- c:\windows\system32\Kaspersky Lab

2008-12-21 23:22 . 2008-12-21 23:26 <REP> d-------- c:\documents and settings\Félicité\.housecall6.6

2008-12-21 23:22 . 2008-12-21 23:26 <REP> d-------- c:\documents and settings\Félicité\.housecall6.6

2008-12-21 23:22 . 2008-12-22 08:08 <REP> d-------- c:\documents and settings\All Users\Application Data\Teleca

2008-12-21 23:22 . 2008-12-22 08:08 <REP> d-------- c:\documents and settings\All Users\Application Data\Sony Ericsson

2008-12-21 23:21 . 2008-12-22 08:08 <REP> d-------- c:\windows\Downloaded Installations

2008-12-21 22:29 . 2008-12-21 22:29 <REP> d-------- c:\documents and settings\Félicité\Application Data\Teleca

2008-12-21 22:28 . 2008-12-21 22:28 <REP> d-------- c:\documents and settings\Félicité\Application Data\Sony Ericsson

2008-12-21 22:24 . 2008-12-22 08:08 <REP> d-------- c:\program files\Fichiers communs\Teleca Shared

2008-12-21 21:34 . 2008-12-21 21:42 <REP> d-------- c:\program files\Navilog1

2008-12-21 18:39 . 2008-12-21 18:39 <REP> d-------- c:\documents and settings\All Users\Application Data\Sunbelt

2008-12-21 17:02 . 2008-12-21 17:02 579,584 --a--c--- c:\windows\system32\dllcache\user32.dll

2008-12-21 16:59 . 2008-12-21 16:59 <REP> d-------- c:\windows\ERUNT

2008-12-21 16:49 . 2008-12-21 17:27 <REP> d-------- C:\SDFix

2008-12-21 09:37 . 2008-12-21 09:37 410,984 --a------ c:\windows\system32\deploytk.dll

2008-12-20 22:47 . 2008-12-03 19:52 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys

2008-12-20 22:35 . 2008-12-21 19:47 <REP> d-------- c:\program files\Enigma Software Group

2008-12-20 17:51 . 2008-12-20 17:48 21,525,613 --a------ c:\windows\LPT$VPN.723

2008-12-20 17:48 . 2008-12-20 17:48 21,525,613 --a------ c:\windows\VPTNFILE.723

2008-12-20 17:29 . 2008-12-20 17:48 <REP> d-------- c:\windows\AU_Temp

2008-12-20 12:27 . 2008-10-23 13:36 286,720 -----c--- c:\windows\system32\dllcache\gdi32.dll

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-12-22 18:18 --------- d-----w c:\documents and settings\Félicité\Application Data\Hamachi

2008-12-22 13:38 --------- d-----w c:\documents and settings\All Users\Application Data\Google Updater

2008-12-22 07:00 --------- d-----w c:\program files\Mozilla Firefox 3 Beta 1

2008-12-21 21:08 --------- d-----w c:\program files\Spybot - Search & Destroy

2008-12-21 21:06 --------- d-----w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy

2008-12-21 17:52 --------- d-----w c:\program files\BitComet

2008-12-21 17:51 --------- d-----w c:\program files\Active WebCam

2008-12-21 17:50 --------- d--h--w c:\program files\InstallShield Installation Information

2008-12-21 08:38 --------- d-----w c:\program files\Webcamfirst

2008-12-21 08:37 --------- d-----w c:\program files\Java

2008-12-21 07:33 --------- d-----w c:\documents and settings\Félicité\Application Data\Weezo

