warning dangerous spyware etc. affiché sur mon écran

yayayes · le 28 avril 2009

Bonjour,

depuis hier j'ai un message: warning dangerous spyware folowing viruses were founded on your computer: trojan horse, passcapture etc. sur fond noir

J'ai téléchargé ad-aware et fais des scan mais rien

Pouvez vous m'aider svp car j'ai tous les factures et devis de mon mari (artisan) sur le pc et autres documents importants que je ne voudrais pas perdre

Merci

angelique · le 28 avril 2009

J'ai téléchargé ad-aware et fais des scan mais rien

ça sert à rien , tu peux le desinstaller.

• creer un nouveau dossier en c:\ nommé HJT

telecharger HijackThis.exe dans ce nouveau dossier crée::

http://www.trendsecure.com/portal/en-US/_d.../HiJackThis.exe

lDouble-clique dessus . Accepte la licence qui va apparaître par "I agree" .

Puis clique sur "Do a system scan and save a logfile"

fais un copier-coller du rapport

Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport

Colle le rapport que tu viens de copier sur ce forum

Ferme HijackThis

yayayes · le 28 avril 2009

voici le rapport

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:48:10, on 28/04/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16791)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe

C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe

C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe

C:\Program Files\Logitech\QuickCam\Quickcam.exe

C:\Program Files\Java\jre6\bin\jusched.exe

C:\PROGRA~1\MI3AA1~1\wcescomm.exe

C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe

C:\documents and settings\berhaoui rachid\local settings\application data\oqyaa.exe

C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe

C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe

C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe

C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe

C:\PROGRA~1\MI3AA1~1\rapimgr.exe

C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe

C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\WINDOWS\eHome\ehRecvr.exe

C:\WINDOWS\eHome\ehSched.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe

C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

C:\WINDOWS\system32\dllhost.exe

C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe

C:\Program Files\PC Connectivity Solution\Transports\NclUSBSrv.exe

C:\Program Files\PC Connectivity Solution\Transports\NclRSSrv.exe

\?\globalroot\C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqSTE08.exe

C:\Program Files\Fichiers communs\Logishrd\LQCVFX\COCIManager.exe

C:\Program Files\Windows Live\Messenger\usnsvc.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.yahoo.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R3 - URLSearchHook: (no name) - {40d1c3a7-4ffb-4443-b3a0-a64b2df7fc3b} - (no file)

R3 - URLSearchHook: (no name) - {b5146c40-189a-4311-bda9-fbae3e023187} - (no file)

R3 - URLSearchHook: (no name) - {7009fcd4-05be-44f4-9583-93fe419ab7b0} - (no file)

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

F2 - REG:system.ini: UserInit=userinit.exe

O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: SingleInstance Class - {fdad4da1-61a2-4fd8-9c17-86f7ac245081} - C:\Program Files\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll

O3 - Toolbar: (no name) - {b5146c40-189a-4311-bda9-fbae3e023187} - (no file)

O3 - Toolbar: (no name) - {40d1c3a7-4ffb-4443-b3a0-a64b2df7fc3b} - (no file)

O3 - Toolbar: (no name) - {7009fcd4-05be-44f4-9583-93fe419ab7b0} - (no file)

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [Ad-Watch] C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe

O4 - HKLM\..\Run: [autochk] rundll32.exe C:\WINDOWS\system32\autochk.dll,_IWMPEvents@16

O4 - HKLM\..\Run: [bluetoothauthenticationagent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [framework windows] frmwrk32.exe

O4 - HKLM\..\Run: [hp software update] C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [logitechcommunicationsmanager] "C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe"

O4 - HKLM\..\Run: [logitechquickcamribbon] "C:\Program Files\Logitech\QuickCam\Quickcam.exe" /hide

O4 - HKLM\..\Run: [quicktime task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [sunjavaupdatesched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKCU\..\Run: [AntivirusXP.exe] C:\Program Files\AntivirusXP\AntivirusXP.exe

O4 - HKCU\..\Run: [h/pc connection agent] C:\PROGRA~1\MI3AA1~1\wcescomm.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [oqyaa] "c:\documents and settings\berhaoui rachid\local settings\application data\oqyaa.exe" oqyaa

O4 - HKCU\..\Run: [pc suite tray] "C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\RunOnce: [shockwave Updater] C:\WINDOWS\system32\Adobe\SHOCKW~1\SWHELP~2.EXE -Update -1103471 -"Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.0.3705; .NET CLR 1.1.4322; .NET CLR 2.0.50727; Media Center PC 4.0; .NET CLR 3.0.04506.30)" -"http://www.jeux-gratuits.com/jeu/418/jeu+gratuit+course+camping-car/"

