[ RESOLU ] ordinateur portable coincé suite aux virus

[pear]

Bonsoir,

 

J'ai soumis votre problème à d'autres helpers.

Votre problème , en effet , n'est pas banal.

J'espère avoir des réponses concrètes.

Patience donc .

[temacine]

Bonsoir Pear,

 

merci encore,

 

avec la patience dont vous, vous faites preuve à mon égard il serait vraiment mal venu que j'en ai pas,

d'autant que c'est une néglicence grave qui est la cause de ce problème.

Il y a peu que je tourne avec XP, depuis que mon fils m'a refilé son portable, auparavant j'étais avec mon W98 bien peinard sans clé sans rien sans protection sans jamais de virus.

Il faut suivre et se conformer au progrès.

[pear]

Bonsoir,

 

Vous présentez une courtoisie qui, je le déplore,n'est pas des plus fréquentes sur les forums.

Trop souvent , à mon gout,on utilise un langage assez loin de l'Académie.

D'ores et déjà, je vous conseille de garder sous la main un authentique cd de Xp:

J'ai bien peur qu'il y faille recourir.

[temacine]

Bonsoir,

 

Merci et touché par ces compliments mais je crains que vous ne les regrettiez à la lecture de ce qui suit.

En effet, plutôt que me tourner les pouces en attendant j'ai relu plus qu'attentivement tous vos messages et horreur j'ai fait beaucoup de bétises.

Je comprends mieux maintenant votre perplexité.

 

en reprenant tous les messages je me rends compte que je n'ai pas suivi les consignes à la lettre.

 

Tout d'abord je n'ai pas posté le rapport de RSIT :

 

Logfile of random's system information tool 1.05 (written by random/random)

Run by Administrateur at 2009-01-01 21:49:35

Microsoft Windows XP Édition familiale

System drive C: has 39 GB (51%) free of 76 GB

Total RAM: 503 MB (73% free)

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 21:49, on 2009-01-01

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Boot mode: Safe mode with network support

 

Running processes:

C:\WIN\System32\smss.exe

C:\WIN\system32\winlogon.exe

C:\WIN\system32\services.exe

C:\WIN\system32\lsass.exe

C:\WIN\system32\svchost.exe

C:\WIN\System32\svchost.exe

C:\WIN\System32\svchost.exe

C:\WIN\System32\svchost.exe

C:\WIN\System32\svchost.exe

C:\WIN\Explorer.EXE

C:\Program Files\internet explorer\iexplore.exe

C:\WIN\System32\wpabaln.exe

C:\Documents and Settings\Administrateur.MOI-BG03SDCEUJH\Bureau\RSIT.exe

C:\Program Files\trend micro\Administrateur.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WIN\System32\msdxm.ocx

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WIN\system32\NeroCheck.exe

O4 - HKLM\..\Run: [reader_s] C:\WIN\System32\reader_s.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WIN\System32\CTFMON.EXE

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WIN\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\Run: [reader_s] C:\Documents and Settings\Administrateur.MOI-BG03SDCEUJH\reader_s.exe (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WIN\System32\CTFMON.EXE (User 'Default user')

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WIN\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WIN\web\related.htm

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Spouleur d'impression (Spooler) - Unknown owner - C:\WIN\system32\spoolsv.exe (file missing)

 

--

End of file - 2587 bytes

 

======Registry dump======

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

{8E718888-423F-11D2-876E-00A0C9082467} - &Radio - C:\WIN\System32\msdxm.ocx [2001-08-28 847900]

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

"NeroFilterCheck"=C:\WIN\system32\NeroCheck.exe [2001-07-09 167936]

"reader_s"=C:\WIN\System32\reader_s.exe [2009-01-01 38400]

"avgnt"=C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe [2006-10-31 311336]

 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"=C:\WIN\System32\CTFMON.EXE [2001-08-28 23040]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PSEXESVC]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\PSEXESVC]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\UploadMgr]

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]

"dontdisplaylastusername"=0

"legalnoticecaption"=

"legalnoticetext"=

"shutdownwithoutlogon"=1

"undockwithoutlogon"=1

 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]

"NoDriveTypeAutoRun"=323

"NoDriveAutoRun"=67108863

"NoDrives"=0

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]

"NoDriveAutoRun"=

"NoDriveTypeAutoRun"=

"NoDrives"=

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

 

======List of files/folders created in the last 1 months======

 

2009-01-01 21:49:36 ----D---- C:\Program Files\trend micro

2009-01-01 21:49:35 ----D---- C:\rsit

2009-01-01 21:08:18 ----D---- C:\Program Files\AntiVir PersonalEdition Classic

2009-01-01 21:08:18 ----D---- C:\Documents and Settings\All Users.WIN\Application Data\AntiVir PersonalEdition Classic

2009-01-01 20:00:26 ----A---- C:\WIN\PSEXESVC.EXE

2009-01-01 19:54:17 ----D---- C:\WIN\temp

2009-01-01 19:50:49 ----D---- C:\ComboFix

2009-01-01 19:50:47 ----A---- C:\WIN\System32\CF3579.exe

2009-01-01 19:47:08 ----SD---- C:\Documents and Settings\Administrateur.MOI-BG03SDCEUJH\Application Data\Microsoft

2009-01-01 19:47:08 ----ASH---- C:\Documents and Settings\Administrateur.MOI-BG03SDCEUJH\Application Data\desktop.ini

2009-01-01 18:52:16 ----SHD---- C:\RECYCLER

2009-01-01 18:02:57 ----A---- C:\WIN\System32\reader_s.tmp

2009-01-01 18:02:57 ----A---- C:\WIN\System32\reader_s.exe

2009-01-01 13:44:36 ----A---- C:\WIN\zip.exe

2009-01-01 13:44:36 ----A---- C:\WIN\VFIND.exe

2009-01-01 13:44:36 ----A---- C:\WIN\SWXCACLS.exe

2009-01-01 13:44:36 ----A---- C:\WIN\SWSC.exe

2009-01-01 13:44:36 ----A---- C:\WIN\SWREG.exe

2009-01-01 13:44:36 ----A---- C:\WIN\sed.exe

2009-01-01 13:44:36 ----A---- C:\WIN\NIRCMD.exe

2009-01-01 13:44:36 ----A---- C:\WIN\grep.exe

2009-01-01 13:44:36 ----A---- C:\WIN\fdsv.exe

2009-01-01 13:44:28 ----D---- C:\WIN\ERDNT

2009-01-01 13:44:28 ----AD---- C:\Qoobox

2008-12-31 11:23:01 ----RA---- C:\WIN\System32\TwnLib20.dll

2008-12-31 11:22:52 ----RA---- C:\WIN\System32\picn20.dll

2008-12-31 11:22:49 ----RA---- C:\WIN\System32\imagx5.dll

2008-12-31 11:22:48 ----RA---- C:\WIN\System32\ImagXpr5.dll

2008-12-31 11:22:48 ----RA---- C:\WIN\System32\imagr5.dll

2008-12-31 11:22:45 ----D---- C:\Program Files\Fichiers communs\Ahead

2008-12-31 11:22:44 ----RA---- C:\WIN\System32\NeroCheck.exe

2008-12-31 11:22:39 ----D---- C:\Program Files\Ahead

2008-12-30 17:17:24 ----A---- C:\WIN\ntbtlog.txt

2008-12-30 17:09:10 ----D---- C:\Nouveau dossier (3)

2008-12-30 17:09:09 ----D---- C:\Nouveau dossier (2)