2008-12-20 21:47 --------- d-----w c:\program files\Malwarebytes' Anti-Malware

2008-12-20 16:48 91,744 ----a-w c:\windows\BPMNT.dll

2008-12-20 16:48 71,749 ----a-w c:\windows\hcextoutput.dll

2008-12-20 16:48 345,157 ----a-w c:\windows\TSC.exe

2008-12-20 16:48 1,213,784 ----a-w c:\windows\vsapi32.dll

2008-12-06 17:02 --------- d-----w c:\program files\Football Generation

2008-12-03 18:52 15,504 ----a-w c:\windows\system32\drivers\mbam.sys

2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys

2008-10-23 12:36 286,720 ----a-w c:\windows\system32\gdi32.dll

2008-10-16 20:18 826,368 ----a-w c:\windows\system32\wininet.dll

2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll

2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll

2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll

2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll

2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll

2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe

2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll

2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll

2008-10-16 13:06 268,648 ----a-w c:\windows\system32\mucltui.dll

2008-10-16 13:06 208,744 ----a-w c:\windows\system32\muweb.dll

2008-10-03 10:03 247,326 ----a-w c:\windows\system32\strmdll.dll

2008-09-30 15:43 1,286,152 ----a-w c:\windows\system32\msxml4.dll

2008-10-30 16:34 39,424 ----a-w c:\program files\mozilla firefox\components\FFComm.dll

2008-04-20 17:03 122,880 ----a-w c:\program files\mozilla firefox\components\GoogleDesktopMozilla.dll

2008-12-20 21:29 67,688 ----a-w c:\program files\mozilla firefox\components\jar50.dll

2008-12-20 21:29 54,368 ----a-w c:\program files\mozilla firefox\components\jsd3250.dll

2008-12-20 21:29 34,944 ----a-w c:\program files\mozilla firefox\components\myspell.dll

2008-12-20 21:29 46,712 ----a-w c:\program files\mozilla firefox\components\spellchk.dll

2008-12-20 21:29 172,136 ----a-w c:\program files\mozilla firefox\components\xpinstal.dll

2008-05-01 12:04 32,768 --sha-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008050120080502\index.dat

.

 

------- Sigcheck -------

 

2004-08-19 15:10 14336 2979b03d5382a602623c0535b16ab9c0 c:\windows\$NtServicePackUninstall$\svchost.exe

2008-04-13 18:34 14336 e4bdf223cd75478bf44567b4d5c2634d c:\windows\ServicePackFiles\i386\svchost.exe

2008-04-13 18:34 14336 872358b4e7180cb123ad44ae0aeb248a c:\windows\system32\svchost.exe

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-13 15360]

"H/PC Connection Agent"="c:\program files\Microsoft ActiveSync\wcescomm.exe" [2006-11-13 1289000]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2008-04-20 29744]

"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-12-21 136600]

"DAEMON Tools"="c:\program files\DAEMON Tools\daemon.exe" [2006-11-12 157592]

"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2007-10-19 286720]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]

"NetAnalyse"="c:\program files\NetAnalyse\NetAnalyse.exe" [2006-03-20 1798144]

"LifeCam"="c:\program files\Microsoft LifeCam\LifeExp.exe" [2008-08-04 160800]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-07-26 13570048]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-07-26 86016]

"Sony Ericsson PC Suite"="c:\program files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2007-06-13 528384]

"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]

"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2008-02-29 c:\windows\KHALMNPR.Exe]

"RTHDCPL"="RTHDCPL.EXE" [2007-02-26 c:\windows\RTHDCPL.exe]

"nwiz"="nwiz.exe" [2008-07-26 c:\windows\system32\nwiz.exe]

"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2008-02-29 c:\windows\KHALMNPR.Exe]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]

 

c:\documents and settings\F‚licit‚\Menu D‚marrer\Programmes\D‚marrage\

hamachi.lnk - c:\program files\Hamachi\hamachi.exe [2008-09-06 625952]

NetAnalyse.lnk - c:\program files\NetAnalyse\NetAnalyse.exe [2006-03-20 1798144]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Logitech SetPoint.lnk - c:\program files\Logitech\SetPoint\SetPoint.exe [2008-09-05 805392]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"NoSMConfigurePrograms"= 1 (0x1)

