[resolu]cheval de troie

[angelique]

Continue! si tu veux desactiver\virer symantec , va falloir le mot de passe

[getrogibbs]

2, j'ai relancé hijackthis, coché et cliqué fixcheked sur les lignes indiquées, et j'ai téléchargé combofix comme tu me l'as dit au point 3.

J'attends la suite.

[angelique]

Tu as deja toutes les infos , passe l'option 2 de Toolbar S&D (poste le rapport), puis réalise le fichier txt CFScript comme expliqué et fait le glisser sur l'icone de ComboFix sur ton bureau (poste le rapport)

[getrogibbs]

rapport de l'étape 2 de toolbar

 

 

-----------\\ ToolBar S&D 1.2.8 XP/Vista

 

Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 3

X86-based PC ( Multiprocessor Free : Genuine Intel® CPU T2400 @ 1.83GHz )

BIOS : Default System BIOS

USER : Administrateur ( Administrator )

BOOT : Normal boot

Antivirus : Symantec AntiVirus Corporate Edition 10.0.2.2000 (Activated)

C:\ (Local Disk) - NTFS - Total:35 Go (Free:8 Go)

D:\ (Local Disk) - NTFS - Total:39 Go (Free:9 Go)

E:\ (CD or DVD) - UDF - Total:3 Go (Free:0 Go)

F:\ (CD or DVD)

 

"C:\ToolBar SD" ( MAJ : 21-12-2008|20:47 )

Option : [2] ( 05/01/2009|14:01 )

 

-----------\\ SUPPRESSION

 

Supprime! - C:\DOCUME~1\ADMINI~1\APPLIC~1\Dealio\kb127

Supprime! - C:\DOCUME~1\ISO\APPLIC~1\Dealio\kb127

Supprime! - C:\Program Files\Dealio\DealioAU.exe

Supprime! - C:\Program Files\Dealio\kb127

Supprime! - C:\Program Files\Dealio\SearchSettingsKit.exe

Supprime! - C:\WINDOWS\Prefetch\DEALIOAU.EXE-32C4A05D.pf

Supprime! - C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1\Dealio

Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\Kiwee Toolbar\config

Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\Kiwee Toolbar\images

Echec ! - C:\Program Files\Kiwee Toolbar\2.8.167

Echec ! - C:\Program Files\Kiwee Toolbar\2.8.167\AGTBCore.dll

Echec ! - C:\Program Files\Kiwee Toolbar\2.8.167\KiweeCommonCtrls.dll

Echec ! - C:\Program Files\Kiwee Toolbar\2.8.167\KiweeContentHost.dll

Echec ! - C:\Program Files\Kiwee Toolbar\2.8.167\KiweeTBCore.dll

Echec ! - C:\Program Files\Kiwee Toolbar\2.8.167\MsnIMToolbar.dll

Echec ! - C:\Program Files\Kiwee Toolbar\2.8.167\Riched20.dll

Supprime! - C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1\Kiwee Toolbar

Supprime! - C:\WINDOWS\Prefetch\SEARCHSETTINGS.EXE-253CB611.pf

Supprime! - C:\DOCUME~1\ADMINI~1\APPLIC~1\Search Settings\kb127

Supprime! - C:\DOCUME~1\ISO\APPLIC~1\Search Settings\kb127

Supprime! - C:\Program Files\Search Settings\kb127

Supprime! - C:\Program Files\Search Settings\SearchSettings.exe

Supprime! - C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ICD1.tmp

Supprime! - C:\DOCUME~1\ADMINI~1\APPLIC~1\Dealio

Supprime! - C:\DOCUME~1\ISO\APPLIC~1\Dealio

Supprime! - C:\Program Files\Dealio

Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\Kiwee Toolbar

Echec ! - C:\Program Files\Kiwee Toolbar

Supprime! - C:\DOCUME~1\ADMINI~1\APPLIC~1\Search Settings

Supprime! - C:\DOCUME~1\ISO\APPLIC~1\Search Settings

Supprime! - C:\Program Files\Search Settings

 

-----------\\ DEUXIEME PASSAGE

 

Echec ! - C:\Program Files\Kiwee Toolbar\2.8.167

Echec ! - C:\Program Files\Kiwee Toolbar\2.8.167\AGTBCore.dll

Echec ! - C:\Program Files\Kiwee Toolbar\2.8.167\KiweeCommonCtrls.dll

Echec ! - C:\Program Files\Kiwee Toolbar\2.8.167\KiweeContentHost.dll

Echec ! - C:\Program Files\Kiwee Toolbar\2.8.167\KiweeTBCore.dll

Echec ! - C:\Program Files\Kiwee Toolbar\2.8.167\MsnIMToolbar.dll

Echec ! - C:\Program Files\Kiwee Toolbar\2.8.167\Riched20.dll

Echec ! - C:\Program Files\Kiwee Toolbar

 

-----------\\ Recherche de Fichiers / Dossiers ...

 

C:\Program Files\Kiwee Toolbar

C:\Program Files\Kiwee Toolbar\2.8.167

C:\Program Files\Kiwee Toolbar\2.8.167\AGTBCore.dll

C:\Program Files\Kiwee Toolbar\2.8.167\KiweeCommonCtrls.dll

C:\Program Files\Kiwee Toolbar\2.8.167\KiweeContentHost.dll

C:\Program Files\Kiwee Toolbar\2.8.167\KiweeTBCore.dll

C:\Program Files\Kiwee Toolbar\2.8.167\MsnIMToolbar.dll

C:\Program Files\Kiwee Toolbar\2.8.167\Riched20.dll

 

-----------\\ Extensions

 

(Administrateur) - {3112ca9c-de6d-4884-a869-9855de68056c} => google-toolbar

(Administrateur) - {b66bc4c3-6d25-4a10-8c59-01daa9063051} => foxgame

 

(ISO) - {b66bc4c3-6d25-4a10-8c59-01daa9063051} => foxgame

 

 

-----------\\ [..\Internet Explorer\Main]

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]

"Local Page"="C:\\WINDOWS\\system32\\blank.htm"

"Start Page"="http://www.msn.fr/"

"Search Page"="http://www.google.com"

"Search Bar"="http://www.google.com/ie"'>http://www.google.com/ie"

"SearchMigratedDefaultURL"="http://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8"

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]

"Default_Page_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"

"Default_Search_URL"="http://www.google.com/ie"

"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"

"Start Page"="http://www.msn.com/"

 

 

--------------------\\ Recherche d'autres infections

 

C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1\MessengerSkinner

C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1\MessengerSkinner\Conditions g‚n‚rales.url

C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1\MessengerSkinner\Confidentialit‚.url

C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1\MessengerSkinner\D‚sinstaller.lnk

C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1\MessengerSkinner\MessengerSkinner.lnk

C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1\MessengerSkinner\Website.url

 

C:\DOCUME~1\ADMINI~1\LOCALS~1\APPLIC~1\ucmmc.dat

C:\DOCUME~1\ADMINI~1\LOCALS~1\APPLIC~1\ucmmc.exe

C:\DOCUME~1\ADMINI~1\LOCALS~1\APPLIC~1\ucmmc_nav.dat

C:\DOCUME~1\ADMINI~1\LOCALS~1\APPLIC~1\ucmmc_navps.dat

==> EGDACCESS <==

 

C:\WINDOWS\system32\gPXHknmp.ini

C:\WINDOWS\system32\gPXHknmp.ini2

==> VUNDO <==

 

 

 

 

1 - "C:\ToolBar SD\TB_1.txt" - 05/01/2009|12:19 - Option : [1]

2 - "C:\ToolBar SD\TB_2.txt" - 05/01/2009|14:03 - Option : [2]

 

-----------\\ Fin du rapport a 14:03:48,09

[angelique]

Toolbar S&D n'a pas pu en supprimer certains , c'est pas grave continue avec CFScript sur ComboFix , on les jartera apres.

[getrogibbs]

J'ai lancé combofix et apparrement il a planté, la dernière ligne était: " étape 50 terminée" et l'ecran est resté comme ça. Au bout de qques heures, j'ai tout éteint et redémarré. Au redémarrage, j'ai un écran blanc sur fond gris, avec le logo windows live qui me dit ceci:

 

"A Kiwee Heads Up: There was an error with Yahoo Messenger and your Kiwee Toolbar needs to go bye-bye for now.

 

Would you like to send this error message in order to help us improve the toolbar?"

 

Et pas moyen de le virer.

[getrogibbs]

Bon j'ai relancé une 2e fois combo fixe, voici le rapport mais j'ai toujours cet écran de windows live.