O4 - HKCU\..\RunOnce: [] C:\Program Files\Internet Explorer\iexplore.exe http://www.symantec.com/techsupp/servlet/P...000096.000001da

O4 - HKUS\.DEFAULT\..\Run: [PcSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'Default user')

O4 - HKUS\.DEFAULT\..\Run: [] C:\WINDOWS\TEMP\avzl8v5s0.exe (User 'Default user')

O4 - HKUS\.DEFAULT\..\Run: [Windows Resurections] C:\WINDOWS\TEMP\avzl8v5s0.exe (User 'Default user')

O4 - HKUS\.DEFAULT\..\Run: [Diagnostic Manager] C:\WINDOWS\TEMP\1388851648.exe (User 'Default user')

O4 - HKUS\.DEFAULT\..\Run: [A00FF0DE1.exe] C:\WINDOWS\TEMP\_A00FF0DE1.exe (User 'Default user')

O4 - HKUS\.DEFAULT\..\Run: [autochk] rundll32.exe C:\DOCUME~1\LOCALS~1\protect.dll,_IWMPEvents@16 (User 'Default user')

O4 - .DEFAULT Startup: ChkDisk.dll (User 'Default user')

O4 - Startup: ChkDisk.dll

O4 - Startup: ChkDisk.lnk = ?

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: hp psc 1000 series.lnk = ?

O4 - Global Startup: hpoddt01.exe.lnk = ?

O4 - Global Startup: Logiciel Kodak EasyShare.lnk = C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe

O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll

O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll

O9 - Extra button: Livre de reliures HP - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Program Files\Hewlett-Packard\Smart Web Printing\hpswp_extensions.dll

O9 - Extra button: Sélection intelligente HP - {700259D7-1666-479a-93B1-3250410481E8} - C:\Program Files\Hewlett-Packard\Smart Web Printing\hpswp_extensions.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O11 - Options group: [java_sun] Java (Sun)

O16 - DPF: {67dabfbf-d0ab-41fa-9c46-cc0f21721616} - http://download.divx.com/player/DivXBrowserPlugin.cab

O16 - DPF: {8ad9c840-044e-11d1-b3e9-00805f499d93} (Java Runtime Environment 1.6.0) - http://dl8-cdn-09.sun.com/s/ESD7/JSCDL/jdk...ows-i586-jc.cab

O16 - DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} (AdSignerLCContrl Class) - https://static.impots.gouv.fr/tdir/static/a...gnerADP-1.1.cab

O16 - DPF: {de625294-70e6-45ed-b895-cffa13aeb044} - http://80.188.222.135/activex/AMC.cab

O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll

O20 - Winlogon Notify: __c0070ac2 - C:\WINDOWS\system32\__c0070AC2.dat

O23 - Service: Norton 2009 Reset (.norton2009Reset) - Unknown owner - C:\Documents and Settings\All Users\Application Data\Norton\Norton2009Reset.exe

O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Service de transfert intelligent en arrière-plan (BITS) - Unknown owner - C:\WINDOWS\

O23 - Service: Symantec Settings Manager (ccsetmgr) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: Java Quick Starter (javaquickstarterservice) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: Lavasoft Ad-Aware Service (lavasoft ad-aware service) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe

O23 - Service: LVCOMSer - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe

O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe

O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\SrvLnch\SrvLnch.exe

O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe

O23 - Service: Mises à jour automatiques (wuauserv) - Unknown owner - C:\WINDOWS\

--

End of file - 12120 bytes

angelique · le 28 avril 2009

c'est du n'importe quoi sur un pc d'entreprise, la derniere infection du moment en plus , c'est grave et n'importawak!!! désinstalle adaware ça sert à rien!!

• • relance HiajckThis "do a system scan only" coche uniquement les lignes ci dessous et clic Fixchecked:

R3 - URLSearchHook: (no name) - {40d1c3a7-4ffb-4443-b3a0-a64b2df7fc3b} - (no file)

R3 - URLSearchHook: (no name) - {b5146c40-189a-4311-bda9-fbae3e023187} - (no file)

R3 - URLSearchHook: (no name) - {7009fcd4-05be-44f4-9583-93fe419ab7b0} - (no file)

O3 - Toolbar: (no name) - {b5146c40-189a-4311-bda9-fbae3e023187} - (no file)

O3 - Toolbar: (no name) - {40d1c3a7-4ffb-4443-b3a0-a64b2df7fc3b} - (no file)

O3 - Toolbar: (no name) - {7009fcd4-05be-44f4-9583-93fe419ab7b0} - (no file)