2008-12-30 17:09:06 ----D---- C:\Nouveau dossier

2008-12-30 16:16:41 ----D---- C:\WIN\WinSxS

2008-12-30 16:16:41 ----D---- C:\WIN\System32\usmt

2008-12-30 16:16:41 ----D---- C:\WIN\System32\inetsrv

2008-12-30 16:16:41 ----D---- C:\WIN\System32\IME

2008-12-30 16:16:41 ----D---- C:\WIN\System32\3com_dmi

2008-12-30 16:16:41 ----D---- C:\WIN\System32\3076

2008-12-30 16:16:41 ----D---- C:\WIN\System32\2052

2008-12-30 16:16:41 ----D---- C:\WIN\System32\1054

2008-12-30 16:16:41 ----D---- C:\WIN\System32\1042

2008-12-30 16:16:41 ----D---- C:\WIN\System32\1041

2008-12-30 16:16:41 ----D---- C:\WIN\System32\1037

2008-12-30 16:16:41 ----D---- C:\WIN\System32\1036

2008-12-30 16:16:41 ----D---- C:\WIN\System32\1033

2008-12-30 16:16:41 ----D---- C:\WIN\System32\1031

2008-12-30 16:16:41 ----D---- C:\WIN\System32\1028

2008-12-30 16:16:41 ----D---- C:\WIN\System32\1025

2008-12-30 16:16:41 ----D---- C:\WIN\mui

2008-12-30 16:16:41 ----D---- C:\WIN\ime

2008-12-30 16:16:40 ----RSHDC---- C:\WIN\System32\dllcache

2008-12-30 16:16:40 ----RSD---- C:\WIN\Fonts

2008-12-30 16:16:40 ----RD---- C:\WIN\Web

2008-12-30 16:16:40 ----HD---- C:\WIN\inf

2008-12-30 16:16:40 ----D---- C:\WIN\twain_32

2008-12-30 16:16:40 ----D---- C:\WIN\System32\wins

2008-12-30 16:16:40 ----D---- C:\WIN\System32\wbem

2008-12-30 16:16:40 ----D---- C:\WIN\System32\spool

2008-12-30 16:16:40 ----D---- C:\WIN\System32\ShellExt

2008-12-30 16:16:40 ----D---- C:\WIN\System32\Setup

2008-12-30 16:16:40 ----D---- C:\WIN\System32\ras

2008-12-30 16:16:40 ----D---- C:\WIN\System32\oobe

2008-12-30 16:16:40 ----D---- C:\WIN\System32\npp

2008-12-30 16:16:40 ----D---- C:\WIN\System32\mui

2008-12-30 16:16:40 ----D---- C:\WIN\System32\icsxml

2008-12-30 16:16:40 ----D---- C:\WIN\System32\ias

2008-12-30 16:16:40 ----D---- C:\WIN\System32\export

2008-12-30 16:16:40 ----D---- C:\WIN\System32\drivers

2008-12-30 16:16:40 ----D---- C:\WIN\System32\dhcp

2008-12-30 16:16:40 ----D---- C:\WIN\System32\config

2008-12-30 16:16:40 ----D---- C:\WIN\system32

2008-12-30 16:16:40 ----D---- C:\WIN\system

2008-12-30 16:16:40 ----D---- C:\WIN\security

2008-12-30 16:16:40 ----D---- C:\WIN\Resources

2008-12-30 16:16:40 ----D---- C:\WIN\repair

2008-12-30 16:16:40 ----D---- C:\WIN\msapps

2008-12-30 16:16:40 ----D---- C:\WIN\msagent

2008-12-30 16:16:40 ----D---- C:\WIN\Media

2008-12-30 16:16:40 ----D---- C:\WIN\java

2008-12-30 16:16:40 ----D---- C:\WIN\Help

2008-12-30 16:16:40 ----D---- C:\WIN\Driver Cache

2008-12-30 16:16:40 ----D---- C:\WIN\Debug

2008-12-30 16:16:40 ----D---- C:\WIN\Cursors

2008-12-30 16:16:40 ----D---- C:\WIN\Connection Wizard

2008-12-30 16:16:40 ----D---- C:\WIN\Config

2008-12-30 16:16:40 ----D---- C:\WIN\AppPatch

2008-12-30 16:16:40 ----D---- C:\WIN\addins

2008-12-30 16:16:40 ----D---- C:\WIN

2008-12-30 15:50:30 ----SHD---- C:\WIN\Installer

2008-12-30 15:48:38 ----D---- C:\WIN\Prefetch

2008-12-30 15:48:38 ----A---- C:\WIN\SchedLgU.Txt

2008-12-30 15:42:58 ----D---- C:\WIN\System32\xircom

2008-12-30 15:42:43 ----A---- C:\WIN\control.ini

2008-12-30 15:42:31 ----A---- C:\WIN\OEWABLog.txt

2008-12-30 15:42:23 ----A---- C:\WIN\System32\mapi32.dll

2008-12-30 15:41:12 ----SD---- C:\WIN\Downloaded Program Files

2008-12-30 15:41:12 ----RD---- C:\WIN\Offline Web Pages

2008-12-30 15:41:11 ----RAH---- C:\WIN\System32\logonui.exe.manifest

2008-12-30 15:41:01 ----RAH---- C:\WIN\System32\cdplayer.exe.manifest

2008-12-30 15:40:29 ----D---- C:\WIN\srchasst

2008-12-30 15:40:22 ----D---- C:\WIN\System32\DirectX

2008-12-30 15:40:21 ----D---- C:\WIN\System32\Macromed

2008-12-30 15:40:07 ----A---- C:\WIN\System32\qmgrprxy.dll

2008-12-30 15:40:07 ----A---- C:\WIN\System32\qmgr.dll

2008-12-30 15:39:48 ----A---- C:\WIN\System32\safrslv.dll

2008-12-30 15:39:48 ----A---- C:\WIN\System32\safrdm.dll

2008-12-30 15:39:48 ----A---- C:\WIN\System32\safrcdlg.dll

2008-12-30 15:39:48 ----A---- C:\WIN\System32\racpldlg.dll

2008-12-30 15:39:48 ----A---- C:\WIN\System32\atrace.dll

2008-12-30 15:39:42 ----A---- C:\WIN\System32\desktop.ini

2008-12-30 15:39:42 ----A---- C:\WIN\desktop.ini

2008-12-30 15:39:35 ----D---- C:\WIN\System32\Restore

2008-12-30 15:39:35 ----A---- C:\WIN\System32\srsvc.dll

2008-12-30 15:39:35 ----A---- C:\WIN\System32\srrstr.dll

2008-12-30 15:39:35 ----A---- C:\WIN\System32\srclient.dll

2008-12-30 15:39:33 ----A---- C:\WIN\System32\nmmkcert.dll

2008-12-30 15:39:33 ----A---- C:\WIN\System32\nmevtmsg.dll

2008-12-30 15:39:33 ----A---- C:\WIN\System32\mnmsrvc.exe

2008-12-30 15:39:33 ----A---- C:\WIN\System32\mnmdd.dll

2008-12-30 15:39:33 ----A---- C:\WIN\System32\isrdbg32.dll

2008-12-30 15:39:33 ----A---- C:\WIN\System32\ils.dll

2008-12-30 15:39:32 ----A---- C:\WIN\System32\msconf.dll

2008-12-30 15:39:27 ----D---- C:\WIN\PCHEALTH

2008-12-30 15:39:27 ----A---- C:\WIN\System32\msoert2.dll

2008-12-30 15:39:27 ----A---- C:\WIN\System32\acctres.dll

2008-12-30 15:39:26 ----A---- C:\WIN\System32\msoeacct.dll

2008-12-30 15:39:25 ----A---- C:\WIN\System32\inetres.dll

2008-12-30 15:39:25 ----A---- C:\WIN\System32\inetcomm.dll

2008-12-30 15:39:22 ----SD---- C:\WIN\Tasks

2008-12-30 15:39:22 ----A---- C:\WIN\System32\schedsvc.dll

2008-12-30 15:39:22 ----A---- C:\WIN\System32\mstinit.exe