 

ComboFix 09-01-05.02 - Administrateur 2009-01-05 21:18:18.2 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.1014.492 [GMT 1:00]

Lancé depuis: c:\documents and settings\Administrateur\Bureau\ComboFix.exe

Commutateurs utilisés :: c:\documents and settings\Administrateur\Bureau\CFScript.txt

* Un nouveau point de restauration a été créé

 

FILE ::

c:\windows\cdplayer.ini

c:\windows\system32\38A.tmp

c:\windows\system32\auflynmf.ini

c:\windows\system32\bmehrfha.ini

c:\windows\system32\comrmmio.ini

c:\windows\System32\cwbuncob32.dll

c:\windows\system32\ghofhnwk.ini

c:\windows\system32\gPXHknmp.ini

c:\windows\system32\gPXHknmp.ini2

c:\windows\system32\iaumfphf.ini

c:\windows\system32\iycmxbjp.ini

c:\windows\system32\lcpjckek.ini

c:\windows\system32\mws59179.dll

c:\windows\system32\nlmyos.dll

c:\windows\system32\otxldgwm.ini

c:\windows\system32\srtiwpuv.dll

c:\windows\system32\wcxdtkje.dll

c:\windows\system32\xorpbhdh.ini

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\windows\system32\cwbuncob32.dll

.

---- Previous Run -------

.

c:\documents and settings\Administrateur\Application Data\02000000e0c05e2b509C.manifest

c:\documents and settings\Administrateur\Application Data\02000000e0c05e2b509O.manifest

c:\documents and settings\Administrateur\Application Data\02000000e0c05e2b509P.manifest

c:\documents and settings\Administrateur\Application Data\02000000e0c05e2b509S.manifest

c:\documents and settings\Administrateur\Local Settings\Application Data\ucmmc.dat

c:\documents and settings\Administrateur\Local Settings\Application Data\ucmmc.exe

c:\documents and settings\Administrateur\Local Settings\Application Data\ucmmc_nav.dat

c:\documents and settings\Administrateur\Local Settings\Application Data\ucmmc_navps.dat

c:\documents and settings\All Users\Menu Démarrer\Programmes\MessengerSkinner

c:\documents and settings\All Users\Menu Démarrer\Programmes\MessengerSkinner\Conditions générales.url

c:\documents and settings\All Users\Menu Démarrer\Programmes\MessengerSkinner\Confidentialité.url

c:\documents and settings\All Users\Menu Démarrer\Programmes\MessengerSkinner\Désinstaller.lnk

c:\documents and settings\All Users\Menu Démarrer\Programmes\MessengerSkinner\MessengerSkinner.lnk

c:\documents and settings\All Users\Menu Démarrer\Programmes\MessengerSkinner\Website.url

c:\documents and settings\ISO\Application Data\02000000e0c05e2b509C.manifest

c:\documents and settings\ISO\Application Data\02000000e0c05e2b509O.manifest

c:\documents and settings\ISO\Application Data\02000000e0c05e2b509P.manifest

c:\documents and settings\ISO\Application Data\02000000e0c05e2b509S.manifest

c:\windows\cdplayer.ini

c:\windows\GnuHashes.ini

c:\windows\IE4 Error Log.txt

c:\windows\system32\38A.tmp

c:\windows\system32\auflynmf.ini

c:\windows\system32\bmehrfha.ini

c:\windows\system32\comrmmio.ini

c:\windows\system32\cwbuncob32.dll

c:\windows\system32\ghofhnwk.ini

c:\windows\system32\gPXHknmp.ini

c:\windows\system32\gPXHknmp.ini2

c:\windows\system32\GroupPolicy000.dat

c:\windows\system32\GroupPolicyManifest

c:\windows\system32\GroupPolicyManifest\1.music.mp3.kwd

c:\windows\system32\GroupPolicyManifest\10.setup.zip.kwd

c:\windows\system32\GroupPolicyManifest\11.unpack.zip.kwd

c:\windows\system32\GroupPolicyManifest\12.limepro.zip.kwd

c:\windows\system32\GroupPolicyManifest\13.keygen.zip.kwd

c:\windows\system32\GroupPolicyManifest\2.crack.zip.kwd

c:\windows\system32\GroupPolicyManifest\8.mpgvideo.mpg.kwd

c:\windows\system32\GroupPolicyManifest\9.remix.mp3.kwd

c:\windows\system32\iaumfphf.ini

c:\windows\system32\iycmxbjp.ini

c:\windows\system32\jbcuyoyr.tmp

c:\windows\system32\jbcuyoyr.tmp2

c:\windows\system32\lcpjckek.ini

c:\windows\system32\mcrh.tmp

c:\windows\system32\nlmyos.dll

c:\windows\system32\otxldgwm.ini

c:\windows\system32\pqjtbr.dll

c:\windows\system32\qieainqm.ini

c:\windows\system32\srtiwpuv.dll

c:\windows\system32\uaqvofey.dll

c:\windows\system32\wcxdtkje.dll

c:\windows\system32\xorpbhdh.ini

c:\windows\system32\xywyguno.ini

 

.

((((((((((((((((((((((((((((( Fichiers créés du 2008-12-05 au 2009-01-05 ))))))))))))))))))))))))))))))))))))

.

 

2009-01-05 20:37 . 2009-01-05 20:37 <REP> d-------- c:\documents and settings\All Users\Application Data\Kiwee Toolbar

2009-01-04 21:40 . 2009-01-05 14:03 <REP> d-------- C:\ToolBar SD

2009-01-04 21:24 . 2009-01-04 21:25 <REP> d-------- c:\windows\system32\NtmsData

2009-01-04 19:02 . 2009-01-04 19:02 <REP> d-------- C:\rsit

2008-12-29 09:47 . 2008-10-16 02:01 1,499,648 -----c--- c:\windows\system32\dllcache\shdocvw.dll

2008-12-29 09:46 . 2008-10-24 12:21 455,296 -----c--- c:\windows\system32\dllcache\mrxsmb.sys

2008-12-29 09:45 . 2008-09-04 18:16 1,106,944 -----c--- c:\windows\system32\dllcache\msxml3.dll

2008-12-29 09:17 . 2008-12-29 09:17 373,760 --ahs---- c:\windows\system32\2EB6.tmp

2008-12-28 21:41 . 2008-12-28 21:41 <REP> d-------- c:\program files\Trend Micro

2008-12-28 20:17 . 2008-12-28 20:17 <REP> d-------- c:\program files\SpywareBlaster

2008-12-28 20:17 . 2008-12-28 21:54 <REP> d-a------ c:\documents and settings\All Users\Application Data\TEMP

2008-12-28 12:40 . 2008-12-28 12:40 230 --a------ c:\windows\system32\spupdsvc.inf

2008-12-28 11:41 . 2008-12-28 11:41 <REP> d-------- c:\program files\Avira

2008-12-28 11:41 . 2008-12-28 11:41 <REP> d-------- c:\documents and settings\All Users\Application Data\Avira

2008-12-26 06:56 . 2008-12-26 06:56 268 --ah----- C:\sqmdata16.sqm

2008-12-26 06:56 . 2008-12-26 06:56 244 --ah----- C:\sqmnoopt16.sqm

2008-12-25 22:21 . 2008-12-25 22:21 268 --ah----- C:\sqmdata15.sqm

2008-12-25 22:21 . 2008-12-25 22:21 244 --ah----- C:\sqmnoopt15.sqm

2008-12-16 18:26 . 2008-12-29 19:09 135,168 --a------ c:\windows\system32\cwbuncob32.VIR000

2008-12-16 18:26 . 2008-12-29 09:34 135,168 --a------ c:\windows\system32\cwbuncob32.VIR

2008-12-13 21:31 . 2008-12-13 21:31 <REP> d-------- c:\program files\Lionhead Studios

2008-12-12 18:42 . 2008-12-12 18:42 <REP> d-------- c:\program files\Slitherine

2008-12-07 18:07 . 2008-12-12 18:39 <REP> d-------- c:\documents and settings\All Users\Application Data\Firefly Studios

2008-12-07 18:02 . 2008-12-07 18:04 <REP> d-------- c:\program files\GameShadow

2008-12-07 18:01 . 2005-05-26 15:34 2,297,552 --a------ c:\windows\system32\d3dx9_26.dll

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-01-05 20:22 --------- d-----w c:\program files\Symantec AntiVirus

2009-01-05 11:10 --------- d-----w c:\documents and settings\ISO\Application Data\uTorrent

2009-01-04 20:30 --------- d-----w c:\program files\lx_cats

2008-12-28 20:51 --------- d-----w c:\program files\Google

2008-12-20 15:22 --------- d--h--w c:\program files\InstallShield Installation Information

2008-12-20 15:22 --------- d-----w c:\program files\epson

2008-12-20 15:21 --------- d-----w c:\program files\Railroad Tycoon II

2008-12-20 15:18 --------- d-----w c:\program files\DeskView

2008-12-20 15:16 --------- d-----w c:\program files\Fichiers communs\FSC

2008-12-20 14:24 --------- d-----w c:\program files\Fichiers communs\AVSMedia

2008-12-20 14:24 --------- d-----w c:\program files\Azureus

2008-12-20 14:24 --------- d-----w c:\program files\AVS4YOU

2008-12-16 23:38 --------- d-----w c:\documents and settings\ISO\Application Data\LimeWire

2008-12-16 22:30 --------- d-----w c:\documents and settings\Administrateur\Application Data\LimeWire

2008-12-16 19:27 --------- d-----w c:\documents and settings\Administrateur\Application Data\Azureus

2008-12-16 16:41 --------- d-----w c:\program files\eMule

2008-12-15 09:04 56,712 ----a-w c:\documents and settings\ISO\Application Data\GDIPFONTCACHEV1.DAT

2008-12-11 10:34 --------- d-----w c:\program files\Lexmark X1100 Series

2008-12-03 12:02 --------- d-----w c:\program files\Java

2008-11-24 09:26 --------- d-----w c:\program files\Empire Interactive

2008-11-23 16:35 --------- d-----w c:\program files\GameSpy Arcade

2008-11-23 16:21 --------- d-----w c:\program files\directx

2008-11-13 07:01 --------- d-----w c:\documents and settings\ISO\Application Data\agi

2008-11-09 15:50 --------- d-----w c:\program files\NOS

2008-11-09 15:50 --------- d-----w c:\documents and settings\All Users\Application Data\NOS

2008-11-09 15:49 --------- d-----w c:\program files\Marvell

2008-11-09 15:43 --------- d-----w c:\program files\ma-config.com

2008-11-09 15:43 --------- d-----w c:\documents and settings\All Users\Application Data\ma-config.com

2008-11-09 15:19 --------- d-----w c:\program files\Fichiers communs\Adobe

2008-11-08 07:45 --------- d-----w c:\program files\Spybot - Search & Destroy

2008-09-25 05:55 56,712 ----a-w c:\documents and settings\Administrateur\Application Data\GDIPFONTCACHEV1.DAT

2008-07-31 20:32 32,768 --sha-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008073120080801\index.dat

.

