[résolu] rapport hijackthis cause écran bleu

[petit pain]

voici le rapport MBAM

 

Malwarebytes' Anti-Malware 1.33

Version de la base de données: 1699

Windows 5.1.2600 Service Pack 3

 

27/01/2009 22:18:26

mbam-log-2009-01-27 (22-18-26).txt

 

Type de recherche: Examen complet (C:\|M:\|)

Eléments examinés: 190523

Temps écoulé: 52 minute(s), 32 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

(Aucun élément nuisible détecté)

[Apollo]

Bon signe.

 

Je te demanderais d'être patient, il y a certaines choses sur lesquelles on est en train de se renseigner à propos du rapport ComboFix.

 

Donc on attend l'avis de l'expert.

 

@++

[petit pain]

de toute façon, il est temps pour moi d'aller coucher alors on verra demain

 

bonne soirée/nuit

[Apollo]

Bonjour,

 

Ces services sont inactifs mais venant de Bagle on va les virer quand-même en attendant les précisions dont j'ai parlé plus haut (expertise).

 

Ce script a été rédigé spécialement pour cet utilisateur; ne pas l'utiliser sur une autre machine: dangereux!

 

1. Ferme tous les navigateurs ouverts.

 

2. Ferme/désactive tous les programmes anti-virus, anti-malware ou anti-spyware afin qu'ils n'interfèrent pas avec le travail de ComboFix.

 

3. Ouvre le Bloc-notes et fais un copier/coller du texte situé dans la boîte Citation ci-dessous dans le Bloc-notes:

 

KillAll::

 

REGLOCK::

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{0e436da6-c14b-4b81-aea4-618f1c1335a8}]

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{3e4e00c6-9382-48d6-b1ad-81c13f05e0f8}]

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{5ED60779-4DE2-4E07-B862-974CA4FF2E9C}]

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{7B8E9164-324D-4A2E-A46D-0165FB2000EC}]

 

Registry::

[-HKEY_LOCAL_MACHINE\software\Classes\CLSID\{0e436da6-c14b-4b81-aea4-618f1c1335a8}]

[-HKEY_LOCAL_MACHINE\software\Classes\CLSID\{3e4e00c6-9382-48d6-b1ad-81c13f05e0f8}]

[-HKEY_LOCAL_MACHINE\software\Classes\CLSID\{5ED60779-4DE2-4E07-B862-974CA4FF2E9C}]

[-HKEY_LOCAL_MACHINE\software\Classes\CLSID\{7B8E9164-324D-4A2E-A46D-0165FB2000EC}]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA]

 

Enregistre le fichier sous le nom CFScript.txt, au même endroit que ComboFix.exe

 

 

 

Comme sur l'image ci-dessus, fais glisser CFScript puis dépose-le sur ComboFix.exe

 

Lorsque l'outil aura terminé, il t'affichera un rapport nommé C:\ComboFix.txt que tu devras m'envoyer dans ton prochain message.

 

 

Refais un passage en option 1 avec Toolbar S&D après ça stp et poste son rapport.

 

@++

 

Edit : j'ai finalement eu confirmation pour les clés douteuses, alors j'ai adapté le CFScript en conséquence.

Qc001

Modifié le 28 janvier 2009 par Qc001

[petit pain]

bonjour,

voici un rapport de plus

 

ComboFix 09-01-24.01 - mickael 2009-01-28 18:24:34.10 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.767.404 [GMT 1:00]

Lancé depuis: c:\documents and settings\mickael\Bureau\Combo-Fix.exe

Commutateurs utilisés :: c:\documents and settings\mickael\Bureau\CFScript.txt

AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Updated)

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

.

((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Legacy_SROSA

 

 

((((((((((((((((((((((((((((( Fichiers créés du 2008-12-28 au 2009-01-28 ))))))))))))))))))))))))))))))))))))

.