2008-12-30 15:39:22 ----A---- C:\WIN\System32\mstask.dll

2008-12-30 15:39:22 ----A---- C:\WIN\System32\icwphbk.dll

2008-12-30 15:39:21 ----A---- C:\WIN\System32\isign32.dll

2008-12-30 15:39:21 ----A---- C:\WIN\System32\inetcfg.dll

2008-12-30 15:39:21 ----A---- C:\WIN\System32\icwdial.dll

2008-12-30 15:39:21 ----A---- C:\WIN\System32\icfgnt5.dll

2008-12-30 15:38:30 ----A---- C:\WIN\vbaddin.ini

2008-12-30 15:38:30 ----A---- C:\WIN\vb.ini

2008-12-30 15:38:22 ----D---- C:\WIN\Registration

2008-12-30 15:37:21 ----A---- C:\WIN\System32\write.exe

2008-12-30 15:37:15 ----A---- C:\WIN\System32\sndvol32.exe

2008-12-30 15:37:15 ----A---- C:\WIN\System32\sndrec32.exe

2008-12-30 15:37:15 ----A---- C:\WIN\System32\mplay32.exe

2008-12-30 15:37:15 ----A---- C:\WIN\System32\hypertrm.dll

2008-12-30 15:37:15 ----A---- C:\WIN\System32\accwiz.exe

2008-12-30 15:37:14 ----A---- C:\WIN\System32\hticons.dll

2008-12-30 15:37:14 ----A---- C:\WIN\System32\avwav.dll

2008-12-30 15:37:14 ----A---- C:\WIN\System32\avtapi.dll

2008-12-30 15:37:14 ----A---- C:\WIN\System32\avmeter.dll

2008-12-30 15:37:13 ----A---- C:\WIN\System32\winchat.exe

2008-12-30 15:37:12 ----A---- C:\WIN\System32\mspaint.exe

2008-12-30 15:37:07 ----A---- C:\WIN\System32\clipbrd.exe

2008-12-30 15:37:06 ----A---- C:\WIN\System32\getuname.dll

2008-12-30 15:37:06 ----A---- C:\WIN\System32\charmap.exe

2008-12-30 15:37:06 ----A---- C:\WIN\System32\calc.exe

2008-12-30 15:37:05 ----A---- C:\WIN\System32\winmine.exe

2008-12-30 15:37:05 ----A---- C:\WIN\System32\spider.exe

2008-12-30 15:37:05 ----A---- C:\WIN\System32\sol.exe

2008-12-30 15:37:05 ----A---- C:\WIN\System32\mshearts.exe

2008-12-30 15:37:04 ----A---- C:\WIN\System32\wuauserv.dll

2008-12-30 15:37:04 ----A---- C:\WIN\System32\wuaueng.dll

2008-12-30 15:37:04 ----A---- C:\WIN\System32\wuauclt.exe

2008-12-30 15:37:04 ----A---- C:\WIN\System32\freecell.exe

2008-12-30 15:37:03 ----A---- C:\WIN\System32\tscfgwmi.dll

2008-12-30 15:37:03 ----A---- C:\WIN\System32\sessmgr.exe

2008-12-30 15:37:03 ----A---- C:\WIN\System32\reset.exe

2008-12-30 15:37:03 ----A---- C:\WIN\System32\remotepg.dll

2008-12-30 15:37:03 ----A---- C:\WIN\System32\rdshost.exe

2008-12-30 15:37:03 ----A---- C:\WIN\System32\rdsaddin.exe

2008-12-30 15:37:03 ----A---- C:\WIN\System32\mstscax.dll

2008-12-30 15:37:03 ----A---- C:\WIN\System32\mstsc.exe

2008-12-30 15:37:02 ----A---- C:\WIN\System32\usrlogon.cmd

2008-12-30 15:37:02 ----A---- C:\WIN\System32\tsshutdn.exe

2008-12-30 15:37:02 ----A---- C:\WIN\System32\tslabels.ini

2008-12-30 15:37:02 ----A---- C:\WIN\System32\tskill.exe

2008-12-30 15:37:02 ----A---- C:\WIN\System32\tsdiscon.exe

2008-12-30 15:37:02 ----A---- C:\WIN\System32\tscupgrd.exe

2008-12-30 15:37:02 ----A---- C:\WIN\System32\tscon.exe

2008-12-30 15:37:02 ----A---- C:\WIN\System32\termsrv.dll

2008-12-30 15:37:02 ----A---- C:\WIN\System32\shadow.exe

2008-12-30 15:37:02 ----A---- C:\WIN\System32\rwinsta.exe

2008-12-30 15:37:02 ----A---- C:\WIN\System32\regini.exe

2008-12-30 15:37:02 ----A---- C:\WIN\System32\rdchost.dll

2008-12-30 15:37:01 ----A---- C:\WIN\System32\rdpwsx.dll

2008-12-30 15:37:01 ----A---- C:\WIN\System32\rdpsnd.dll

2008-12-30 15:37:01 ----A---- C:\WIN\System32\rdpclip.exe

2008-12-30 15:37:01 ----A---- C:\WIN\System32\rdpcfgex.dll

2008-12-30 15:37:01 ----A---- C:\WIN\System32\qwinsta.exe

2008-12-30 15:37:01 ----A---- C:\WIN\System32\qprocess.exe

2008-12-30 15:37:01 ----A---- C:\WIN\System32\qappsrv.exe

2008-12-30 15:37:01 ----A---- C:\WIN\System32\msg.exe

2008-12-30 15:37:01 ----A---- C:\WIN\System32\logoff.exe

2008-12-30 15:37:01 ----A---- C:\WIN\System32\icaapi.dll

2008-12-30 15:37:01 ----A---- C:\WIN\System32\cfgbkend.dll

2008-12-30 15:37:01 ----A---- C:\WIN\System32\cdmodem.dll

2008-12-30 15:37:00 ----D---- C:\WIN\System32\MsDtc

2008-12-30 15:37:00 ----A---- C:\WIN\System32\xolehlp.dll

2008-12-30 15:37:00 ----A---- C:\WIN\System32\mtxoci.dll

2008-12-30 15:37:00 ----A---- C:\WIN\System32\msdtcuiu.dll

2008-12-30 15:37:00 ----A---- C:\WIN\System32\msdtctm.dll

2008-12-30 15:37:00 ----A---- C:\WIN\System32\msdtcprx.dll

2008-12-30 15:37:00 ----A---- C:\WIN\System32\msdtcprf.ini

2008-12-30 15:36:59 ----A---- C:\WIN\System32\msdtclog.dll

2008-12-30 15:36:59 ----A---- C:\WIN\System32\msdtc.exe

2008-12-30 15:36:58 ----D---- C:\WIN\System32\Com

2008-12-30 15:36:58 ----A---- C:\WIN\System32\mtxlegih.dll

2008-12-30 15:36:58 ----A---- C:\WIN\System32\mtxex.dll

2008-12-30 15:36:58 ----A---- C:\WIN\System32\mtxdm.dll

2008-12-30 15:36:58 ----A---- C:\WIN\System32\dcomcnfg.exe

2008-12-30 15:36:58 ----A---- C:\WIN\System32\comaddin.dll

2008-12-30 15:36:58 ----A---- C:\WIN\System32\colbact.dll

2008-12-30 15:36:57 ----A---- C:\WIN\System32\stclient.dll

2008-12-30 15:36:57 ----A---- C:\WIN\System32\comrepl.dll

2008-12-30 15:36:57 ----A---- C:\WIN\System32\clbcatex.dll

2008-12-30 15:36:57 ----A---- C:\WIN\System32\catsrvut.dll

2008-12-30 15:36:57 ----A---- C:\WIN\System32\catsrvps.dll

2008-12-30 15:36:56 ----A---- C:\WIN\System32\comuid.dll

2008-12-30 15:36:56 ----A---- C:\WIN\System32\comsvcs.dll

2008-12-30 15:36:56 ----A---- C:\WIN\System32\comsnap.dll

2008-12-30 15:36:56 ----A---- C:\WIN\System32\catsrv.dll

2008-12-30 15:36:55 ----A---- C:\WIN\System32\clbcatq.dll