 

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

"MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2008-09-29 185872]

"Client Access Check Version"="c:\program files\IBM\Client Access\cwbckver.exe" [2004-05-01 45106]

"VX3000"="c:\windows\vVX3000.exe" [2007-04-10 709992]

"PSUtility"="c:\addon\Fujitsu\PSUtility\TrayManager.exe" [2005-10-11 151552]

"Client Access Help Update"="c:\program files\IBM\Client Access\cwbinhlp.exe" [2004-05-01 24576]

"Client Access Express Welcome"="c:\program files\IBM\Client Access\cwbwlwiz.exe" [2004-05-01 20480]

"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2005-10-12 139264]

"lxdjamon"="c:\program files\Lexmark 1400 Series\lxdjamon.exe" [2007-03-06 20480]

"vptray"="c:\progra~1\SYMANT~1\VPTray.exe" [2005-12-27 85648]

"LoadBtnHnd"="c:\program files\Fujitsu\BtnHnd\BtnHnd.exe" [2005-07-21 61440]

"LoadFUJ02E3"="c:\program files\Fujitsu\FUJ02E3\FUJ02E3.exe" [2005-06-08 69632]

"IndicatorUtility"="c:\program files\Fujitsu\Fujitsu Hotkey Utility\IndicatorUty.exe" [2005-08-09 81920]

"LXDJCATS"="c:\windows\System32\spool\DRIVERS\W32X86\3\LXDJtime.dll" [2007-02-10 102400]

"LoadFujitsuQuickTouch"="c:\addon\Fujitsu\Application Panel\QuickTouch.exe" [2005-07-21 353792]

"Lexmark X1100 Series"="c:\program files\Lexmark X1100 Series\lxbkbmgr.exe" [2003-08-19 57344]

"Client Access Service"="c:\program files\IBM\Client Access\cwbsvstr.exe" [2004-05-01 20530]

"ccApp"="c:\program files\Fichiers communs\Symantec Shared\ccApp.exe" [2005-11-16 48800]

"Client Access PC5250 Sound"="c:\program files\IBM\Client Access\Emulator\pcssnd.exe" [2004-05-01 40960]

"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2006-01-05 761946]

"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-11-03 118784]

"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-11-03 77824]

"AGRSMMSG"="AGRSMMSG.exe" [2006-01-17 c:\windows\AGRSMMSG.exe]

"RTHDCPL"="RTHDCPL.EXE" [2005-12-09 c:\windows\RTHDCPL.exe]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]

BootExecute REG_MULTI_SZ autocheck autochk *\0lsdelete

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Bluetooth Manager.lnk]

path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Bluetooth Manager.lnk

backup=c:\windows\pss\Bluetooth Manager.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]

path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk

backup=c:\windows\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^WinZip Quick Pick.lnk]

path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\WinZip Quick Pick.lnk

backup=c:\windows\pss\WinZip Quick Pick.lnkCommon Startup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]

--a------ 2008-06-12 02:38 34672 c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]

--a------ 2008-06-12 13:28 266497 c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools-1033]

--a------ 2004-08-22 16:05 81920 c:\program files\D-Tools\daemon.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Desktop Search]

--a------ 2008-04-09 13:56 120320 c:\program files\Google\Google Desktop Search\GoogleDesktop.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

--a------ 2001-07-09 09:50 155648 c:\windows\system32\NeroCheck.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NSLauncher]

--a------ 2007-09-07 13:44 3100672 c:\program files\Nokia\Nokia Software Launcher\NSLauncher.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]

-ra------ 2008-04-23 16:45 22058792 c:\program files\Skype\Phone\Skype.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

--a------ 2008-11-10 05:43 136600 c:\program files\Java\jre6\bin\jusched.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]

--a------ 2008-05-05 18:45 68856 c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]

--a------ 2008-09-29 17:04 185872 c:\program files\Fichiers communs\Real\Update_OB\realsched.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WMPNSCFG]

--------- 2006-11-03 08:59 204288 c:\program files\Windows Media Player\wmpnscfg.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]

"DisableMonitoring"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\WINDOWS\\system32\\lxdjcoms.exe"=

"c:\\Program Files\\Lexmark 1400 Series\\lxdjamon.exe"=

"c:\\Program Files\\Lexmark 1400 Series\\App4R.exe"=

"c:\\WINDOWS\\system32\\LEXPPS.EXE"=

"c:\\Documents and Settings\\ISO\\Program Files\\uTorrent\\uTorrent.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

"c:\\WINDOWS\\system32\\[Emoticons-plus.com] Winkaa 2.0.exe"=

"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

"c:\\Program Files\\LimeWire\\LimeWire.exe"=

"c:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\eMule\\emule.exe"=

"c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxdjwbgw.exe"=

"c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxdjpswx.exe"=

"c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxdjjswx.exe"=

"c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxdjtime.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

 

R3 FUJ02E1;%FUJ02E1.DeviceDesc%;c:\windows\system32\drivers\FUJ02E1.sys [2006-05-31 5632]

R3 FUJ02E3;Fujitsu FUJ02E3 Device Driver;c:\windows\system32\drivers\fuj02e3.sys [2006-05-31 4864]

R4 AGWinService;AG Windows Service;c:\program files\AGI\common\win32\pythonservice.exe [2008-10-24 10240]

R4 SavRoam;SAVRoam;c:\program files\Symantec AntiVirus\SavRoam.exe [2005-12-27 172176]

R4 yksvc;Marvell Yukon Service;RUNDLL32.EXE ykx32mpcoinst,serviceStartProc --> RUNDLL32.EXE ykx32mpcoinst,serviceStartProc [?]

S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [2008-11-02 195752]

S3 SNIF0010;FSC Flash Update Driver B;\??\c:\docume~1\GSF\LOCALS~1\Temp\SniF0010.sys --> c:\docume~1\GSF\LOCALS~1\Temp\SniF0010.sys [?]

S3 SNIF0011;FSC Flash Update Driver A;\??\c:\docume~1\GSF\LOCALS~1\Temp\SniF0011.sys --> c:\docume~1\GSF\LOCALS~1\Temp\SniF0011.sys [?]

 

--- Other Services/Drivers In Memory ---

 

*Deregistered* - EraserUtilDrv10614

*Deregistered* - uphcleanhlp

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\I]

\Shell\AutoRun\command - I:\setupSNK.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5f7abd7e-f813-11dc-8a49-00037ae696a6}]

\Shell\AutoRun\command - H:\

\Shell\open\Command - rundll32.exe .\\sciwave.dll,InstallM

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{83592e24-bf92-11dc-8a29-00037ae696a6}]

\Shell\AutoRun\command - Autorun.exe /s

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e6c0f1ed-009f-11dd-8a59-00037ae696a6}]

\Shell\AutoRun\command - I:\setupSNK.exe

.

Contenu du dossier 'Tâches planifiées'

 

2008-04-03 c:\windows\Tasks\Microsoft_Hardware_Launch_setup_exe.job

- E:\setup.exe [2005-04-06 20:39]

.