 

2009-01-28 18:10 . 2009-01-28 18:10 <REP> d-------- c:\documents and settings\All Users\Application Data\Kiwee Toolbar

2009-01-26 20:53 . 2009-01-27 20:48 <REP> d-------- C:\ToolBar SD

2009-01-18 09:06 . 2009-01-18 09:09 <REP> d-------- c:\program files\Windows Live

2009-01-18 08:58 . 2009-01-18 09:08 <REP> d--hsc--- c:\program files\Fichiers communs\WindowsLiveInstaller

2009-01-18 08:58 . 2009-01-18 09:06 <REP> d-------- c:\documents and settings\All Users\Application Data\WLInstaller

2009-01-06 09:17 . 2009-01-06 09:17 <REP> d-------- c:\documents and settings\NetworkService\Application Data\agi

2009-01-05 13:47 . 2008-10-16 14:06 268,648 --a------ c:\windows\system32\mucltui.dll

2009-01-05 13:47 . 2008-10-16 14:06 27,496 --a------ c:\windows\system32\mucltui.dll.mui

2009-01-05 09:45 . 2009-01-05 09:45 <REP> d-------- c:\documents and settings\LocalService\Application Data\agi

2009-01-05 09:44 . 2009-01-05 09:44 <REP> d-------- c:\program files\AGI

2009-01-05 09:44 . 2009-01-05 09:46 <REP> d-------- c:\documents and settings\mickael\Application Data\agi

2009-01-05 09:44 . 2009-01-05 09:44 <REP> d-------- c:\documents and settings\All Users\Application Data\agi

2009-01-05 09:44 . 2009-01-05 09:44 2,117,632 --a------ c:\windows\system32\python25.dll

2009-01-05 09:44 . 2008-09-16 17:26 1,332,197 --a------ c:\windows\system32\pythondll.zip

2009-01-05 09:44 . 2009-01-05 09:44 339,968 --a------ c:\windows\system32\pythoncom25.dll

2009-01-05 09:44 . 2009-01-05 09:44 114,688 --a------ c:\windows\system32\pywintypes25.dll

2009-01-05 09:16 . 2009-01-18 08:24 <REP> d-------- c:\documents and settings\mickael\Tracing

2009-01-05 09:15 . 2009-01-05 09:15 <REP> d-------- c:\program files\Microsoft Silverlight

2009-01-05 09:15 . 2009-01-05 09:15 <REP> d-------- c:\program files\Microsoft Office Outlook Connector

2009-01-05 09:14 . 2009-01-05 09:14 <REP> d-------- c:\program files\Microsoft Sync Framework

2009-01-05 09:14 . 2008-12-08 17:01 55,136 --a------ c:\windows\system32\drivers\fssfltr_tdi.sys

2009-01-05 09:13 . 2009-01-05 09:13 <REP> d-------- c:\program files\Microsoft SQL Server Compact Edition

2009-01-05 09:11 . 2009-01-05 09:15 <REP> d-------- c:\program files\Microsoft

2009-01-05 09:10 . 2009-01-05 09:10 <REP> d-------- c:\program files\Windows Live SkyDrive

2009-01-05 08:50 . 2009-01-05 08:50 <REP> d-------- c:\program files\Fichiers communs\Windows Live

2008-12-29 12:29 . 2008-12-29 12:29 664 --a------ c:\windows\system32\d3d9caps.dat

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-01-28 17:47 --------- d-----w c:\documents and settings\mickael\Application Data\DMCache

2009-01-26 19:43 --------- d-----w c:\program files\Trend Micro

2009-01-25 21:05 --------- d-----w c:\program files\Warcraft III

2009-01-24 10:52 --------- d-----w c:\program files\JkDefrag

2009-01-24 08:21 --------- d-----w c:\program files\Malwarebytes' Anti-Malware

2009-01-14 22:28 --------- d-----w c:\documents and settings\All Users\Application Data\Microsoft Help

2009-01-14 15:11 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys

2009-01-14 15:11 15,504 ----a-w c:\windows\system32\drivers\mbam.sys

2008-12-17 22:00 --------- d-----w c:\program files\Avira

2008-12-17 22:00 --------- d-----w c:\documents and settings\All Users\Application Data\Avira

2008-12-12 20:11 --------- d-----w c:\program files\Java

2008-12-11 10:57 333,952 ----a-w c:\windows\system32\drivers\srv.sys

2008-12-07 19:00 --------- d-----w c:\documents and settings\All Users\Application Data\TomTom

2008-12-07 14:09 --------- d-----w c:\documents and settings\mickael\Application Data\TomTom

2008-12-07 14:08 --------- d-----w c:\program files\TomTom HOME 2

2008-12-04 23:11 308,584 ----a-w c:\windows\WLXPGSS.SCR

2008-12-02 22:18 --------- d-----w c:\program files\Common Files

2003-02-21 02:42 348,160 --sha-r c:\windows\system32\msvcr71.dll

2008-08-24 08:07 32,768 --sha-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008082420080825\index.dat

2008-06-01 21:17 51,232 --sha-w c:\windows\system32\drivers\fidbox.dat

.