2008-12-30 15:36:46 ----A---- C:\WIN\System32\wmimgmt.msc

2008-12-30 15:36:46 ----A---- C:\WIN\System32\servdeps.dll

2008-12-30 15:36:46 ----A---- C:\WIN\System32\mmfutil.dll

2008-12-30 15:36:44 ----A---- C:\WIN\System32\licwmi.dll

2008-12-30 15:36:44 ----A---- C:\WIN\System32\cmprops.dll

2008-12-30 15:33:28 ----A---- C:\WIN\System32\h323log.txt

2008-12-30 15:25:28 ----A---- C:\WIN\System32\usbui.dll

2008-12-30 15:23:27 ----A---- C:\WIN\System32\PerfStringBackup.INI

2008-12-30 15:23:25 ----A---- C:\WIN\ODBCINST.INI

2008-12-30 15:23:18 ----RA---- C:\WIN\System32\kbdtuq.dll

2008-12-30 15:23:18 ----RA---- C:\WIN\System32\kbdtuf.dll

2008-12-30 15:23:18 ----RA---- C:\WIN\System32\kbdazel.dll

2008-12-30 15:23:16 ----RA---- C:\WIN\System32\kbdycc.dll

2008-12-30 15:23:16 ----RA---- C:\WIN\System32\kbduzb.dll

2008-12-30 15:23:16 ----RA---- C:\WIN\System32\kbdur.dll

2008-12-30 15:23:16 ----RA---- C:\WIN\System32\kbdtat.dll

2008-12-30 15:23:16 ----RA---- C:\WIN\System32\kbdru1.dll

2008-12-30 15:23:16 ----RA---- C:\WIN\System32\kbdru.dll

2008-12-30 15:23:16 ----RA---- C:\WIN\System32\kbdmon.dll

2008-12-30 15:23:16 ----RA---- C:\WIN\System32\kbdkyr.dll

2008-12-30 15:23:16 ----RA---- C:\WIN\System32\kbdkaz.dll

2008-12-30 15:23:16 ----RA---- C:\WIN\System32\kbdbu.dll

2008-12-30 15:23:16 ----RA---- C:\WIN\System32\kbdblr.dll

2008-12-30 15:23:16 ----RA---- C:\WIN\System32\kbdaze.dll

2008-12-30 15:23:14 ----RA---- C:\WIN\System32\kbdhept.dll

2008-12-30 15:23:14 ----RA---- C:\WIN\System32\kbdhela3.dll

2008-12-30 15:23:14 ----RA---- C:\WIN\System32\kbdhela2.dll

2008-12-30 15:23:14 ----RA---- C:\WIN\System32\kbdhe319.dll

2008-12-30 15:23:14 ----RA---- C:\WIN\System32\kbdhe220.dll

2008-12-30 15:23:14 ----RA---- C:\WIN\System32\kbdhe.dll

2008-12-30 15:23:14 ----RA---- C:\WIN\System32\kbdgkl.dll

2008-12-30 15:23:12 ----RA---- C:\WIN\System32\kbdlv1.dll

2008-12-30 15:23:12 ----RA---- C:\WIN\System32\kbdlv.dll

2008-12-30 15:23:12 ----RA---- C:\WIN\System32\kbdlt1.dll

2008-12-30 15:23:12 ----RA---- C:\WIN\System32\kbdlt.dll

2008-12-30 15:23:12 ----RA---- C:\WIN\System32\kbdest.dll

2008-12-30 15:23:10 ----RA---- C:\WIN\System32\kbdycl.dll

2008-12-30 15:23:10 ----RA---- C:\WIN\System32\kbdsl1.dll

2008-12-30 15:23:10 ----RA---- C:\WIN\System32\kbdsl.dll

2008-12-30 15:23:10 ----RA---- C:\WIN\System32\kbdro.dll

2008-12-30 15:23:10 ----RA---- C:\WIN\System32\kbdpl1.dll

2008-12-30 15:23:10 ----RA---- C:\WIN\System32\kbdpl.dll

2008-12-30 15:23:10 ----RA---- C:\WIN\System32\kbdhu1.dll

2008-12-30 15:23:10 ----RA---- C:\WIN\System32\kbdhu.dll

2008-12-30 15:23:10 ----RA---- C:\WIN\System32\kbdcz2.dll

2008-12-30 15:23:10 ----RA---- C:\WIN\System32\kbdcz1.dll

2008-12-30 15:23:10 ----RA---- C:\WIN\System32\kbdcz.dll

2008-12-30 15:23:10 ----RA---- C:\WIN\System32\kbdcr.dll

2008-12-30 15:23:10 ----RA---- C:\WIN\System32\KBDAL.DLL

2008-12-30 15:23:08 ----A---- C:\WIN\System32\irclass.dll

2008-12-30 15:23:07 ----A---- C:\WIN\System32\spxcoins.dll

2008-12-30 15:23:07 ----A---- C:\WIN\System32\EqnClass.Dll

2008-12-30 15:23:07 ----A---- C:\WIN\System32\dgsetup.dll

2008-12-30 15:23:07 ----A---- C:\WIN\System32\dgrpsetu.dll

2008-12-30 15:23:07 ----A---- C:\WIN\System32\batt.dll

2008-12-30 15:23:05 ----A---- C:\WIN\TASKMAN.EXE

2008-12-30 15:23:04 ----N---- C:\WIN\System32\CONFIG.TMP

2008-12-30 15:23:04 ----A---- C:\WIN\NOTEPAD.EXE

2008-12-30 15:23:02 ----A---- C:\WIN\System32\storprop.dll

2008-12-30 15:22:49 ----ASH---- C:\Documents and Settings\All Users.WIN\Application Data\desktop.ini

2008-12-30 15:22:47 ----RA---- C:\WIN\SET7.tmp

2008-12-30 15:22:44 ----RA---- C:\WIN\SET3.tmp

2008-12-30 15:22:34 ----D---- C:\WIN\System32\CatRoot2

2008-12-30 15:22:34 ----D---- C:\WIN\System32\CatRoot

2008-12-30 15:22:28 ----SD---- C:\Documents and Settings\All Users.WIN\Application Data\Microsoft

2008-12-30 15:22:12 ----A---- C:\WIN\setuplog.txt

2008-12-23 18:13:14 ----D---- C:\Program Files\antivir

 

======List of files/folders modified in the last 1 months======

 

2009-01-01 21:49:36 ----RD---- C:\Program Files

2009-01-01 20:03:16 ----A---- C:\WIN\system.ini

2009-01-01 19:54:16 ----A---- C:\WIN\explorer.exe

2009-01-01 19:53:06 ----D---- C:\Program Files\Fichiers communs

2009-01-01 19:47:07 ----D---- C:\Documents and Settings

2008-12-30 17:09:44 ----D---- C:\telechargements

2008-12-30 15:50:35 ----D---- C:\Config.Msi

2008-12-30 15:50:26 ----D---- C:\Program Files\Windows Media Player

2008-12-30 15:50:26 ----D---- C:\Program Files\Messenger

2008-12-30 15:48:41 ----SHD---- C:\System Volume Information

2008-12-30 15:48:40 ----HD---- C:\Program Files\WindowsUpdate

2008-12-30 15:42:43 ----A---- C:\WIN\win.ini

2008-12-30 15:40:07 ----D---- C:\Program Files\Movie Maker

2008-12-30 15:39:32 ----D---- C:\Program Files\NetMeeting

2008-12-30 15:39:26 ----D---- C:\Program Files\Outlook Express

2008-12-30 15:39:26 ----D---- C:\Program Files\Fichiers communs\System

2008-12-30 15:39:05 ----D---- C:\Program Files\Internet Explorer

2008-12-30 15:37:40 ----D---- C:\Program Files\Services en ligne

2008-12-30 15:37:40 ----D---- C:\Program Files\MSN

2008-12-30 15:37:14 ----D---- C:\Program Files\Windows NT

2008-12-30 15:33:36 ----SH---- C:\boot.ini

2008-12-24 16:56:42 ----D---- C:\WINDOWS

 