- - - - ORPHELINS SUPPRIMES - - - -

 

WebBrowser-{6638A9DE-0745-4292-8A2E-AE530E7B9B3F} - c:\program files\Kiwee Toolbar\2.8.167\KiweeIEToolbar.dll

HKLM-Run-lxdjmon.exe - c:\program files\Lexmark 1400 Series\lxdjmon.exe

MSConfigStartUp-KiweeHook - c:\program files\Kiwee Toolbar\2.8.167\kwtbaim.exe

 

 

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.msn.fr/

uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8

mWindow Title =

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

IE: E&xporter vers Microsoft Excel - c:\micros~1\Office10\EXCEL.EXE/3000

Trusted Zone: www.mygsf.net

 

c:\windows\Downloaded Program Files\InstallerControl.dll - O16 -: CabBuilder

hxxp://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab

c:\windows\Downloaded Program Files\OSDC5.OSD

 

O16 -: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - hxxp://fichiers.touslesdrivers.com/fichiers/hardwaredetection/hardwaredetection_3_0_3_5.cab

c:\windows\Downloaded Program Files\hardwaredetection.inf

 

O16 -: {DFB5BCF1-06AE-4ABB-BFA8-1E228F41C50A} - hxxp://bobtv.fr/download/cfweb_www.bobtv.fr-download_instmodule.exe

FF - ProfilePath - c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\w8sds7n9.default\

FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=

FF - prefs.js: browser.search.selectedEngine - Google

FF - prefs.js: browser.startup.homepage - hxxp://www.msn.fr/

FF - prefs.js: keyword.URL - hxxp://kwtb.search.imgag.com/?c=GNKIW29193&sbs=1&sc=2&f=web&vernum=1.0&uid=&did=f8d4a70c-98e2-4081-901d-01bf93043ede&q=

FF - component: c:\program files\Real\RealPlayer\browserrecord\components\nprpbrowserrecordplugin.dll

FF - plugin: c:\program files\ma-config.com\nphardwaredetection.dll

.

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-01-05 21:24:35

Windows 5.1.2600 Service Pack 3 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

------------------------ Autres processus actifs ------------------------

.

c:\program files\Fichiers communs\Symantec Shared\ccSetMgr.exe

c:\program files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

c:\program files\Lavasoft\Ad-Aware\aawservice.exe

c:\windows\system32\LEXBCES.EXE

c:\windows\system32\LEXPPS.EXE

c:\windows\system32\scardsvr.exe

c:\program files\Avira\AntiVir PersonalEdition Classic\sched.exe

c:\program files\Avira\AntiVir PersonalEdition Classic\avguard.exe

c:\program files\Symantec AntiVirus\DefWatch.exe

c:\program files\Intel\Intel Matrix Storage Manager\IAANTMon.exe

c:\program files\Java\jre6\bin\jqs.exe

c:\windows\system32\lxdjcoms.exe

c:\program files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

c:\program files\Symantec AntiVirus\Rtvscan.exe

c:\program files\UPHClean\uphclean.exe

c:\windows\system32\UStorSrv.exe

c:\program files\RealVNC\VNC4\winvnc4.exe

c:\program files\Windows Media Player\wmpnetwk.exe

c:\windows\system32\rundll32.exe

c:\windows\system32\wbem\wmiapsrv.exe

c:\program files\Lexmark X1100 Series\lxbkbmon.exe

.

**************************************************************************

.

Heure de fin: 2009-01-05 21:26:38 - La machine a redémarré [Administrateur]

ComboFix-quarantined-files.txt 2009-01-05 20:26:35

 

Avant-CF: 10,038,767,616 octets libres

Après-CF: 9,903,788,032 octets libres

 

331 --- E O F --- 2008-12-29 16:04:29

[angelique]

• desinstalle LimeWire via ajout\supp de programmes, y'a pas pire pour choper des merdes!!!!

 

• ouvre ton bloc note[executer--notepad] et copies/colles le contenu du cadre ci dessous:

 

Folder::
C:\Program Files\Kiwee Toolbar
c:\documents and settings\All Users\Application Data\Kiwee Toolbar
C:\ToolBar SD
c:\documents and settings\ISO\Application Data\LimeWire
c:\documents and settings\Administrateur\Application Data\LimeWire
File::
C:\sqmdata16.sqm
C:\sqmnoopt16.sqm
C:\sqmdata15.sqm
C:\sqmnoopt15.sqm
c:\windows\system32\cwbuncob32.VIR000
c:\windows\system32\cwbuncob32.VIR
Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Program Files\\LimeWire\\LimeWire.exe"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"=-
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=-

 

[*]Va en haut de la page et clique sur le menu"Fichier" , une liste apparait=>

[*]Choisis "Enregistrer sous" et choisis "Bureau"

[*]Dans le champs "Nom du fichier" en bas de page donne le nom suivant:CFScript

[*]Clique sur le bouton "Enregistrer" à droite du champs "nom du fichier"

[*]Quitte le Bloc Notes.

[*]Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture

 

 

 

 

* suis les instructions

* Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

* Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

 

• Redémarre en mode Sans Échec avec prise en charge reseau: au redémarrage, tapote immédiatement la touche F8 ; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec avec prise en charge reseau" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur.

 

» assure toi qu'antivir est correctement configuré en consultant cette Video , les cases doivent etre cochées comme ça!:

 

http://www.malekal.com/fichiers/antivir/Co...tionAntivir.avi

 

» met le à jour et effectue un scan complet de tes disques , tu conserves\enregistre sous le rapport afin de le retrouver en mode normal.

 

» desinstalles antivir

 

» reboot ton pc en mode normal , poste le rapport obtenu de CFScript sur ComboFix + le rapport antivir

 

• Contacte ta hierarchie pour qu'il te permette d'updater le Firewall\antivirus Symantec

[getrogibbs]

ComboFix 09-01-06.02 - Administrateur 2009-01-07 15:44:51.5 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.1014.509 [GMT 1:00]

Lancé depuis: c:\documents and settings\Administrateur\Bureau\ComboFix.exe

Commutateurs utilisés :: c:\documents and settings\Administrateur\Bureau\CFScript.txt

* Un nouveau point de restauration a été créé

 

FILE ::

C:\sqmdata15.sqm

C:\sqmdata16.sqm

C:\sqmnoopt15.sqm

C:\sqmnoopt16.sqm

c:\windows\system32\cwbuncob32.VIR

c:\windows\system32\cwbuncob32.VIR000

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\documents and settings\Administrateur\Application Data\LimeWire

c:\documents and settings\All Users\Application Data\Kiwee Toolbar

c:\documents and settings\All Users\Application Data\Kiwee Toolbar\config\content_a.xml

c:\documents and settings\All Users\Application Data\Kiwee Toolbar\config\content_ie.xml

c:\documents and settings\All Users\Application Data\Kiwee Toolbar\config\content_m.xml

c:\documents and settings\All Users\Application Data\Kiwee Toolbar\config\content_y.xml

c:\documents and settings\All Users\Application Data\Kiwee Toolbar\config\logger.xml

c:\documents and settings\All Users\Application Data\Kiwee Toolbar\config\toolbarIE.xml

c:\documents and settings\All Users\Application Data\Kiwee Toolbar\config\toolbarIM_a.xml

c:\documents and settings\All Users\Application Data\Kiwee Toolbar\config\toolbarIM_m.xml

c:\documents and settings\All Users\Application Data\Kiwee Toolbar\config\toolbarIM_y.xml

c:\documents and settings\All Users\Application Data\Kiwee Toolbar\images\allow.bmp

c:\documents and settings\All Users\Application Data\Kiwee Toolbar\images\block.bmp

c:\documents and settings\All Users\Application Data\Kiwee Toolbar\images\dontsend.bmp

c:\documents and settings\All Users\Application Data\Kiwee Toolbar\images\im_toolbardropdownmenu.bmp

c:\documents and settings\All Users\Application Data\Kiwee Toolbar\images\im_toolbarsHelprolloverbase.bmp

c:\documents and settings\All Users\Application Data\Kiwee Toolbar\images\im_toolbarsm1rolloverbase.bmp

c:\documents and settings\All Users\Application Data\Kiwee Toolbar\images\im_toolbarsm1rolloverbase_bg.bmp

c:\documents and settings\All Users\Application Data\Kiwee Toolbar\images\im_toolbarsm1rolloverbase_dp.bmp

c:\documents and settings\All Users\Application Data\Kiwee Toolbar\images\im_toolbarsm2rolloverbase.bmp

c:\documents and settings\All Users\Application Data\Kiwee Toolbar\images\im_toolbarstextrollover.bmp

c:\documents and settings\All Users\Application Data\Kiwee Toolbar\images\kiwee_iconX16.ico

c:\documents and settings\All Users\Application Data\Kiwee Toolbar\images\kiwee_iconX48.ico

c:\documents and settings\All Users\Application Data\Kiwee Toolbar\images\send.bmp

c:\documents and settings\All Users\Application Data\Kiwee Toolbar\images\toolbar_eg.bmp

c:\documents and settings\All Users\Application Data\Kiwee Toolbar\images\toolbar_emoticons.bmp

c:\documents and settings\All Users\Application Data\Kiwee Toolbar\images\toolbar_eyeglass.bmp

c:\documents and settings\All Users\Application Data\Kiwee Toolbar\images\toolbar_gear.bmp

c:\documents and settings\All Users\Application Data\Kiwee Toolbar\images\toolbar_images.bmp

c:\documents and settings\All Users\Application Data\Kiwee Toolbar\images\toolbar_kiwee.bmp

c:\documents and settings\All Users\Application Data\Kiwee Toolbar\images\toolbar_msnlogo.bmp

c:\documents and settings\All Users\Application Data\Kiwee Toolbar\images\toolbar_news.bmp

c:\documents and settings\All Users\Application Data\Kiwee Toolbar\images\toolbar_text.bmp

c:\documents and settings\All Users\Application Data\Kiwee Toolbar\images\toolbar_videos.bmp

c:\documents and settings\All Users\Application Data\Kiwee Toolbar\images\toolbar_webshots.bmp

c:\documents and settings\All Users\Application Data\Kiwee Toolbar\images\toolbar_winks.bmp

c:\documents and settings\All Users\Application Data\Kiwee Toolbar\images\X.bmp

c:\documents and settings\ISO\Application Data\LimeWire

c:\program files\Kiwee Toolbar

C:\ToolBar SD

c:\windows\system32\cwbuncob32.VIR

c:\windows\system32\cwbuncob32.VIR000

 

.