 

((((((((((((((((((((((((((((( snapshot@2009-01-27_20.14.51.26 )))))))))))))))))))))))))))))))))))))))))

.

+ 2009-01-28 17:47:08 16,384 ----atw c:\windows\temp\Perflib_Perfdata_440.dat

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Fichiers communs\Ahead\lib\NMBgMonitor.exe" [2005-09-03 94208]

"TomTomHOME.exe"="c:\program files\TomTom HOME 2\HOMERunner.exe" [2008-11-27 234856]

"IDMan"="c:\program files\Internet Download Manager\IDMan.exe" [2008-11-07 2606512]

"MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"WinVNC"="c:\program files\UltraVNC\WinVNC.exe" [2006-07-17 364544]

"CloneCDTray"="m:\program files\SlySoft\CloneCD\CloneCDTray.exe" [2004-10-21 57344]

"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]

"HPDJ Taskbar Utility"="c:\windows\system32\spool\drivers\w32x86\3\hpztsb07.exe" [2002-12-10 188416]

"Acrobat Assistant 8.0"="m:\program files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2007-05-10 624248]

"ooquickpdfv7"="c:\windows\system32\oopmagent.exe" [2007-12-28 90112]

"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-12-12 136600]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]

"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"Config"="c:\windows\system32\run.cmd" [2006-02-14 248]

"tscuninstall"="c:\windows\system32\tscupgrd.exe" [2004-08-19 44544]

 

c:\documents and settings\mickael\Menu D‚marrer\Programmes\D‚marrage\

Outil de notification Live Search.lnk - c:\documents and settings\mickael\Application Data\Microsoft\Live Search\Notification-LiveSearch.exe [2009-01-05 143360]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"MemCheckBoxInRunDlg"= 1 (0x1)

"NoSMBalloonTip"= 1 (0x1)

"NoWelcomeScreen"= 1 (0x1)

"NoStrCmpLogical"= 0 (0x0)

 

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]

"MemCheckBoxInRunDlg"= 1 (0x1)

"NoSMBalloonTip"= 1 (0x1)

"NoWelcomeScreen"= 1 (0x1)

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"VIDC.ACDV"= ACDV.dll

"vidc.i420"= i420vfw.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusOverride"=dword:00000001

"FirewallOverride"=dword:00000001

"AntiVirusDisableNotify"=dword:00000001

"UpdatesDisableNotify"=dword:00000001

"DisablePagingExecutive"=dword:00000001

"SecondLevelDataCache"=dword:00000200

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=

"c:\\Program Files\\Fichiers communs\\Adobe\\Adobe Version Cue CS3\\Server\\bin\\VersionCueCS3.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"m:\\Program Files\\emule0.47c-Xtreme5.4_2\\emule.exe"=

"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"3703:TCP"= 3703:TCP:Adobe Version Cue CS3 Server

"3704:TCP"= 3704:TCP:Adobe Version Cue CS3 Server

"50900:TCP"= 50900:TCP:Adobe Version Cue CS3 Server

"50901:TCP"= 50901:TCP:Adobe Version Cue CS3 Server

 

R0 sonypvl2;sonypvl2;c:\windows\system32\drivers\sonypvl2.sys [2007-03-31 19478]

R1 DCDisk;DCDisk;c:\windows\system32\drivers\DCDisk.sys [2007-03-13 50606]

R1 sonypvf2;sonypvf2;c:\windows\system32\drivers\sonypvf2.sys [2007-03-31 635017]

R1 sonypvt2;sonypvt2;c:\windows\system32\drivers\sonypvt2.sys [2007-03-31 431236]

R3 STAC97NA;SigmaTel 3D Environmental Audio;c:\windows\system32\drivers\stac97na.sys [1980-01-01 296179]

R3 STAC97NH;STAC97NH;c:\windows\system32\drivers\stac97nh.sys [1980-01-01 231983]

R4 AGWinService;AG Windows Service;c:\program files\AGI\common\win32\pythonservice.exe [2009-01-05 10240]

R4 fssfltr;FssFltr;c:\windows\system32\drivers\fssfltr_tdi.sys [2009-01-05 55136]

R4 SeaPort;SeaPort;c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe [2008-12-04 226640]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a6f1f2e4-c468-11dd-b635-0020edb810a3}]

\Shell\AutoRun\command - F:\InstallTomTomHOME.exe

.