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

 

R1 avgntdd;avgntdd; C:\WIN\SYSTEM32\DRIVERS\avgntdd.sys [2006-11-22 34304]

R3 hidusb;Pilote de classe HID Microsoft; C:\WIN\System32\DRIVERS\hidusb.sys [2001-08-28 9600]

R3 mouhid;Pilote HID de souris; C:\WIN\System32\DRIVERS\mouhid.sys [2001-08-28 12288]

R3 rtl8139;Pilote NT de carte Realtek PCI Fast Ethernet à base RTL8139(A/B/C); C:\WIN\System32\DRIVERS\RTL8139.SYS [2001-08-17 23070]

R3 usbhub;Concentrateur USB2; C:\WIN\System32\DRIVERS\usbhub.sys [2001-08-28 50688]

R3 USBSTOR;Pilote de stockage de masse USB; C:\WIN\System32\DRIVERS\USBSTOR.SYS [2001-08-17 21760]

R3 usbuhci;Pilote miniport de contrôleur hôte universel USB Microsoft; C:\WIN\System32\DRIVERS\usbuhci.sys [2001-08-28 18944]

S3 Arp1394;Protocole client ARP 1394; C:\WIN\System32\DRIVERS\arp1394.sys [2001-08-28 54016]

S3 catchme;catchme; \??\C:\ComboFix\catchme.sys []

S3 CmBatt;Pilote pour Batterie à méthode de contrôle ACPI Microsoft; C:\WIN\System32\DRIVERS\CmBatt.sys [2001-08-17 13056]

S3 NIC1394;Pilote réseau 1394; C:\WIN\System32\DRIVERS\nic1394.sys [2001-08-28 56960]

S4 IntelIde;IntelIde; C:\WIN\System32\drivers\IntelIde.sys []

 

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

 

S2 AntiVirScheduler;AntiVir PersonalEdition Classic Scheduler; C:\Program Files\AntiVir PersonalEdition Classic\sched.exe [2006-11-13 55336]

S2 AntiVirService;AntiVir PersonalEdition Classic Guard; C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe [2006-11-24 200232]

 

-----------------EOF-----------------

et le rapport infos de RSIT :

 

info.txt logfile of random's system information tool 1.05 2009-01-01 21:49:48

 

======Uninstall list======

 

-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WIN\INF\PCHealth.inf

Avira AntiVir PersonalEdition Classic-->C:\Program Files\AntiVir PersonalEdition Classic\setup.exe /REMOVE

HijackThis 2.0.2-->"C:\Program Files\trend micro\HijackThis.exe" /uninstall

 

System event log

 

Computer Name: MOI-BG03SDCEUJH

Event Code: 6009

Message: Microsoft ® Windows ® 5.01. 2600 Uniprocessor Free.

 

Record Number: 5

Source Name: EventLog

Time Written: 20081230154835.000000+060

Event Type: Informations

User:

 

Computer Name: MOI-BG03SDCEUJH

Event Code: 60054

Message: Le programme d'installation a correctement installé Windows version 2600.

Record Number: 4

Source Name: Setup

Time Written: 20081230154656.000000+060

Event Type: Informations

User:

 

Computer Name: MOI-BG03SDCEUJH

Event Code: 6011

Message: Le nom NetBIOS et le nom de l'hôte DNS de cet ordinateur ont été modifiés de MACHINENAME vers MOI-BG03SDCEUJH.

 

Record Number: 3

Source Name: EventLog

Time Written: 20081230153340.000000+060

Event Type: Informations

User:

 

Computer Name: MACHINENAME

Event Code: 6005

Message: Le service d'Enregistrement d'événement a démarré.

 

Record Number: 2

Source Name: EventLog

Time Written: 20081230152214.000000+060

Event Type: Informations

User:

 

Computer Name: MACHINENAME

Event Code: 6009

Message: Microsoft ® Windows ® 5.01. 2600 Uniprocessor Free.

 

Record Number: 1

Source Name: EventLog

Time Written: 20081230152214.000000+060

Event Type: Informations

User:

 

Application event log

 

Computer Name: MOI-BG03SDCEUJH

Event Code: 1000

Message: Les compteurs de performances pour le service ContentIndex (ContentIndex) ont été chargés.

Les données d'enregistrement contiennent les nouvelles valeurs d'index

assignées à ce service.

 

Record Number: 5

Source Name: LoadPerf

Time Written: 20081230153742.000000+060

Event Type: Informations

User:

 

Computer Name: MOI-BG03SDCEUJH

Event Code: 1000

Message: Les compteurs de performances pour le service TermService (Services Terminal Server) ont été chargés.

Les données d'enregistrement contiennent les nouvelles valeurs d'index

assignées à ce service.

 

Record Number: 4

Source Name: LoadPerf

Time Written: 20081230153738.000000+060

Event Type: Informations

User:

 

Computer Name: MOI-BG03SDCEUJH

Event Code: 1000

Message: Les compteurs de performances pour le service RemoteAccess (Routage et accès distant) ont été chargés.

Les données d'enregistrement contiennent les nouvelles valeurs d'index

assignées à ce service.

 

Record Number: 3

Source Name: LoadPerf

Time Written: 20081230153446.000000+060

Event Type: Informations

User:

 

Computer Name: MOI-BG03SDCEUJH

Event Code: 1000

Message: Les compteurs de performances pour le service PSched (PSched) ont été chargés.

Les données d'enregistrement contiennent les nouvelles valeurs d'index

assignées à ce service.

 

Record Number: 2

Source Name: LoadPerf

Time Written: 20081230153359.000000+060

Event Type: Informations

User:

 

Computer Name: MOI-BG03SDCEUJH

Event Code: 1000

Message: Les compteurs de performances pour le service RSVP (QoS RSVP) ont été chargés.

Les données d'enregistrement contiennent les nouvelles valeurs d'index

assignées à ce service.

 

Record Number: 1

Source Name: LoadPerf

Time Written: 20081230153357.000000+060

Event Type: Informations

User:

 

======Environment variables======

 

"ComSpec"=%SystemRoot%\system32\cmd.exe

"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem

"windir"=%SystemRoot%

"OS"=Windows_NT

"PROCESSOR_ARCHITECTURE"=x86

"PROCESSOR_LEVEL"=6

"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 13 Stepping 8, GenuineIntel

"PROCESSOR_REVISION"=0d08

"NUMBER_OF_PROCESSORS"=1

"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH

"TEMP"=%SystemRoot%\TEMP

"TMP"=%SystemRoot%\TEMP

"SAFEBOOT_OPTION"=NETWORKde Combofix :

 

 

-----------------EOF-----------------

ensuite je me rends compte que je n'ai pas scanné avec le Flash_Disinfector,

donc le rapport suite au scan de Combofix est sûrement erroné ou incomplet.

 

Le rapport :

 

ComboFix 08-12-30.02 - Administrateur 2009-01-01 22:22:46.5 - NTFSx86 NETWORK

Microsoft Windows XP Édition familiale 5.1.2600.0.1252.1.1036.18.503.406 [GMT 1:00]

Lancé depuis: E:\ComboFix.exe

Commutateurs utilisés :: c:\documents and settings\Administrateur.MOI-BG03SDCEUJH\Mes documents\CFScript.txt

 

FILE ::

c:\win\system32\spoolsv.exe

c:\win\explorer.exe :#:

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\win\system32\drivers\ntndis.exe

c:\win\system32\drivers\ntndis.sys

.