((((((((((((((((((((((((((((( Fichiers créés du 2008-12-07 au 2009-01-07 ))))))))))))))))))))))))))))))))))))

.

 

2009-01-04 21:24 . 2009-01-04 21:25 <REP> d-------- c:\windows\system32\NtmsData

2009-01-04 19:02 . 2009-01-04 19:02 <REP> d-------- C:\rsit

2008-12-29 09:47 . 2008-10-16 02:01 1,499,648 -----c--- c:\windows\system32\dllcache\shdocvw.dll

2008-12-29 09:46 . 2008-10-24 12:21 455,296 -----c--- c:\windows\system32\dllcache\mrxsmb.sys

2008-12-29 09:45 . 2008-09-04 18:16 1,106,944 -----c--- c:\windows\system32\dllcache\msxml3.dll

2008-12-29 09:17 . 2008-12-29 09:17 373,760 --ahs---- c:\windows\system32\2EB6.tmp

2008-12-28 21:41 . 2008-12-28 21:41 <REP> d-------- c:\program files\Trend Micro

2008-12-28 20:17 . 2008-12-28 20:17 <REP> d-------- c:\program files\SpywareBlaster

2008-12-28 20:17 . 2008-12-28 21:54 <REP> d-a------ c:\documents and settings\All Users\Application Data\TEMP

2008-12-28 12:40 . 2008-12-28 12:40 230 --a------ c:\windows\system32\spupdsvc.inf

2008-12-28 11:41 . 2008-12-28 11:41 <REP> d-------- c:\program files\Avira

2008-12-28 11:41 . 2008-12-28 11:41 <REP> d-------- c:\documents and settings\All Users\Application Data\Avira

2008-12-13 21:31 . 2008-12-13 21:31 <REP> d-------- c:\program files\Lionhead Studios

2008-12-12 18:42 . 2008-12-12 18:42 <REP> d-------- c:\program files\Slitherine

2008-12-07 18:07 . 2008-12-12 18:39 <REP> d-------- c:\documents and settings\All Users\Application Data\Firefly Studios

2008-12-07 18:02 . 2008-12-07 18:04 <REP> d-------- c:\program files\GameShadow

2008-12-07 18:01 . 2005-05-26 15:34 2,297,552 --a------ c:\windows\system32\d3dx9_26.dll

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-01-07 14:38 --------- d-----w c:\program files\Symantec AntiVirus

2009-01-06 07:28 --------- d-----w c:\program files\lx_cats

2009-01-06 07:25 --------- d-----w c:\program files\Lexmark X1100 Series

2009-01-05 11:10 --------- d-----w c:\documents and settings\ISO\Application Data\uTorrent

2008-12-28 20:51 --------- d-----w c:\program files\Google

2008-12-20 15:22 --------- d--h--w c:\program files\InstallShield Installation Information

2008-12-20 15:22 --------- d-----w c:\program files\epson

2008-12-20 15:21 --------- d-----w c:\program files\Railroad Tycoon II

2008-12-20 15:18 --------- d-----w c:\program files\DeskView

2008-12-20 15:16 --------- d-----w c:\program files\Fichiers communs\FSC

2008-12-20 14:24 --------- d-----w c:\program files\Fichiers communs\AVSMedia

2008-12-20 14:24 --------- d-----w c:\program files\Azureus

2008-12-20 14:24 --------- d-----w c:\program files\AVS4YOU

2008-12-16 19:27 --------- d-----w c:\documents and settings\Administrateur\Application Data\Azureus

2008-12-16 16:41 --------- d-----w c:\program files\eMule

2008-12-15 09:04 56,712 ----a-w c:\documents and settings\ISO\Application Data\GDIPFONTCACHEV1.DAT

2008-12-03 12:02 --------- d-----w c:\program files\Java

2008-11-24 20:13 1,640,521 --sh--w c:\windows\system32\thsgwtwm.tmp

2008-11-24 09:26 --------- d-----w c:\program files\Empire Interactive

2008-11-23 16:35 --------- d-----w c:\program files\GameSpy Arcade

2008-11-23 16:21 --------- d-----w c:\program files\directx

2008-11-16 11:59 104,448 ----a-w c:\windows\system32\khvgbw.dll

2008-11-16 11:59 104,448 ----a-w c:\windows\system32\fxkwujjl.dll

2008-11-15 12:00 104,448 ----a-w c:\windows\system32\yvobfvrx.dll

2008-11-15 12:00 104,448 ----a-w c:\windows\system32\hsteui.dll

2008-11-14 09:42 104,448 ----a-w c:\windows\system32\uysjnnpx.dll

2008-11-14 09:42 104,448 ----a-w c:\windows\system32\qvjfxd.dll

2008-11-13 07:01 --------- d-----w c:\documents and settings\ISO\Application Data\agi

2008-11-10 04:43 410,984 ----a-w c:\windows\system32\deploytk.dll

2008-11-09 15:50 --------- d-----w c:\program files\NOS

2008-11-09 15:50 --------- d-----w c:\documents and settings\All Users\Application Data\NOS

2008-11-09 15:49 --------- d-----w c:\program files\Marvell

2008-11-09 15:43 --------- d-----w c:\program files\ma-config.com

2008-11-09 15:43 --------- d-----w c:\documents and settings\All Users\Application Data\ma-config.com

2008-11-09 15:19 --------- d-----w c:\program files\Fichiers communs\Adobe

2008-11-08 07:45 --------- d-----w c:\program files\Spybot - Search & Destroy

2008-11-06 18:52 103,936 ----a-w c:\windows\system32\qbcvkaer.dll

2008-11-06 18:52 103,936 ----a-w c:\windows\system32\jlaior.dll

2008-11-06 18:05 103,936 ----a-w c:\windows\system32\otanqfpd.dll

2008-11-06 18:05 103,936 ----a-w c:\windows\system32\kwrspc.dll

2008-11-06 15:32 176,128 ----a-w c:\windows\system32\ws59179.dll

2008-11-06 15:12 103,936 ----a-w c:\windows\system32\syorkx.dll

2008-11-06 15:12 103,936 ----a-w c:\windows\system32\iyebnffv.dll

2008-10-24 10:47 339,968 ----a-w c:\windows\system32\pythoncom25.dll

2008-10-24 10:47 2,117,632 ----a-w c:\windows\system32\python25.dll

2008-10-24 10:47 114,688 ----a-w c:\windows\system32\pywintypes25.dll

2008-10-23 12:36 286,720 ----a-w c:\windows\system32\gdi32.dll

2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll

2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll

2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll

2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll

2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll

2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe

2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll

2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll

2008-10-16 13:06 268,648 ----a-w c:\windows\system32\mucltui.dll

2008-10-16 13:06 208,744 ----a-w c:\windows\system32\muweb.dll

2008-10-16 01:01 670,208 ----a-w c:\windows\system32\wininet.dll

2008-09-25 05:55 56,712 ----a-w c:\documents and settings\Administrateur\Application Data\GDIPFONTCACHEV1.DAT

2008-07-31 20:32 32,768 --sha-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008073120080801\index.dat

.

 

((((((((((((((((((((((((((((( snapshot@2009-01-05_21.26.00.37 )))))))))))))))))))))))))))))))))))))))))

.

+ 2009-01-07 14:37:55 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_7b4.dat

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2008-09-29 185872]

"Client Access Check Version"="c:\program files\IBM\Client Access\cwbckver.exe" [2004-05-01 45106]

"VX3000"="c:\windows\vVX3000.exe" [2007-04-10 709992]

"PSUtility"="c:\addon\Fujitsu\PSUtility\TrayManager.exe" [2005-10-11 151552]

"Client Access Help Update"="c:\program files\IBM\Client Access\cwbinhlp.exe" [2004-05-01 24576]

"Client Access Express Welcome"="c:\program files\IBM\Client Access\cwbwlwiz.exe" [2004-05-01 20480]

"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2005-10-12 139264]

"lxdjamon"="c:\program files\Lexmark 1400 Series\lxdjamon.exe" [2007-03-06 20480]

"vptray"="c:\progra~1\SYMANT~1\VPTray.exe" [2005-12-27 85648]

"LoadBtnHnd"="c:\program files\Fujitsu\BtnHnd\BtnHnd.exe" [2005-07-21 61440]

"LoadFUJ02E3"="c:\program files\Fujitsu\FUJ02E3\FUJ02E3.exe" [2005-06-08 69632]

"IndicatorUtility"="c:\program files\Fujitsu\Fujitsu Hotkey Utility\IndicatorUty.exe" [2005-08-09 81920]

"LXDJCATS"="c:\windows\System32\spool\DRIVERS\W32X86\3\LXDJtime.dll" [2007-02-10 102400]