"NoSMMyPictures"= 1 (0x1)

"NoResolveTrack"= 1 (0x1)

 

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]

"NoSMConfigurePrograms"= 1 (0x1)

"NoSMMyPictures"= 1 (0x1)

"NoResolveTrack"= 1 (0x1)

 

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\program files\Windows Desktop Search\MSNLNamespaceMgr.dll" [2006-11-21 233472]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]

2008-05-02 01:42 72208 c:\program files\Fichiers communs\Logitech\Bluetooth\LBTWLgn.dll

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]

@=""

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"c:\\WINDOWS\\system32\\sessmgr.exe"=

"c:\\Program Files\\adslTV\\adslTV.exe"=

"c:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=

"c:\program files\Microsoft ActiveSync\rapimgr.exe"= c:\program files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager

"c:\program files\Microsoft ActiveSync\wcescomm.exe"= c:\program files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager

"c:\program files\Microsoft ActiveSync\WCESMgr.exe"= c:\program files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\SiSoftware\\SiSoftware Sandra Lite XII.SP2c\\RpcAgentSrv.exe"=

"c:\\Program Files\\SiSoftware\\SiSoftware Sandra Lite XII.SP2c\\WNt500x86\\RpcSandraSrv.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

"c:\\Program Files\\Microsoft LifeCam\\LifeCam.exe"=

"c:\\Program Files\\Microsoft LifeCam\\LifeEnC2.exe"=

"c:\\Program Files\\Microsoft LifeCam\\LifeExp.exe"=

"c:\\Program Files\\Microsoft LifeCam\\LifeTray.exe"=

"c:\\Program Files\\Unreal Tournament 3\\Binaries\\UT3.exe"=

"c:\\Program Files\\SEGA\\Medieval II Total War\\kingdoms.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"13831:TCP"= 13831:TCP:BitComet 13831 TCP

"13831:UDP"= 13831:UDP:BitComet 13831 UDP

"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

"443:UDP"= 443:UDP:*:Disabled:UDP port 443 ooVoo

"37674:TCP"= 37674:TCP:*:Disabled:TCP port 37674 ooVoo

"37674:UDP"= 37674:UDP:*:Disabled:UDP port 37674 ooVoo

"37675:UDP"= 37675:UDP:*:Disabled:UDP port 37675 ooVoo

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]

"AllowInboundEchoRequest"= 1 (0x1)

 

R0 xfilt;VIA SATA IDE Hot-plug Driver;c:\windows\system32\DRIVERS\xfilt.sys [2007-03-25 11264]

R2 SandraAgentSrv;SiSoftware Deployment Agent Service;c:\program files\SiSoftware\SiSoftware Sandra Lite XII.SP2c\RpcAgentSrv.exe [2008-05-17 98488]

R3 MSHUSBVideo;NX6000/NX3000/VX5000/VX5500/VX7000 Filter Driver;c:\windows\system32\Drivers\nx6000.sys [2008-07-25 33808]

S2 HamachiService;Hamachi Service;"c:\program files\Hamachi\hamachi.exe" -service [2008-09-06 625952]

S3 GoogleDesktopManager-022208-143751;Google Desktop Manager 5.7.802.22438;"c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2007-03-25 29744]

S3 SBRE;SBRE;\??\c:\windows\system32\drivers\SBREdrv.sys []

S3 UsbSagCom;SAGEM Full USB Driver;c:\windows\system32\DRIVERS\UsbSagCom.sys [2007-04-02 51456]

S4 Weezo;Weezo;"c:\program files\Weezo\bin\weezoLauncher.exe" -service []

S4 WeezoHttpd;WeezoHttpd;"c:\program files\Weezo\Apache\bin\weezoHttpd.exe" -f "c:\program files\Weezo\data\httpd.conf" -k runservice []

.