---- Previous Run -------

.

c:\win\system32\drivers\ntndis.exe

c:\win\system32\drivers\ntndis.sys

 

c:\win\explorer.exe . . . est infecté!!

 

.

((((((((((((((((((((((((((((( Fichiers créés du 2008-12-01 au 2009-01-01 ))))))))))))))))))))))))))))))))))))

.

 

2009-01-01 21:49 . 2009-01-01 21:49 <REP> d-------- C:\rsit

2009-01-01 21:49 . 2009-01-01 21:49 <REP> d-------- c:\program files\trend micro

2009-01-01 21:08 . 2009-01-01 21:42 <REP> d-------- c:\documents and settings\All Users.WIN\Application Data\AntiVir PersonalEdition Classic

2009-01-01 20:07 . 2009-01-01 21:22 38,400 --a------ c:\documents and settings\Administrateur.MOI-BG03SDCEUJH\reader_s.exe

2009-01-01 19:47 . 2008-12-30 15:22 <REP> d--h----- c:\documents and settings\Administrateur.MOI-BG03SDCEUJH\Voisinage réseau

2009-01-01 19:47 . 2008-12-30 15:22 <REP> d--h----- c:\documents and settings\Administrateur.MOI-BG03SDCEUJH\Voisinage d'impression

2009-01-01 19:47 . 2008-12-30 15:37 <REP> d--h----- c:\documents and settings\Administrateur.MOI-BG03SDCEUJH\Modèles

2009-01-01 19:47 . 2009-01-01 22:22 <REP> d-------- c:\documents and settings\Administrateur.MOI-BG03SDCEUJH\Mes documents

2009-01-01 19:47 . 2008-12-30 15:22 <REP> dr------- c:\documents and settings\Administrateur.MOI-BG03SDCEUJH\Menu Démarrer

2009-01-01 19:47 . 2009-01-01 20:05 <REP> d-------- c:\documents and settings\Administrateur.MOI-BG03SDCEUJH\Favoris

2009-01-01 19:47 . 2009-01-01 22:02 <REP> d-------- c:\documents and settings\Administrateur.MOI-BG03SDCEUJH\Bureau

2009-01-01 19:47 . 2009-01-01 21:22 <REP> d-------- c:\documents and settings\Administrateur.MOI-BG03SDCEUJH

2009-01-01 18:02 . 2009-01-01 20:07 38,400 --a------ c:\win\system32\reader_s.tmp

2009-01-01 18:02 . 2009-01-01 21:22 38,400 --a------ c:\win\system32\reader_s.exe

2009-01-01 18:02 . 2009-01-01 19:42 38,400 --a------ c:\documents and settings\moi\reader_s.exe

2008-12-31 11:23 . 2000-06-26 11:45 106,496 -ra------ c:\win\system32\TwnLib20.dll

2008-12-31 11:22 . 2008-12-31 11:22 <REP> d-------- c:\program files\Fichiers communs\Ahead

2008-12-31 11:22 . 2008-12-31 11:23 <REP> d-------- c:\program files\Ahead

2008-12-31 11:22 . 2001-07-06 14:41 569,344 -ra------ c:\win\system32\imagr5.dll

2008-12-31 11:22 . 2001-07-06 12:44 544,768 -ra------ c:\win\system32\imagx5.dll

2008-12-31 11:22 . 2001-07-06 18:24 283,920 -ra------ c:\win\system32\ImagXpr5.dll

2008-12-31 11:22 . 2001-07-09 11:50 167,936 -ra------ c:\win\system32\NeroCheck.exe

2008-12-31 11:22 . 2001-06-26 08:15 38,912 -ra------ c:\win\system32\picn20.dll

2008-12-30 17:09 . 2008-12-30 17:09 <REP> d-------- C:\Nouveau dossier (3)

2008-12-30 17:09 . 2008-12-30 17:09 <REP> d-------- C:\Nouveau dossier (2)

2008-12-30 17:09 . 2008-12-30 17:09 <REP> d-------- C:\Nouveau dossier

2008-12-23 18:13 . 2008-12-23 18:15 <REP> d-------- c:\program files\antivir

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-01-01 21:24 1,014,784 ----a-w c:\win\explorer.exe

2009-01-01 17:03 161,536 ----a-w c:\win\system32\drivers\ndis.sys

2008-12-30 14:37 --------- d-----w c:\program files\Services en ligne

2008-12-23 17:18 --------- d-----w c:\documents and settings\marcelius\Application Data\Skype

2008-11-30 16:00 --------- d-----w c:\program files\VISUAL PETANQUE 3.0.4

2008-11-02 14:55 --------- d-----w c:\documents and settings\marcelius\Application Data\Uniblue

.

 

((((((((((((((((((((((((((((( snapshot@2009-01-01_13.51.33.90 )))))))))))))))))))))))))))))))))))))))))

.

- 2001-08-28 12:00:00 40,960 ----a-w c:\win\system32\alg.exe

+ 2001-08-28 12:00:00 50,688 ----a-w c:\win\system32\alg.exe

- 2001-08-28 12:00:00 5,120 ----a-w c:\win\system32\cisvc.exe

+ 2001-08-28 12:00:00 14,848 ----a-w c:\win\system32\cisvc.exe

- 2001-08-28 12:00:00 30,720 ----a-w c:\win\system32\clipsrv.exe

+ 2001-08-28 12:00:00 40,448 ----a-w c:\win\system32\clipsrv.exe

- 2009-01-01 12:50:03 16,384 ----a-w c:\win\system32\config\systemprofile\Cookies\index.dat

+ 2009-01-01 21:31:43 32,768 ----a-w c:\win\system32\config\systemprofile\Cookies\index.dat

+ 2009-01-01 18:42:19 16,384 ----a-w c:\win\system32\config\systemprofile\Local Settings\Application Data\Microsoft\Internet Explorer\MSIMGSIZ.DAT

- 2009-01-01 12:50:03 32,768 ----a-w c:\win\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat

+ 2009-01-01 21:31:43 32,768 ----a-w c:\win\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat

+ 2009-01-01 21:20:27 32,768 ----a-w c:\win\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012009010120090102\index.dat

- 2009-01-01 12:50:03 32,768 ----a-w c:\win\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat

+ 2009-01-01 21:31:43 49,152 ----a-w c:\win\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat

- 2001-08-28 12:00:00 161,536 -c--a-w c:\win\system32\dllcache\ndis.sys

+ 2009-01-01 17:03:01 161,536 -c--a-w c:\win\system32\dllcache\ndis.sys

- 2001-08-28 12:00:00 51,200 -c--a-w c:\win\system32\dllcache\spoolsv.exe

+ 2001-08-28 12:00:00 60,928 -c--a-w c:\win\system32\dllcache\spoolsv.exe

- 2001-08-28 12:00:00 4,608 ----a-w c:\win\system32\dllhost.exe

+ 2001-08-28 12:00:00 14,336 ----a-w c:\win\system32\dllhost.exe

- 2001-08-28 12:00:00 205,312 ----a-w c:\win\system32\dmadmin.exe

+ 2001-08-28 12:00:00 215,040 ----a-w c:\win\system32\dmadmin.exe

+ 2006-11-22 12:29:56 34,304 ----a-w c:\win\system32\drivers\avgntdd.sys

+ 2006-11-22 12:29:56 14,848 ----a-w c:\win\system32\drivers\avgntmgr.sys

- 2001-08-28 12:00:00 68,096 ----a-w c:\win\system32\locator.exe

+ 2001-08-28 12:00:00 77,824 ----a-w c:\win\system32\locator.exe

- 2001-08-28 12:00:00 32,768 ----a-w c:\win\system32\mnmsrvc.exe

+ 2001-08-28 12:00:00 45,056 ----a-w c:\win\system32\mnmsrvc.exe

- 2001-08-28 12:00:00 6,144 ----a-w c:\win\system32\msdtc.exe

+ 2001-08-28 12:00:00 15,872 ----a-w c:\win\system32\msdtc.exe

- 2001-08-28 12:00:00 39,424 ----a-w c:\win\system32\net.exe

+ 2001-08-28 12:00:00 49,152 ----a-w c:\win\system32\net.exe

- 2001-08-28 12:00:00 109,056 ----a-w c:\win\system32\netdde.exe

+ 2001-08-28 12:00:00 118,784 ----a-w c:\win\system32\netdde.exe

- 2008-12-30 14:51:26 40,326 ----a-w c:\win\system32\perfc009.dat

+ 2009-01-01 17:20:37 40,326 ----a-w c:\win\system32\perfc009.dat

- 2008-12-30 14:51:26 49,054 ----a-w c:\win\system32\perfc00C.dat

+ 2009-01-01 17:20:37 49,054 ----a-w c:\win\system32\perfc00C.dat

- 2008-12-30 14:51:26 311,938 ----a-w c:\win\system32\perfh009.dat

+ 2009-01-01 17:20:37 311,938 ----a-w c:\win\system32\perfh009.dat

- 2008-12-30 14:51:26 368,314 ----a-w c:\win\system32\perfh00C.dat

+ 2009-01-01 17:20:37 368,314 ----a-w c:\win\system32\perfh00C.dat

- 2001-08-28 12:00:00 132,608 ----a-w c:\win\system32\rsvp.exe

+ 2001-08-28 12:00:00 142,336 ----a-w c:\win\system32\rsvp.exe

- 2001-08-28 12:00:00 97,792 ----a-w c:\win\system32\scardsvr.exe

+ 2001-08-28 12:00:00 107,520 ----a-w c:\win\system32\scardsvr.exe

- 2001-08-28 12:00:00 131,584 ----a-w c:\win\system32\sessmgr.exe

+ 2001-08-28 12:00:00 141,312 ----a-w c:\win\system32\sessmgr.exe

- 2001-08-28 12:00:00 89,600 ----a-w c:\win\system32\smlogsvc.exe

+ 2001-08-28 12:00:00 99,328 ----a-w c:\win\system32\smlogsvc.exe

- 2001-08-28 12:00:00 16,384 ----a-w c:\win\system32\ups.exe

+ 2001-08-28 12:00:00 26,112 ----a-w c:\win\system32\ups.exe

- 2001-08-28 12:00:00 281,088 ----a-w c:\win\system32\vssvc.exe

+ 2001-08-28 12:00:00 290,816 ----a-w c:\win\system32\vssvc.exe

- 2001-08-28 12:00:00 117,248 ----a-w c:\win\system32\wbem\wmiapsrv.exe

+ 2001-08-28 12:00:00 126,976 ----a-w c:\win\system32\wbem\wmiapsrv.exe

- 2001-08-28 12:00:00 118,834 ----a-w c:\win\system32\wscript.exe

+ 2001-08-28 12:00:00 131,122 ----a-w c:\win\system32\wscript.exe

.

-- Instantané actualisé --

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\win\System32\ctfmon.exe" [2001-08-28 23040]

"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2001-08-02 1089565]

"reader_s"="c:\documents and settings\moi\reader_s.exe" [2009-01-01 38400]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NeroFilterCheck"="c:\win\system32\NeroCheck.exe" [2001-07-09 167936]

"reader_s"="c:\win\System32\reader_s.exe" [2009-01-01 38400]

"avgnt"="c:\program files\AntiVir PersonalEdition Classic\avgnt.exe" [2006-10-31 311336]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\win\System32\CTFMON.EXE" [2001-08-28 23040]

"reader_s"="c:\documents and settings\Administrateur.MOI-BG03SDCEUJH\reader_s.exe" [2009-01-01 38400]

 

R0 avgntmgr;avgntmgr;c:\win\System32\drivers\avgntmgr.sys [2009-01-01 14848]

R1 avgntdd;avgntdd;c:\win\System32\DRIVERS\avgntdd.sys [2009-01-01 34304]

.

.

------- Examen supplémentaire -------

.

IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm

.

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-01-01 22:32:02

Windows 5.1.2600 NTFS

 

detected NTDLL code modification:

ZwOpenFile

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'winlogon.exe'(500)

c:\win\system32\ODBC32.dll

c:\win\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a\comctl32.dll

 

- - - - - - - > 'lsass.exe'(560)

c:\win\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a\comctl32.dll

c:\win\System32\dssenh.dll

.

------------------------ Autres processus actifs ------------------------

.

c:\program files\AntiVir PersonalEdition Classic\sched.exe

.

**************************************************************************

.

Heure de fin: 2009-01-01 22:33:23 - La machine a redémarré [moi]

ComboFix-quarantined-files.txt 2009-01-01 21:33:21

ComboFix2.txt 2009-01-01 18:02:11

ComboFix3.txt 2009-01-01 17:17:42

ComboFix4.txt 2009-01-01 12:52:17

 

Avant-CF: 40,924,749,824 octets libres

Après-CF: 40,909,668,352 octets libres

 

179

 

Vraiment confus pour ces étourderies.

Je vous présente mes excuses les plus plates.

Sincèrement encore merci.

[pear]

On va faire quelques vérifications:

 

Téléchargez Dr.Web CureIt sur le Bureau:

Imprimez ces instructions car , vous allez lancer le mode sans échec qui ne permet la connexion internet.

 

Redémarrez en mode sans échec.

Pour cela:

* Au redémarrage de l'ordinateur,Tapotez en alternance les touches [F8] et[F5] jusqu'à l'affichage du menu des options avancées de Windows.

* Sélectionnez "Mode sans échec" et validez].

* Choisir votre compte usuel,.

 

* Double cliquez drweb-cureit.exe puis sur Analyse ;

* Cliquez Ok à l'invite de l'analyse rapide.

Ce scan analyse les processus chargés en mémoire ;

Si des processus infectés sont trouvés, cliquez sur Oui pour tout".

une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" ; quitter en cliquant le "X"

* Lorsque le scan rapide est terminé, Cliquez sur le menu Options ->Changer la configuration ;

* Choisissez l'onglet Scanner, et décochez Analyse heuristique Cliquez "Ok"

* De retour à la fenêtre principale : cliquez pour activer Analyse complète;

* Cliquez le bouton avec flèche vertesur la droite,:le scan débutera.

* A l'invite "Désinfecter ?" lorsqu'un fichier est détecté,Cliquez Oui pour tout puis cliquez Désinfecter.

* Lorsque le scan sera complété, cliquez sur cette icône, à côté des fichiersdétectés:http://users.telenet.be/bluepatchy/miekiemoes/images/check.gif

* puis sur l'icône "Suivant", au dessous, et choisissez Déplacer en quarantaine l'objet indésirable

* Au menu principal de l'outil, au haut à gauche, cliquez sur le menu Fichier et choisissez Enregistrer le rapport qui se nommera DrWeb.csv

* Sauvegardez le rapport sur le Bureau.

* Fermez Dr.Web Cureit

* Redémarrez impérativement, car certains fichiers peuvent être déplacés/réparés au redémarrage.

* Copiez/Collez le contenu du rapport de Dr.Web dans la prochaine réponse.

[temacine]

Bonsoir à tous,

Bonsoir Pear,

 

compte rendu du travail de Mr Docteur Web :

- Fichiers scannés : 373724

- Fichiers infectés : 4027

- Riskwares : 7

- Désinfectés : 3797

- Supprimés : 94

- Renommés : 0

- Quarantaine : 142

- Ignorés : 0

Durée du scan : 4 : 39 : 29

Vitesse du scan : 70 Ko /s

 

Pourquoi ais-je ces infos ?