"LoadFujitsuQuickTouch"="c:\addon\Fujitsu\Application Panel\QuickTouch.exe" [2005-07-21 353792]

"Lexmark X1100 Series"="c:\program files\Lexmark X1100 Series\lxbkbmgr.exe" [2003-08-19 57344]

"Client Access Service"="c:\program files\IBM\Client Access\cwbsvstr.exe" [2004-05-01 20530]

"ccApp"="c:\program files\Fichiers communs\Symantec Shared\ccApp.exe" [2005-11-16 48800]

"Client Access PC5250 Sound"="c:\program files\IBM\Client Access\Emulator\pcssnd.exe" [2004-05-01 40960]

"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2006-01-05 761946]

"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-11-03 118784]

"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-11-03 77824]

"AGRSMMSG"="AGRSMMSG.exe" [2006-01-17 c:\windows\AGRSMMSG.exe]

"RTHDCPL"="RTHDCPL.EXE" [2005-12-09 c:\windows\RTHDCPL.exe]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]

BootExecute REG_MULTI_SZ autocheck autochk *\0lsdelete

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Bluetooth Manager.lnk]

path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Bluetooth Manager.lnk

backup=c:\windows\pss\Bluetooth Manager.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]

path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk

backup=c:\windows\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^WinZip Quick Pick.lnk]

path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\WinZip Quick Pick.lnk

backup=c:\windows\pss\WinZip Quick Pick.lnkCommon Startup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]

--a------ 2008-06-12 02:38 34672 c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]

--a------ 2008-06-12 13:28 266497 c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools-1033]

--a------ 2004-08-22 16:05 81920 c:\program files\D-Tools\daemon.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Desktop Search]

--a------ 2008-04-09 13:56 120320 c:\program files\Google\Google Desktop Search\GoogleDesktop.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

--a------ 2001-07-09 09:50 155648 c:\windows\system32\NeroCheck.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NSLauncher]

--a------ 2007-09-07 13:44 3100672 c:\program files\Nokia\Nokia Software Launcher\NSLauncher.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]

-ra------ 2008-04-23 16:45 22058792 c:\program files\Skype\Phone\Skype.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

--a------ 2008-11-10 05:43 136600 c:\program files\Java\jre6\bin\jusched.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]

--a------ 2008-05-05 18:45 68856 c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]

--a------ 2008-09-29 17:04 185872 c:\program files\Fichiers communs\Real\Update_OB\realsched.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WMPNSCFG]

--------- 2006-11-03 08:59 204288 c:\program files\Windows Media Player\wmpnscfg.exe

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\WINDOWS\\system32\\lxdjcoms.exe"=

"c:\\Program Files\\Lexmark 1400 Series\\lxdjamon.exe"=

"c:\\Program Files\\Lexmark 1400 Series\\App4R.exe"=

"c:\\WINDOWS\\system32\\LEXPPS.EXE"=

"c:\\Documents and Settings\\ISO\\Program Files\\uTorrent\\uTorrent.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

"c:\\WINDOWS\\system32\\[Emoticons-plus.com] Winkaa 2.0.exe"=

"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

"c:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\eMule\\emule.exe"=

"c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxdjwbgw.exe"=

"c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxdjpswx.exe"=

"c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxdjjswx.exe"=

"c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxdjtime.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

 

R3 FUJ02E1;%FUJ02E1.DeviceDesc%;c:\windows\system32\drivers\FUJ02E1.sys [2006-05-31 5632]

R3 FUJ02E3;Fujitsu FUJ02E3 Device Driver;c:\windows\system32\drivers\fuj02e3.sys [2006-05-31 4864]

R4 AGWinService;AG Windows Service;c:\program files\AGI\common\win32\pythonservice.exe [2008-10-24 10240]

R4 SavRoam;SAVRoam;c:\program files\Symantec AntiVirus\SavRoam.exe [2005-12-27 172176]

S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [2008-11-02 195752]

S3 SNIF0010;FSC Flash Update Driver B;\??\c:\docume~1\GSF\LOCALS~1\Temp\SniF0010.sys --> c:\docume~1\GSF\LOCALS~1\Temp\SniF0010.sys [?]

S3 SNIF0011;FSC Flash Update Driver A;\??\c:\docume~1\GSF\LOCALS~1\Temp\SniF0011.sys --> c:\docume~1\GSF\LOCALS~1\Temp\SniF0011.sys [?]

S4 yksvc;Marvell Yukon Service;RUNDLL32.EXE ykx32mpcoinst,serviceStartProc --> RUNDLL32.EXE ykx32mpcoinst,serviceStartProc [?]

 

--- Other Services/Drivers In Memory ---

 

*Deregistered* - EraserUtilDrv10614

*Deregistered* - uphcleanhlp

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\I]

\Shell\AutoRun\command - I:\setupSNK.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5f7abd7e-f813-11dc-8a49-00037ae696a6}]

\Shell\AutoRun\command - H:\

\Shell\open\Command - rundll32.exe .\\sciwave.dll,InstallM

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{83592e24-bf92-11dc-8a29-00037ae696a6}]

\Shell\AutoRun\command - Autorun.exe /s

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e6c0f1ed-009f-11dd-8a59-00037ae696a6}]

\Shell\AutoRun\command - I:\setupSNK.exe

.

Contenu du dossier 'Tâches planifiées'

 

2008-04-03 c:\windows\Tasks\Microsoft_Hardware_Launch_setup_exe.job

- E:\setup.exe []

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.msn.fr/

uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8

mWindow Title =

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

IE: E&xporter vers Microsoft Excel - c:\micros~1\Office10\EXCEL.EXE/3000

Trusted Zone: www.mygsf.net

 

c:\windows\Downloaded Program Files\InstallerControl.dll - O16 -: CabBuilder

hxxp://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab

c:\windows\Downloaded Program Files\OSDC5.OSD

 

O16 -: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - hxxp://fichiers.touslesdrivers.com/fichiers/hardwaredetection/hardwaredetection_3_0_3_5.cab

c:\windows\Downloaded Program Files\hardwaredetection.inf

 

O16 -: {DFB5BCF1-06AE-4ABB-BFA8-1E228F41C50A} - hxxp://bobtv.fr/download/cfweb_www.bobtv.fr-download_instmodule.exe

FF - ProfilePath - c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\w8sds7n9.default\

FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=

FF - prefs.js: browser.search.selectedEngine - Google

FF - prefs.js: browser.startup.homepage - hxxp://www.msn.fr/

FF - prefs.js: keyword.URL - hxxp://kwtb.search.imgag.com/?c=GNKIW29193&sbs=1&sc=2&f=web&vernum=1.0&uid=&did=f8d4a70c-98e2-4081-901d-01bf93043ede&q=

FF - component: c:\program files\Real\RealPlayer\browserrecord\components\nprpbrowserrecordplugin.dll

FF - plugin: c:\program files\ma-config.com\nphardwaredetection.dll

.

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-01-07 15:47:43

Windows 5.1.2600 Service Pack 3 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

--------------------- LOCKED REGISTRY KEYS ---------------------

 

[HKEY_USERS\Administrator\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu\Programs\Electronic Arts\C*NULL*o*NULL*m*NULL*m*NULL*a*NULL*n*NULL*d*NULL* *NULL*&*NULL* *NULL*C*NULL*o*NULL*n*NULL*q*NULL*u*NULL*e*NULL*r*NULL* *NULL*3*NULL* *NULL*L*NULL*e*NULL*s*NULL* *NULL*g*NULL*u*NULL*e*NULL*r*NULL*r*NULL*e*NULL*s*NULL* *NULL*d*NULL*u*NULL* *NULL*T*NULL*i*NULL*b*NULL*e*NULL*r*NULL*i*NULL*u*NULL*m*NULL*"!]

"Order"=hex:08,00,00,00,02,00,00,00,0c,00,00,00,01,00,00,00,00,00,00,00

 

[HKEY_USERS\Administrator\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*NULL*]