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file

O4 - HKLM\..\Run: [Ad-Watch] C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe

O4 - HKLM\..\Run: [autochk] rundll32.exe C:\WINDOWS\system32\autochk.dll,_IWMPEvents@16

O4 - HKLM\..\Run: [framework windows] frmwrk32.exe

O4 - HKCU\..\Run: [oqyaa] "c:\documents and settings\berhaoui rachid\local settings\application data\oqyaa.exe" oqyaa

O4 - HKUS\.DEFAULT\..\Run: [] C:\WINDOWS\TEMP\avzl8v5s0.exe (User 'Default user')

O4 - HKUS\.DEFAULT\..\Run: [Windows Resurections] C:\WINDOWS\TEMP\avzl8v5s0.exe (User 'Default user')

O4 - HKUS\.DEFAULT\..\Run: [Diagnostic Manager] C:\WINDOWS\TEMP\1388851648.exe (User 'Default user')

O4 - HKUS\.DEFAULT\..\Run: [A00FF0DE1.exe] C:\WINDOWS\TEMP\_A00FF0DE1.exe (User 'Default user')

O4 - HKUS\.DEFAULT\..\Run: [autochk] rundll32.exe C:\DOCUME~1\LOCALS~1\protect.dll,_IWMPEvents@16 (User 'Default user')

O4 - .DEFAULT Startup: ChkDisk.dll (User 'Default user')

O4 - Startup: ChkDisk.dll

O4 - Startup: ChkDisk.lnk = ?

O20 - Winlogon Notify: __c0070ac2 - C:\WINDOWS\system32\__c0070AC2.dat

O23 - Service: Norton 2009 Reset (.norton2009Reset) - Unknown owner - C:\Documents and Settings\All Users\Application Data\Norton\Norton2009Reset.exe

==> clic Fixchecked

•(¯`·._.·[~~~~]·._.·´¯)

» Télécharge combofix.exe (par sUBs) » et sauvegarde le sur ton bureau , pas ailleurs!!!!!

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

http://www.forospyware.com/sUBs/ComboFix.exe

http://subs.geekstogo.com/ComboFix.exe

http://imagesup.org/images/1238940640-cfdl.jpg

http://imagesup.org/images/1240127722-cfsave.jpg

Les Antivirus couinent sur ComboFix (Nircmd ....), faut autoriser ou désactiver temporairement son AV , ainsi que la demande d'access à la zone sure si le firewall couine , il faut autoriser \o/

* Double-clique combofix.exe, accepte le CluF qui s'affiche, afin de l'exécuter et suis les instructions.

* Lorsque l'analyse sera complétée, un rapport apparaîtra que tu me posteras.

* Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

tuto:: Un guide et un tutoriel sur l'utilisation de ComboFix:

http://www.bleepingcomputer.com/combofix/f...iliser-combofix

(¯`·._.·[~~~~]·._.·´¯)

s'il ne lance pas ::

(¯`·._.·[ ..... ]·._.·´¯)

» Télécharge combofix.exe (par sUBs) » renomme le dans la fenetre de telechargement par COlaF , et sauvegarde le sur ton bureau , pas ailleurs!!!!!

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

http://www.forospyware.com/sUBs/ComboFix.exe

http://subs.geekstogo.com/ComboFix.exe

http://imagesup.org/images/1238940640-cfdl.jpg

http://imagesup.org/images/1238940687-cfren.jpg

Les Antivirus couinent sur ComboFix (Nircmd ....), faut autoriser ou désactiver temporairement son AV , ainsi que la demande d'access à la zone sure si le firewall couine , il faut autoriser \o/

* Double-clique combofix.exe(COlaF), accepte le CluF qui s'affiche, afin de l'exécuter et suis les instructions.

* Lorsque l'analyse sera complétée, un rapport apparaîtra que tu me posteras.

* Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

tuto:: Un guide et un tutoriel sur l'utilisation de ComboFix:

http://www.bleepingcomputer.com/combofix/f...iliser-combofix

(¯`·._.·[ ..... ]·._.·´¯)

yayayes · le 28 avril 2009

voici le rapport de combofix

ComboFix 09-04-27.05 - berhaoui rachid 28/04/2009 20:43.1 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.766.402 [GMT 2:00]