Contenu du dossier 'Tâches planifiées'

 

2008-09-10 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program files\Apple Software Update\SoftwareUpdate.exe [2007-08-29 14:57]

 

2008-12-22 c:\windows\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job

- c:\program files\Windows Live Toolbar\MSNTBUP.EXE [2007-10-19 10:20]

.

- - - - ORPHELINS SUPPRIMES - - - -

 

ShellIconOverlayIdentifiers-{B8A03725-03B9-485F-BB22-E848799D4C2A} - (no file)

HKU-Default-RunOnce-nltide3 - rundll32 advpack.dll

 

 

.

------- Examen supplémentaire -------

.

IE: &Windows Live Search - c:\program files\Windows Live Toolbar\msntb.dll/search.htm

IE: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

 

c:\windows\bdoscandellang.ini - c:\windows\bdoscandel.exe

c:\windows\Downloaded Program Files\live.ini

c:\windows\Downloaded Program Files\scanoptions.tsi

c:\windows\Downloaded Program Files\lang.ini

c:\windows\Downloaded Program Files\ipsupd.dll

c:\windows\Downloaded Program Files\bdupd.dll

c:\windows\Downloaded Program Files\libfn.dll

c:\windows\Downloaded Program Files\bdcore.dll

c:\windows\Downloaded Program Files\oscan8.ocx

O16 -: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499}

hxxp://bitdefender.bwm-mediasoft.com/scan8/oscan8.cab

c:\windows\Downloaded Program Files\oscan8.inf

FF - ProfilePath - c:\documents and settings\Félicité\Application Data\Mozilla\Firefox\Profiles\kxpn312c.default\

FF - prefs.js: browser.search.defaulturl - hxxp://fr.search.yahoo.com/search?ei=UTF-8&fr=ytff-cclean&p=

FF - prefs.js: browser.search.selectedEngine - Google

FF - prefs.js: browser.startup.homepage - hxxp://www.netvibes.com/#Actualites_techno

FF - prefs.js: keyword.URL - hxxp://fr.search.yahoo.com/search?ei=UTF-8&fr=ytff-cclean&p=

FF - component: c:\documents and settings\Félicité\Application Data\Mozilla\Firefox\Profiles\kxpn312c.default\extensions\piclens@cooliris.com\components\piclensstub.dll

FF - component: c:\program files\Mozilla Firefox 3 Beta 1\components\GoogleDesktopMozilla.dll

FF - plugin: c:\program files\Google\Google Updater\2.4.1368.5602\npCIDetect13.dll

FF - plugin: c:\program files\Mozilla Firefox 3 Beta 1\plugins\npGoogleGadgetPluginFirefoxWin.dll

FF - plugin: c:\program files\Picasa2\npPicasa2.dll

FF - plugin: c:\program files\Yahoo!\Common\npyaxmpb.dll

 

ATTENTION: FIREFOX POLICES IS IN FORCE

c:\program files\Mozilla Firefox 3 Beta 1\greprefs\security-prefs.js - pref("security.remember_cert_checkbox_default_setting", true);

c:\program files\Mozilla Firefox 3 Beta 1\defaults\pref\channel-prefs.js - pref("app.update.channel", "beta");

.

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-12-22 19:17:08

Windows 5.1.2600 Service Pack 3 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'winlogon.exe'(904)

c:\program files\fichiers communs\logitech\bluetooth\LBTWlgn.dll

c:\program files\fichiers communs\logitech\bluetooth\LBTServ.dll

.

------------------------ Autres processus actifs ------------------------

.

c:\program files\Lavasoft\Ad-Aware\aawservice.exe

c:\program files\Avira\AntiVir PersonalEdition Classic\sched.exe

c:\program files\Avira\AntiVir PersonalEdition Classic\avguard.exe

c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe

c:\program files\Java\jre6\bin\jqs.exe

c:\progra~1\MICROS~3\rapimgr.exe

c:\program files\Microsoft LifeCam\MSCamS32.exe

c:\windows\system32\nvsvc32.exe

c:\program files\Fichiers communs\Logishrd\KHAL2\KHALMNPR.exe

c:\program files\Fichiers communs\Teleca Shared\Generic.exe

c:\program files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe

c:\combofix\pv.cfexe

c:\program files\Avira\AntiVir PersonalEdition Classic\guardgui.exe

.