"??"=hex:d6,7e,c8,2b,7e,54,8b,be,c0,32,32,4a,06,9c,0c,bf,a4,62,24,6d,00,ef,2d,\

73,c9,99,de,17,b7,56,dc,1f,9c,36,90,ba,b9,0a,31,b0,5f,62,2b,36,f9,f8,38,68,\

ff,ef,55,5e,2b,e5,ca,03,5b,a7,f9,a1,ed,ee,1b,a8,84,17,2b,84,98,d5,db,0e,82,\

af,6b,6e,92,62,e1,41,73,fd,9a,2f,ad,fb,21,e7,03,6b,36,dd,d2,74,be,56,04,f1,\

37,a1,99,c6,3b,ff,47,db,e9,cf,65,c8,bc,8e,50,40,c9,1f,37,cc,cc,ad,0d,ae,8b,\

b6,16,b6,64,0e,1c,15,0a,46,23,f7,5a,1a,82,db,0a,92,9f,8d,12,b0,ad,42,e7,73,\

47,02,ec,64,f3,8d,8b,c1,09,9f,a1,13,d1,60,e4,73,76,2b,e8,0e,b8,f3,76,19,48,\

bf,b7,b3,68,09,ac,24,2e,cf,7e,18,8a,4a,89,86,39,3b,48,c4,c6,81,30,60,43,f6,\

0c,8d,81,11,12,48,82,59,f5,e1,05,b2,f9,31,49,0b,ff,b0,7f,03,62,a8,d3,c3,92,\

e5,a6,76,e7,b6,46,6c,d5,e3,b9,3a,c2,d5,cf,cc,4b,47,d4,31,eb,49,5d,2a,a7,28,\

86,fc,7c,b8,55,2f,02,98,bd,66,a3,5b,bf,22,d9,fa,85,1e,82,07,1c,ae,4c,d7,4a,\

5e,6f,dd,7d,6e,83,f9,1b,72,1c,bf,d9,a8,ac,27,c1,40,eb,6b,84,0a,d3,63,76,1a,\

8d,ad,4d,aa,eb,d1,b1,96,36,95,78,c2,78,c5,e4,be,45,4f,43,1c,05,03,13,d1,41,\

fd,3d,13,f8,78,ed,cc,19,15,47,6c,65,31,d6,1c,13,e0,92,30,c9,fe,10,19,d0,b6,\

13,16,97,03,1a,4c,3e,10,38,9f,9a,43,4a,58,67,04,c7,30,1b,ca,26,5c,5e,73,f7,\

ef,cf,6c,94,35,a6,ac,73,c0,3f,d9,e6,e3,2a,63,ea,76,70,0b,7d,7b,34,27,62,60,\

1f,e7,68,eb,c3,f3,8a,60,49,07,27,f8,6f,3e,02,95,39,ce,dc,79,5e,a7,57,db,7e,\

ed,5d,1b,42,79,f0,2f,f4,d9,ef,6d,55,68,42,3e,fe,e6,22,95,49,f0,fa,1d,ee,46,\

a4,6d,cc,cf,31,83,85,9b,09,78,c6,a5,96,3b,58,e2,b6,d3,e6,5e,08,04,91,e5,8f,\

27,3b,c8,1c,b4,aa,03,4c,d2,7b,d9,74,bb,61,66,05,49,a9,d8,50,8a,11,73,03,19,\

c4,20,94,fb,52,61,d8,ab,7f,ac,2f,26,88,d2,94,54,2e,bf,95,55,cb,bd,c5,6b,37,\

ff,dd,04,42,85,e7,59,14,b6,dc,a8,a8,90,01,01,dd,65,2e,67,7c,a5,27,7b,d3,ca,\

2a,ad,ce,35,56,46,74,ce,2c,7c,f6,8d,4d,20,da,e4,9a,dd,40,af,c2,ef,57,40,1c,\

8e,0a,e5,b9,94,65,e8,34,29,bc,bf,4e,e5,fe,f2,26,0c,0d,67,d9,6b,a5,a0,71,48,\

8f,63,86,e1,f5,88,ab,eb,c0,ec,3b,d2,66,f7,0c,3a,7f,8a,1a,3b,99,5f,1b,19,4f,\

1b,03,ef,a9,7b,8e,d8,56,4c,28,62,67,21,e1,95,53,2b,1c,5e,c0,c2,91,d5,bd,31,\

5d,e8,d4,6b,b5,3f,e5,64,54,b3,65,73,92,9d,37,dc,56,c8,ab,19,73,44,21,b5,57,\

38,e4,3c,cb,d4,f2,12,f4,20,eb,eb,80,ed,18,05,96,26,aa,b7,97,d3,be,6a,73,d4,\

02,56,31,ae,8f,91,5a,d8,79,12,ec,5f,7c,63,50,d3,a9,e3,b6,0d,45,e7,34,03,1f,\

15,14,db,7b,49,a4,29,20,5b,af,08,54,f8,80,ad,0f,af,f9,c6,76,98,86,09,84,94,\

81,2a,52,4b,a4,9d,0f,b7,7a,ba,95,bc,da,e7,e3,b7,c5,cf,f6,b1,ca,f9,77,e7,04,\

28,b2,bb,18,95,9b,da,3f,25,c7,98,20,30,4b,f1,be,3c,78,85,0e,cd,84,09,8f,d5,\

0a,b4,c2,45,b5,d4,20,e5,5f,ee,29,72,94,9c,29,38,7f,ff,81,b1,94,a1,a4,4c,5d,\

4e,9e,b5,9d,5e,e5,e7,27,56,58,b4,40,f9,d1,42,2a,17,41,9d,7d,82,a2,f3,61,9b,\

7d,24,5c,09,75,2c,54,09,6d

"??"=hex:5d,2e,bc,00,9b,07,bc,9c,34,34,87,88,c9,ab,ca,0d

.

Heure de fin: 2009-01-07 15:48:59

ComboFix-quarantined-files.txt 2009-01-07 14:48:56

ComboFix2.txt 2009-01-05 20:26:40

 

Avant-CF: 11,373,522,944 octets libres

Après-CF: 11,359,985,664 octets libres

 

335 --- E O F --- 2008-12-29 16:04:29

 

 

Avira AntiVir Personal

Date de création du fichier de rapport : mercredi 7 janvier 2009 16:09

 

La recherche porte sur 1156851 souches de virus.

 

Détenteur de la licence :Avira AntiVir PersonalEdition Classic

Numéro de série : 0000149996-ADJIE-0001

Plateforme : Windows XP

Version de Windows :(Service Pack 3) [5.1.2600]

Mode Boot : Mode sans échec avec assistance réseau

Identifiant : ISO

Nom de l'ordinateur :ENVIRONNEMENT

 

Informations de version :

BUILD.DAT : 8.2.0.52 Bytes 02/12/2008 14:55:00

AVSCAN.EXE : 8.1.4.10 315649 Bytes 18/11/2008 08:21:00

AVSCAN.DLL : 8.1.4.1 49921 Bytes 21/07/2008 13:44:27

LUKE.DLL : 8.1.4.5 164097 Bytes 12/06/2008 12:44:16

LUKERES.DLL : 8.1.4.0 13057 Bytes 04/07/2008 07:30:27

ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 11:30:36

ANTIVIR1.VDF : 7.1.1.33 1705984 Bytes 24/12/2008 20:58:11

ANTIVIR2.VDF : 7.1.1.60 318976 Bytes 02/01/2009 11:36:48

ANTIVIR3.VDF : 7.1.1.78 205824 Bytes 07/01/2009 14:56:19

Version du moteur: 8.2.0.45

AEVDF.DLL : 8.1.0.6 102772 Bytes 14/10/2008 10:05:56

AESCRIPT.DLL : 8.1.1.19 336252 Bytes 28/12/2008 20:58:24

AESCN.DLL : 8.1.1.5 123251 Bytes 07/11/2008 15:06:41

AERDL.DLL : 8.1.1.3 438645 Bytes 04/11/2008 13:58:38

AEPACK.DLL : 8.1.3.4 393591 Bytes 11/11/2008 09:41:39

AEOFFICE.DLL : 8.1.0.33 196987 Bytes 28/12/2008 20:58:23

AEHEUR.DLL : 8.1.0.75 1524087 Bytes 28/12/2008 20:58:22

AEHELP.DLL : 8.1.2.0 119159 Bytes 28/12/2008 20:58:17

AEGEN.DLL : 8.1.1.8 323956 Bytes 28/12/2008 20:58:16

AEEMU.DLL : 8.1.0.9 393588 Bytes 14/10/2008 10:05:56

AECORE.DLL : 8.1.5.2 172405 Bytes 28/12/2008 20:58:14

AEBB.DLL : 8.1.0.3 53618 Bytes 14/10/2008 10:05:56

AVWINLL.DLL : 1.0.0.12 15105 Bytes 09/07/2008 08:40:02

AVPREF.DLL : 8.0.2.0 38657 Bytes 16/05/2008 09:27:58

AVREP.DLL : 8.0.0.2 98344 Bytes 31/07/2008 12:02:15

AVREG.DLL : 8.0.0.1 33537 Bytes 09/05/2008 11:26:37

AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 08:29:19

AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12/06/2008 12:27:46

SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 17:28:02

SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12/06/2008 12:49:36

NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 12:05:07

RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 04/07/2008 07:23:16

RCTEXT.DLL : 8.0.52.1 86273 Bytes 17/07/2008 10:08:43

 

Configuration pour la recherche actuelle :

Nom de la tâche..................: Contrôle intégral du système

Fichier de configuration.........: c:\program files\avira\antivir personaledition classic\sysscan.avp

Documentation....................: bas

Action principale................: interactif

Action secondaire................: ignorer

Recherche sur les secteurs d'amorçage maître: marche

Recherche sur les secteurs d'amorçage: marche

Secteurs d'amorçage..............: C:, D:,

Recherche dans les programmes actifs: marche

Recherche en cours sur l'enregistrement: marche

Recherche de Rootkits............: marche

Fichier mode de recherche........: Tous les fichiers

Recherche sur les archives.......: marche

Limiter la profondeur de récursivité: 20

Archive Smart Extensions.........: marche

Types d'archives divergents......: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,

Heuristique de macrovirus........: marche

Heuristique fichier..............: moyen

Catégories de dangers divergentes: +APPL,+GAME,+JOKE,+PCK,+SPR,

 

Début de la recherche : mercredi 7 janvier 2009 16:09

 

La recherche d'objets cachés commence.