J'ai eu du mal à fermer Dr Web,

j'y suis arrivé par la procédure alt-control-supprim,

j'ai redémarré l'ordinateur en mode sans échec avec prise réseau,

je me suis connecté,

apparition du message :

'' iexplore.exe a rencontré un problème et doit fermer.Nous vous prions... ''

Informations techniques concernant le rapport d'erreurs :

'' Exception Information

Code oxcoooooo5 flags : oxoooooooo

Record : oxoooooooooooooooo Address : oxoooooooooo418800

System Information

Windows NT 5.1 Build : 2600

CPU Vendor Code : oocaoo94 - 30024678 - ooooooo1

CPU Version : ooooo6d8 CPU Feature Code : afe9fbff

CPU AMD Feature Code : oo98e850 ''

J'arrête la la saisie car suit une interminable liste d'infos, il y en a trop.

 

Pour résumer je ne peux pas poster le rapport Dr Web.

 

A noter également qu'au regard de la procédure proposée soit je n'ai pas su, soit je n'ai pas trouvé, :

- une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" ; quitter en cliquant le "X",

[ pas vu cette fenêtre ],

- Lorsque le scan sera complété, cliquez sur cette icône, à côté des fichiersdétectés:http://users.telenet.be/bluepatchy/miekiemoes/images/check.gif

[ cherché, pas vu , pas trouvé ].

 

Je relance le scan ?

Je ...?

 

Voilà Pear,

décidément, allez-vous penser, j'ai affaire à une quiche !!!

Je m'en excuse, je fais pas exprès.

En tous les cas j'espère que vous avez pu prendre un peu de repos pendant la durée du scan, bien que j'ai remarqué que vous ne chomez pas aux 4 coins du forum pour aller au secours des naufragés de tout poil et en tout genre.

Merci

[pear]

décidément, allez-vous penser, j'ai affaire à une quiche !!!

Je m'en excuse, je fais pas exprès.

Même si, par le plus grand des hasards, cette pensée m'effleurait, vous n'en sauriez rien.

Et, que je vous rassure, ce n'est pas encore le cas .

 

Curieux, cependant,vos déboires avec Cureit!

 

On va en essayer un autre:

 

SCANNER AVEC AntiVirus Power Tool

 

Télécharger Kasperky AVP Tool sur le Bureau

Désactivez provisoirement votre Antivirus actuel.

Connecter éventuellement les clés USB et disques externes.

Le scan va s'effectuer en Mode Sans Echec: Imprimez cette procédure auparavant.

Redémarrer en mode sans échec .

Double cliquer sur"setup_7.0xxxxx"

A la question "Do you want to continue installation?"

Répondre"Oui"

Cliquer sur "Next" pour les deux fenêtres suivantes: AVP TOOL s'installe sur le Bureau dans un dossier "Kaspersky Lab Tool"

L'outil se lance tout seul:

Cocher toutes les cases dans l'onglet "Automatic Scan".

Cliquer ensuite sur "Security Level": une fenêtre de configuration s'ouvre:

paramètrer le scanner comme sur l'image:

Valider par "Apply" puis "OK"

L'outil est maintenant configuré:

Dans la fenêtre principale, cliquer sur "Scan".

une fenêtre indiqye la progression du balayage en pourcentage.

A la fin du scan, AVP Tool signalera les objets infectés par l'intermédiaire d'une pop-up:

cocher alors "Apply to all" et cliquer sur "Delete" ou "Disinfect" selon ce que propose la fenêtre:

Une fois les infections traitées par l'intermédiaire des pop-ups, il se peut que des fichiers malsains n'aient pas été supprimés:

ils apparaissent en rouge dans la liste:

cliquer alors sur le bouton "Neutralize all" de la fenêtre de progression du scan: si une pop-up indique qu'il faut redémarrer, accepter en cliquant sur "OK"

[Dans l'onglet "Events" de la fenêtre de progression du scan, décocher "Show all events"

Cliquer ensuite sur "Reports" puis "Save to file" et enregistrer le rapport sur le Bureau sous le nom Rapport AVP TOOL

Fermer les fenêtres d'AVP Tool:

un message apparaît proposant de désinstaller le logiciel: accepter "YES"

Un message d'alerte indique que le PC doit être redémarré pour finir la désinstallation:

A la question "Would you like to restart now", répondre"OUI" et redémarrer en Mode normal.

[*] Poste le contenu du rapport dans ta prochaine réponse

 

 

En cas de Faux Positifs

Le fichier "nom_du_FP" a été supprimé par erreur par Kaspersky: c'est un faux-positif

[*] Réinstaller AVP TOOL en exécutant le fichier "setup_7.0xxxxx" présent sur ton Bureau

[*] Dans l'onglet "Automatic Scan", décocher tout sauf "StartUp Objects"

[*] Cliquer sur le bouton "Scan"

[*] Un scan rapide se lance: une fois terminé,sur l'onglet "Backup"

cliquer droit sur le fichier nom_du_FP et sélectionner "Restore]

Modifié le 2 janvier 2009 par pear

[temacine]

Bonsoir,

Merci Pear pour votre ténacité,

 

le seul problème, il est de taille, pour effectuer votre propostion de procédure est que je ne peux accéder au net car chaque fois que je double clique sur l'icône IE,

invariablement le message : iexplore.exe a rencontré un problème et doit fermer.

 

Je poste depuis mon PC fixe Pentium II avec un graveur de cd et un port usb.

Kaperski AVP Tool est bien trop volumineux pour aller sur la clé 16 Mo.

 

Puis-je faire une réinstallation de XP afin de réparer iexplore ?

Dois-je mettre Kaperski AVP Tool sur un CD afin de le mlettre sur le portablke ?

 

A propos de votre consigne concernant l'antivirus je pense qu'il est neutralisé et bien neutralisé,

quand j'essaie de le lancer ce message bondit :

 

c:\ program files\antivirpersonaledition classic\avcenter.exe

cannot be found or has been modified or destroyed.

The control center cannot be started.

Please check your installation !

 

Merci, le plaisir de vous lire est toujours intact.

[pear]

Evitez, autant que possible ,d'utiliser Internet Explorer.

Préférez lui Firefox.Vous aurez bien moins de problèmes.

 

Pour essayer de réparer votre connexion:

Vérifier les paramètres d'Internet ...

 

1) Dans Internet Explorer, clique sur Outils > Options Internet... puis, onglet "Sécurité".

2) Choisir la zone Internet puis, clique sur le bouton Niveau par défaut.

 

Si cela ne fonctionne pas, essayer ceci

 

Clic sur le bouton Personnaliser le niveau...

Cocher tous les boutons radio Activer ou Demander.

Valider puis, relancer Internet Explorer.

Accéder de nouveau à l'onglet "Sécurité".

Cocher le bouton radio Niveau par défaut...

Valider puis, relancer Internet Explorer.

 

un pb au niveau du protocole TCP/IP

*Pour réinitialiser Winsock :

Sous Xp:

Démarrer-Exécuter ->Cmd /k Netsh int ip reset resetlog.txt

Démarrer-Exécuter ->Cmd /k Netsh winsock reset catalog

 

Sous Vista:

http://www.micro-astuce.com/reseau/protocole-TCP-vista

[temacine]

Bonsoir,

 

pour Vérifier les paramètres d'Internet ... :

 

malgré les changements, toujours le même message.

 

pour un pb au niveau du protocole TCP/IP :

 

pour Démarrer-Exécuter ->Cmd /k Netsh int ip reset resetlog.txt :

apparition d'une fenêtre dos : C\win\system32\Cmd.exe où il est écrit à l'intérieur sur fond noir :

'' c:\documents and settings\moi> suivi de l'invite clignotante ''

 

pour Démarrer-Exécuter ->Cmd /k Netsh winsock reset catalog :

même fenêtre dos où est écrit :

'' la commande suivante n'a pas été trouvé : winsock reset catalog ''

'' c:\documents and settings\moi> suivi de l'invite clignotante ''

 

Je ne peux donc pas accéder au net.

 

Merci