**************************************************************************

.

Heure de fin: 2008-12-22 19:21:02 - La machine a redémarré

ComboFix-quarantined-files.txt 2008-12-22 18:20:55

 

Avant-CF: 25 052 651 520 octets libres

Après-CF: 25,332,105,216 octets libres

 

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

 

273 --- E O F --- 2008-12-21 07:36:55

[Apollo]

Eh ben! Il y avait encore pas mal d'infections hein!

 

Ton Firefox est toujours une Béta? Il faudrait remplacer cela;

 

Vire celui que tu as et remplace-le par le dernier:

 

http://www.mozilla-europe.org/fr/

 

Réessaye le scan en ligne avec Kaspersky.

 

Si tu penses que ça ne va toujours pas marcher, utilise DrWebCureIt en mode sans échec:

 

 

Télécharge Dr.Web CureIt sur ton Bureau:

http://www.freedrweb.com/cureit/

[*]Double clique drweb-cureit.exe et ensuite clique sur Analyse;

[*]Clique Ok à l'invite de l'analyse rapide. Ce scan permet l'analyse des processus chargés en mémoire; s'il trouve des processus infectés, clique le bouton Oui pour tout à l'invite.

**Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction"; vous pouvez quitter en cliquant le "X"

[*]Lorsque le scan rapide est terminé, Clique sur le menu Options >> Changer la configuration;

[*]Choisis l'onglet "Scanner", et décoche "Analyse heuristique". Clique "Ok"

[*]De retour à la fenêtre principale : clique pour activer "Analyse complète";

[*]Clique le bouton avec flèche verte sur la droite, et le scan débutera.

[*]Clique Oui pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter".

[*]Lorsque le scan sera complété, regarde si tu peux cliquer sur cette icône, adjacente aux fichiers détectés :

[*]Si oui, alors clique dessus et ensuite clique sur l'icône "Suivant", au dessous, et choisis Déplacer en quarantaine l'objet indésirable

[*]Du menu principal de l'outil, au haut à gauche, clique sur le menu Fichier et choisis Enregistrer le rapport

[*]Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv

[*]Ferme Dr.Web Cureit

[*]Redémarre ton ordi (*très important*), car certains fichiers peuvent être déplacés/réparés au redémarrage.

[*]Suite au redémarrage, poste (Copie/Colle) le contenu du rapport de l'outil Dr.Web dans ta prochaine réponse.

 

Si tu as des problèmes avec le fichier *.csv, renomme l'extension en*.txt pour poster le rapport.

 

Poste aussi un nouveau log HJThis après reboot du pc stp.

 

Ton problème est plus qu'étrange...

 

@++

[bzoum]

Bon j'ai fait ce que tu m'as dit (sauf pour firefox). Mais il est toujours là. Il se manifeste au demaarage (antivir me le signale 10 fois de suite). Je crois que je vais tout formater et réinstaller le système.

Voici mes rapports :

 

Process.exe;C:\Documents and Settings\Félicité\.housecall6.6\SmitfraudFix;Tool.Prockill;Supprimé.;

restart.exe;C:\Documents and Settings\Félicité\.housecall6.6\SmitfraudFix;Trojan.Shutdown.134;Supprimé.;

data002\32788R22FWJFW\mtee.cfexe;C:\Documents and Settings\Félicité\Bureau\ComboFix.exe\data002;Probablement Trojan.Packed.258;;

data002\32788R22FWJFW\psexec.cfexe;C:\Documents and Settings\Félicité\Bureau\ComboFix.exe\data002;Program.PsExec.171;;

data002;C:\Documents and Settings\Félicité\Bureau\ComboFix.exe;L'archive contient des éléments infectés;;