Contenu du dossier 'Tâches planifiées'

 

2009-01-28 c:\windows\Tasks\GlaryInitialize.job

- m:\program files\Glary Utilities\initialize.exe [2008-04-09 12:22]

.

.

------- Examen supplémentaire -------

.

uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}

mWindow Title =

uInternet Settings,ProxyOverride = *.local

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

IE: Télécharger avec IDM - c:\program files\Internet Download Manager\IEExt.htm

IE: Télécharger le contenu de video FLV avec IDM - c:\program files\Internet Download Manager\IEGetVL.htm

IE: Télécharger tous les liens avec IDM - c:\program files\Internet Download Manager\IEGetAll.htm

DPF: CabBuilder - hxxp://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab

FF - ProfilePath - c:\documents and settings\mickael\Application Data\Mozilla\Firefox\Profiles\9hh65mjb.default\

FF - prefs.js: browser.search.selectedEngine - Search the Web

FF - prefs.js: browser.startup.homepage - www.google.fr

FF - prefs.js: keyword.URL - hxxp://kwtb.search.imgag.com/?c=GNKIW29193&sbs=1&sc=2&f=web&vernum=1.0&uid=&did=f8d4a70c-98e2-4081-901d-01bf93043ede&q=

FF - component: c:\documents and settings\mickael\Application Data\IDM\idmmzcc2\components\idmmzcc.dll

FF - plugin: c:\program files\Microsoft\Office Live\npOLW.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll

.

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-01-28 18:48:27

Windows 5.1.2600 Service Pack 3 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

------------------------ Autres processus actifs ------------------------

.

c:\program files\Avira\AntiVir PersonalEdition Classic\sched.exe

m:\program files\Glary Utilities\Integrator.exe

c:\program files\Avira\AntiVir PersonalEdition Classic\avguard.exe

c:\program files\Bonjour\mDNSResponder.exe

c:\program files\Java\jre6\bin\jqs.exe

c:\windows\system32\nvsvc32.exe

c:\documents and settings\mickael\Application Data\Microsoft\Live Search\Mise-a-jour-LiveSearch.exe

c:\program files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

.

**************************************************************************

.

Heure de fin: 2009-01-28 18:51:13 - La machine a redémarré

ComboFix-quarantined-files.txt 2009-01-28 17:51:06

ComboFix2.txt 2009-01-27 19:16:08

 

Avant-CF: 16 482 349 056 octets libres

Après-CF: 16,471,040,000 octets libres

 

194 --- E O F --- 2009-01-27 22:02:25

[Mark]

Bonsoir petit pain

 

Apollo a malheureusement quelques problèmes avec son compte, qui l'empêchent de poster pour l'instant. Le tout devrait être corrigé rapidement, je l'espère.

 

Le script pour ComboFix a bien fait son boulot. Je vais laisser Apollo faire le suivi, lorsqu'il sera de retour. D'ici là, ne passe aucun outil prescrit ici car tout semble Ok. Comment se comporte la machine ?

 

@+

[petit pain]

merci de m'avoir prévenu, je ne touche à rien

au démarrage ce soir, j'ai eu 2 écrans bleus et des plantages firefox à gogo mais depuis le scan combo-fix plus rien

je vous tiens au courant s'il y a du nouveau

[Apollo]

Bonsoir, de retour

 

Merci Qc001 pour les précisions et la correction.

 

Petit pain, comme tu peux le remarquer, Bagle devient de plus en plus difficile à désinfecter; tu sais déjà par oGu comment tu l'as chopé, j'espère que cette fois tu auras compris.

 

Comment va la machine?

 

Poste un nouveau log Hijackthis pour voir ce qu'il y a encore lieu de faire.

 

Bonne nuit.

[petit pain]

bonjour,

 

au démarrage, le parapluie d'antivir ne s'ouvre pas, je suppose que ce n'est pas bon signe

 

voici le rapport HJT

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:04:32, on 29/01/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16762)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe

M:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe

C:\WINDOWS\system32\oopmagent.exe

C:\Program Files\Java\jre6\bin\jusched.exe

C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe

C:\Program Files\TomTom HOME 2\HOMERunner.exe

C:\Program Files\Internet Download Manager\IDMan.exe

C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe

C:\Documents and Settings\mickael\Application Data\Microsoft\Live Search\Notification-LiveSearch.exe

C:\Documents and Settings\mickael\Application Data\Microsoft\Live Search\Mise-a-jour-LiveSearch.exe