Accès à la recherche Rootkit refusé.

 

La recherche sur les processus démarrés commence :

Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés

Processus de recherche 'wmiprvse.exe' - '0' module(s) sont contrôlés

Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés

Processus de recherche 'aawservice.exe' - '0' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés

Processus de recherche 'lsass.exe' - '0' module(s) sont contrôlés

Processus de recherche 'services.exe' - '0' module(s) sont contrôlés

Processus de recherche 'winlogon.exe' - '0' module(s) sont contrôlés

Processus de recherche 'csrss.exe' - '0' module(s) sont contrôlés

Processus de recherche 'smss.exe' - '0' module(s) sont contrôlés

'3' processus ont été contrôlés avec '3' modules

 

La recherche sur les secteurs d'amorçage maître commence :

Secteur d'amorçage maître HD0

[iNFO] Aucun virus trouvé !

[AVERTISSEMENT] Erreur système [5]: Accès refusé.

 

La recherche sur les secteurs d'amorçage commence :

Secteur d'amorçage 'C:\'

[iNFO] Aucun virus trouvé !

[AVERTISSEMENT] Erreur système [5]: Accès refusé.

Secteur d'amorçage 'D:\'

[iNFO] Aucun virus trouvé !

[AVERTISSEMENT] Erreur système [5]: Accès refusé.

 

La recherche sur les renvois aux fichiers exécutables (registre) commence.

Le registre a été contrôlé ( '77' fichiers).

 

 

La recherche sur les fichiers sélectionnés commence :

 

Recherche débutant dans 'C:\' <SYSTEME>

C:\NTDETECT.COM

[AVERTISSEMENT] Impossible d'ouvrir le fichier !

C:\pagefile.sys

[AVERTISSEMENT] Impossible d'ouvrir le fichier !

C:\Documents and Settings\ISO\Bureau\mes docs\install_flash_player.exe

[AVERTISSEMENT] Impossible d'ouvrir le fichier !

C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\swg-3.0.1225.9868\SearchWithGoogleUpdate.exe

[AVERTISSEMENT] Impossible d'ouvrir le fichier !

C:\Program Files\Google\GoogleToolbarNotifier\swg-3.1.807.1746\SearchWithGoogleUpdate.exe

[AVERTISSEMENT] Impossible d'ouvrir le fichier !

C:\Program Files\Trend Micro\HijackThis\backups\backup-20090105-122708-768.dll

[RESULTAT] Contient le modèle de détection du programme SPR/Fake.SpyProte.1

[AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26003

[AVERTISSEMENT] Impossible de supprimer le fichier!

[REMARQUE] Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.

[REMARQUE] Accès à la recherche Rootkit refusé.

C:\Qoobox\Quarantine\C\WINDOWS\system32\cwbuncob32.dll.vir

[RESULTAT] Contient le cheval de Troie TR/Spy.Gen

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49c6ca05.qua' !

C:\Qoobox\Quarantine\C\WINDOWS\system32\cwbuncob32.VIR.vir

[RESULTAT] Contient le cheval de Troie TR/Spy.Gen

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49c6ca09.qua' !

C:\Qoobox\Quarantine\C\WINDOWS\system32\cwbuncob32.VIR000.vir

[RESULTAT] Contient le cheval de Troie TR/Spy.Gen

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49c6ca0c.qua' !

C:\Qoobox\Quarantine\C\WINDOWS\system32\srtiwpuv.dll.vir

[RESULTAT] Contient le cheval de Troie TR/Dldr.Small.ahzh

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49d8ca0a.qua' !

C:\Qoobox\Quarantine\C\WINDOWS\system32\_cwbuncob32_.dll.zip

[0] Type d'archive: ZIP

--> cwbuncob32.dll

[RESULTAT] Contient le cheval de Troie TR/Spy.Gen

--> cwbuncob32.dll.1

[RESULTAT] Contient le cheval de Troie TR/Drop.Softomat.AN

--> cwbuncob32.dll.2

[RESULTAT] Contient le cheval de Troie TR/Drop.Softomat.AN

[AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26003

[AVERTISSEMENT] Impossible de supprimer le fichier!

[REMARQUE] Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.

[AVERTISSEMENT] Erreur dans la bibliothèque ARK

C:\WINDOWS\NIRCMD.exe

[RESULTAT] Contient le modèle de détection de l'application APPL/NirCmd.E.2.B

[AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26003

[AVERTISSEMENT] Impossible de supprimer le fichier!

[REMARQUE] Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.

[REMARQUE] Accès à la recherche Rootkit refusé.

C:\WINDOWS\system32\fxkwujjl.dll

[AVERTISSEMENT] Impossible d'ouvrir le fichier !

C:\WINDOWS\system32\iyebnffv.dll

[AVERTISSEMENT] Impossible d'ouvrir le fichier !

C:\WINDOWS\system32\otanqfpd.dll

[AVERTISSEMENT] Impossible d'ouvrir le fichier !

C:\WINDOWS\system32\qbcvkaer.dll

[AVERTISSEMENT] Impossible d'ouvrir le fichier !

C:\WINDOWS\system32\uysjnnpx.dll

[AVERTISSEMENT] Impossible d'ouvrir le fichier !

C:\WINDOWS\system32\yvobfvrx.dll

[AVERTISSEMENT] Impossible d'ouvrir le fichier !

Recherche débutant dans 'D:\' <DONNEES>

 

 

Fin de la recherche : mercredi 7 janvier 2009 16:32

Temps nécessaire: 22:41 Minute(s)

 

La recherche a été effectuée intégralement

 

4934 Les répertoires ont été contrôlés

337900 Des fichiers ont été contrôlés

9 Des virus ou programmes indésirables ont été trouvés

0 Des fichiers ont été classés comme suspects

0 Des fichiers ont été supprimés

0 Des virus ou programmes indésirables ont été réparés

4 Les fichiers ont été déplacés dans la quarantaine

0 Les fichiers ont été renommés

11 Impossible de contrôler des fichiers

337880 Fichiers non infectés

12918 Les archives ont été contrôlées

17 Avertissements

7 Consignes

[angelique]

tu bosses bien , tu dois sentir la difference !

 

1• desinstalle Combofix en copiant_collant la ligne ci dessous dans executer et valide la:

 

ComboFix /u

 

 

supprime alors c:\combofix restant ainsi que la quarantine d'antivir si tu l'as pas desinstallé , mais apparemment si , donc la quarantine d'antivir a aussi été supprimé.

 

2• Télécharge OTMoveIt3 de OldTimer

http://oldtimer.geekstogo.com/OTMoveIt3.exe

 

* Enregistre-le sur ton bureau

* Double-clique sur OTMoveIt3.exe pour le lancer (l'extension peut ne pas apparaître)

* Copie-colle l'entièreté de ceci dans la partie "Paste Instructions for Items to be Moved" comme indiqué sur la capture (en-dessous de la barre jaune) :

 

:processes
explorer.exe

:files
c:\windows\system32\khvgbw.dll
c:\windows\system32\fxkwujjl.dll
c:\windows\system32\yvobfvrx.dll
c:\windows\system32\hsteui.dll
c:\windows\system32\uysjnnpx.dll
c:\windows\system32\qvjfxd.dll
c:\windows\system32\thsgwtwm.tmp
c:\windows\system32\qbcvkaer.dll
c:\windows\system32\jlaior.dll
c:\windows\system32\otanqfpd.dll
c:\windows\system32\kwrspc.dll
c:\windows\system32\ws59179.dll
c:\windows\system32\syorkx.dll
c:\windows\system32\iyebnffv.dll
C:\Program Files\Trend Micro\HijackThis\backups

:commands
[start explorer]
[emptytemp]

 

 

 

* Clique sur le bouton rouge Moveit! pour lancer le nettoyage

* Copie-colle dans ta prochaine réponse tout ce qui se trouve dans la fenêtre Results (en vert à droite)

--> Un rapport sera généré dans le dossier C:\ _OTMoveIt\MovedFiles avec la date et l'heure du passage de l'outil (mmddyyyy_hhmmss.log)

* Ferme OTMoveIt3 (en cliquant sur Exit)

 

 

Note : Si un fichier ou un dossier ne sait être supprimé directement, l'outil peut demander un redémarrage pour terminer le processus. Clique alors sur "Yes" pour accepter...

 

3 • Télécharge Malwarebytes' Anti-Malware (MBAM)

http://www.malwarebytes.org/mbam/program/mbam-setup.exe

 

* Double clique sur le fichier téléchargé pour lancer le processus d'installation.

* Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.

* Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".

* Sélectionne "Exécuter un examen rapide"

* Clique sur "Rechercher"

* L'analyse démarre, le scan est relativement long, c'est normal.

* A la fin de l'analyse, un message s'affiche :

L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

 

Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.

* Ferme tes navigateurs.

* Si des malwares ont été détectés, clique sur Afficher les résultats.

Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

* MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

 

 

 

NB : Si MBAM te demande à redémarrer, fais-le.

 

4• Lance HijackThis , renommé par RSIT --> C:\Program Files\Trend Micro\HijackThis\Administrateur.exe | "do a system scan & save log scan " , poste le contenu du rapport qui s'ouvre