ComboFix.exe;C:\Documents and Settings\Félicité\Bureau;L'archive contient des éléments infectés;Quarantaine.;

SDFix.exe\SDFix\apps\Process.exe;C:\Documents and Settings\Félicité\Bureau\SDFix.exe;Tool.Prockill;;

SDFix.exe;C:\Documents and Settings\Félicité\Bureau;L'archive contient des éléments infectés;Quarantaine.;

Process.exe;C:\Documents and Settings\Félicité\Bureau\SmitfraudFix;Tool.Prockill;Supprimé.;

restart.exe;C:\Documents and Settings\Félicité\Bureau\SmitfraudFix;Trojan.Shutdown.134;Supprimé.;

data002\32788R22FWJFW\mtee.cfexe;C:\Documents and Settings\Félicité\Local Settings\Application Data\Mozilla\Firefox\Profiles\kxpn312c.default\Cache\C2152591d01\;Probablement Trojan.Packed.258;;

data002\32788R22FWJFW\psexec.cfexe;C:\Documents and Settings\Félicité\Local Settings\Application Data\Mozilla\Firefox\Profiles\kxpn312c.default\Cache\C2152591d01\;Program.PsExec.171;;

data002;C:\Documents and Settings\Félicité\Local Settings\Application Data\Mozilla\Firefox\Profiles\kxpn312c.default\Cache\C2152591d01;L'archive contient des éléments infectés;;

C2152591d01;C:\Documents and Settings\Félicité\Local Settings\Application Data\Mozilla\Firefox\Profiles\kxpn312c.default\Cache;L'archive contient des éléments infectés;Quarantaine.;

Process.exe;C:\Program Files\Navilog1;Tool.Prockill;Supprimé.;

Setup.exe;C:\Program Files\Skyline\TerraExplorer;Probablement DLOADER.Trojan;Supprimé.;

Process.exe;C:\SDFix\apps;Tool.Prockill;Supprimé.;

A0000050.EXE;C:\System Volume Information\_restore{F66BBD4C-68A1-4655-9772-AE994ACFAAC3}\RP2;Program.PsExec.170;Supprimé.;

A0000092.exe;C:\System Volume Information\_restore{F66BBD4C-68A1-4655-9772-AE994ACFAAC3}\RP2;Trojan.Shutdown.134;Supprimé.;

data002\32788R22FWJFW\mtee.cfexe;C:\System Volume Information\_restore{F66BBD4C-68A1-4655-9772-AE994ACFAAC3}\RP2\A0000093.exe\data002;Probablement Trojan.Packed.258;;

data002\32788R22FWJFW\psexec.cfexe;C:\System Volume Information\_restore{F66BBD4C-68A1-4655-9772-AE994ACFAAC3}\RP2\A0000093.exe\data002;Program.PsExec.171;;

data002;C:\System Volume Information\_restore{F66BBD4C-68A1-4655-9772-AE994ACFAAC3}\RP2\A0000093.exe;L'archive contient des éléments infectés;;

A0000093.exe;C:\System Volume Information\_restore{F66BBD4C-68A1-4655-9772-AE994ACFAAC3}\RP2;L'archive contient des éléments infectés;Quarantaine.;

A0000094.exe\SDFix\apps\Process.exe;C:\System Volume Information\_restore{F66BBD4C-68A1-4655-9772-AE994ACFAAC3}\RP2\A0000094.exe;Tool.Prockill;;

A0000094.exe;C:\System Volume Information\_restore{F66BBD4C-68A1-4655-9772-AE994ACFAAC3}\RP2;L'archive contient des éléments infectés;Quarantaine.;

A0000095.exe;C:\System Volume Information\_restore{F66BBD4C-68A1-4655-9772-AE994ACFAAC3}\RP2;Trojan.Shutdown.134;Supprimé.;