M:\Program Files\Glary Utilities\Integrator.exe

C:\Program Files\Bonjour\mDNSResponder.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\UltraVNC\WinVNC.exe

C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: ContributeBHO Class - {074C1DC5-9320-4A9A-947D-C042949C6216} - M:\Program Files\Adobe\/Adobe Contribute CS3/contributeieplugin.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll

O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - M:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - M:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Contribute Toolbar - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - M:\Program Files\Adobe\/Adobe Contribute CS3/contributeieplugin.dll

O3 - Toolbar: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - (no file)

O4 - HKLM\..\Run: [WinVNC] "C:\Program Files\UltraVNC\WinVNC.exe" -servicehelper

O4 - HKLM\..\Run: [CloneCDTray] "M:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe

O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "M:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"

O4 - HKLM\..\Run: [ooquickpdfv7] "C:\WINDOWS\system32\oopmagent.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME 2\HOMERunner.exe"

O4 - HKCU\..\Run: [iDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKUS\S-1-5-18\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'Default user')

O4 - Startup: Outil de notification Live Search.lnk = C:\Documents and Settings\mickael\Application Data\Microsoft\Live Search\Notification-LiveSearch.exe

O8 - Extra context menu item: Télécharger avec IDM - C:\Program Files\Internet Download Manager\IEExt.htm

O8 - Extra context menu item: Télécharger le contenu de video FLV avec IDM - C:\Program Files\Internet Download Manager\IEGetVL.htm

O8 - Extra context menu item: Télécharger tous les liens avec IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm

O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\WINDOWS\system32\shdocvw.dll

O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\WINDOWS\system32\shdocvw.dll

O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - M:\PROGRA~1\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - M:\PROGRA~1\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - M:\PROGRA~1\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: CabBuilder - http://kiw.imgag.com/imgag/kiw/toolbar/dow...llerControl.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab

O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://copainsdavant.linternaute.com/html_...geUploader4.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O16 - DPF: {D8089245-3211-40F6-819B-9E5E92CD61A2} (FlashXControl Object) - https://signin3.valueactive.com/Register/Br...OCX/flashax.cab

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - (no file)

O23 - Service: Adobe Version Cue CS3 {fr_FR} (Adobe Version Cue CS3) - Adobe Systems Incorporated - C:\Program Files\Fichiers communs\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe

O23 - Service: AG Windows Service (AGWinService) - Unknown owner - C:\Program Files\AGI\common\win32\PythonService.exe

O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: VNC Server (winvnc) - www.ultravnc.fr - C:\Program Files\UltraVNC\WinVNC.exe

 

--

End of file - 9769 bytes

[Apollo]

Bonsoir,

 

Je vais voir pour le résident Antivir, mais regarde par clic droit sur le parapluie et vois si tu peux activer le "guard" (résident.)

 

Lance Hiajckthis avec "do a system scan only" et coche cette case:

 

O23 - Service: AG Windows Service (AGWinService) - Unknown owner - C:\Program Files\AGI\common\win32\PythonService.exe

 

Ferme les appli et Fix Checked.

 

Cherche et élimine le fichier que j'indique en gras:

 

 

C:\Program Files\AGI\common\win32\PythonService.exe Vide la corbeille.

 

Assure toi que la console Java est bien la plus récente; pour le savoir rends-toi sur cette page et clique sur Vérifier la version de Java -> http://www.java.com/fr/download/installed.jsp -> Il te sera indiqué si tu dois installer la dernière version.

Si tu installes une nouvelle version Java, désinstalle toutes les plus anciennes via ajout/suppr de programmes.

 

Fais un scan en ligne avec Kaspersky.

 

TUTO: http://www.vista-xp.fr/forum/topic109.html

 

• Fais un scan en ligne Kaspersky
  
• Clique sur Accept
  
• Patiente le temps d'installation du Webscanner.
  
• Les bases de mises à jour vont s'installer, patiente un moment
  
• Clique sur Next.
  
• Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera.
  

 

A la fin du scan, si des objets infectés sont découverts, clique sur Save report as... Choisis bureau et nomme le rapport "rapport Kaspersky" et dans le champ d'enregistrement, choisis "fichiers texte" enregistre alors le rapport.

 

Copie/colle l'entièreté du fichier texte ouvert, par clic droit dessus, sélectionner tout/copier.

 

Colle ce rapport dans ta réponse sur le forum.

 

@++