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 07:00:28, on 23/12/2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16762)

Boot mode: Safe mode

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: dsWebAllowBHO Class - {2F85D76C-0569-466F-A488-493E6BD0E955} - C:\Program Files\Windows Desktop Search\dsWebAllow.dll

O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [LifeCam] "C:\Program Files\Microsoft LifeCam\LifeExp.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: hamachi.lnk = C:\Program Files\Hamachi\hamachi.exe

O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe

O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll

O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_ansi.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://bitdefender.bwm-mediasoft.com/scan8/oscan8.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftu...b?1209627658078

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe

O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Google Desktop Manager 5.7.802.22438 (GoogleDesktopManager-022208-143751) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Hamachi Service (HamachiService) - LogMeIn Inc. - C:\Program Files\Hamachi\hamachi.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Fichiers communs\Logitech\Bluetooth\LBTServ.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - NetGroup - Politecnico di Torino - C:\Program Files\WinPcap\rpcapd.exe

O23 - Service: SiSoftware Deployment Agent Service (SandraAgentSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite XII.SP2c\RpcAgentSrv.exe

 

--

End of file - 8909 bytes

[Apollo]

Bonjour,

 

Tout de suite les grands mots lol.

 

On ne formate pas pour cela! Si je n'y arrivais pas, dis-toi qu'il y a des gens beaucoup plus forts que moi ici pour te sortie du pétrin; on ne laisse tomber personne.

 

S'il le fallait je demanderais à un membre sécurité plus avancé que moi s'il veut bien te prendre en charge.

 

Peux-tu me montrer le rapport Antivir lorsqu'il signale cette alerte? ("10 fois de suite").

 

Si je connais son chemin, je l'aurais plus facilement, mais avec toute l'artillerie qu'on a utilisé, je suis très très étonné! Kasper et CureIT + ComboFix, ce n'est pas n'importe qui hein.

 

Il y a des objets infectés dans ta ou tes messageries, tu devrais vider tout car Antivir ne les a pas fixés pour ne pas "nuire" au fonctionnement de la messagerie.

 

Je peux te faire utiliser un outil très puissant mais cela demandera beaucoup de temps d'analyse; dis-moi si tu veux ou non en passer par là.

 

@++

[bzoum]

Bonjour,

Merci beaucoup de ton aide. C'est aussi frustrant pour moi de ne pas comprendre ce qui ce passe. Pendant quelques jours je ne serais plus chez moi pour faire des tests.

 

D'après ce que j'ai retenu de ces alertes et ce quelque soit l'antivirus (avec avast, bitdefender et antivir), c'est lorsque le système sollicite le service svchost que l'alerte se déclenche. Et lorsqu'elle se déclenche, c'est plusieurs fois de suite (jusqu'à une dizaine avec antivir). Tous les antivirus incriminent svchost. Parfois, ils parviennent à l'effacer, d'autres fois c'est impossible. Une fois qu'il est effacé, quand je fais une scan au démarrage suivant, ils ne trouvent rien. Comme si un autre virus ou troyen, lui indétectable, infectait à chaque démarrage svchost (ou créait un faux svchost). Une fois, j'ai essayé de terminer les processus svchost en fonction (il y en a souvent 3 ou 4). J'ai réussi pour 3 d'entre eux, pour le 4ème, Windows m'a annoncé un redémarrage dans les 6à secondes.

[Apollo]

Bonsoir,

 

Tu as peut-être un fichier corrompu.

 

Si tu as le cd xp original de Micosoft, insère-le dans le lecteur en maintenant la touche majuscule enfoncée pendant quelques secondes pour ne pas que le cd se lance.

 

Va ensuite dans démarrer/exécuter et copie/colle la commande suivante:

 

sfc /scannow puis valide avec Ok ou la touche Enter.

 

@++