Lancé depuis: c:\documents and settings\berhaoui rachid\Bureau\ComboFix.exe

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\docume~1\BERHAO~1\LOCALS~1\Temp\tmp1.tmp

c:\documents and settings\berhaoui rachid\err.log

c:\documents and settings\berhaoui rachid\Menu Démarrer\Programmes\AntivirusXP

c:\documents and settings\berhaoui rachid\Menu Démarrer\Programmes\AntivirusXP\AntivirusXP.lnk

c:\documents and settings\berhaoui rachid\Menu Démarrer\Programmes\Démarrage\ChkDisk.dll

c:\documents and settings\berhaoui rachid\Menu Démarrer\Programmes\Démarrage\ChkDisk.lnk

c:\documents and settings\berhaoui rachid\protect.dll

c:\documents and settings\LocalService\protect.dll

c:\windows\system32\autochk.dll

c:\windows\system32\AutoRun.inf

c:\windows\system32\ciykmsmo.ini

c:\windows\system32\config\systemprofile\protect.dll

c:\windows\system32\DcdLmnpo.ini

c:\windows\system32\DcdLmnpo.ini2

c:\windows\system32\dyrggymp.ini

c:\windows\system32\flyfsehr.ini

c:\windows\system32\fwsawwbn.ini

c:\windows\system32\incnduoy.ini

c:\windows\system32\jbdynlge.ini

c:\windows\system32\kiaypjby.ini

c:\windows\system32\Llkknnpo.ini

c:\windows\system32\Llkknnpo.ini2

c:\windows\system32\mcccljmv.ini

c:\windows\system32\ooutqddh.ini

c:\windows\system32\owhflmon.ini

c:\windows\system32\spaeuxok.ini

c:\windows\system32\tubbgxjy.ini

c:\windows\system32\ubbjzmdnen_navfx.dat

c:\windows\system32\uclttmrg.ini

c:\windows\system32\uniq.tll

c:\windows\system32\xwyayyxx.ini

c:\windows\system32\xwyayyxx.ini2

c:\windows\system32\yjbjerlm.ini

C:\xcrashdump.dat

.

((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

-------\Legacy_BOONTY_GAMES

-------\Service_Boonty Games

((((((((((((((((((((((((((((( Fichiers créés du 2009-05-28 au 2009-4-28 ))))))))))))))))))))))))))))))))))))

.

2009-04-28 18:42 . 2009-04-28 18:42 27648 ----a-w c:\windows\system32\lmppcsetup.exe

2009-04-28 18:15 . 2009-04-28 18:15 -------- d-----w c:\documents and settings\berhaoui rachid\Application Data\Malwarebytes

2009-04-28 18:15 . 2009-04-28 18:15 -------- d-----w c:\documents and settings\All Users\Application Data\Malwarebytes

2009-04-28 17:46 . 2009-04-28 17:46 -------- d-----w c:\program files\Trend Micro

2009-04-28 17:45 . 2009-04-28 17:48 -------- dc----w C:\HJT

2009-04-28 13:40 . 2009-04-28 13:40 -------- dc----w C:\Nouveau dossier

2009-04-28 11:18 . 2009-04-28 11:35 -------- dc----w C:\VundoFix Backups

2009-04-28 11:07 . 2009-04-28 11:07 29696 ----a-w c:\windows\system32\loader49.exe

2009-04-27 18:16 . 2009-04-27 18:16 -------- d-----w c:\documents and settings\LocalService\Bureau

2009-04-27 18:01 . 2009-04-27 18:03 -------- d-----w c:\documents and settings\All Users\Application Data\Yahoo! Companion

2009-04-27 16:14 . 2009-04-28 18:24 -------- d-----w c:\documents and settings\All Users\Application Data\Lavasoft

2009-04-21 09:39 . 2009-04-21 09:39 -------- d-----w c:\windows\system32\config\systemprofile\Application Data\Yahoo!

2009-04-19 10:35 . 2009-04-19 10:34 410984 ----a-w c:\windows\system32\deploytk.dll

2009-04-18 08:01 . 2009-04-28 18:48 89448 ----a-w c:\windows\system32\drivers\607abd27.sys

2009-04-17 08:24 . 2009-04-17 08:24 -------- d-----w c:\program files\Axis Communications

2009-04-15 16:44 . 2009-04-15 16:44 155 ----a-w c:\windows\system32\SelfDel.bat

2009-04-14 21:18 . 2009-04-14 21:28 -------- d-----w c:\documents and settings\All Users\Application Data\Symantec

2009-04-14 11:43 . 2009-04-28 18:48 0 ----a-w c:\windows\system32\drivers\bc114a1c.sys

2009-04-14 10:11 . 2009-04-14 10:11 -------- dc----w C:\00000082

2009-04-14 09:42 . 2009-04-14 10:11 -------- d-----w c:\documents and settings\All Users\Application Data\Norton

2009-04-14 09:42 . 2009-04-14 09:42 -------- d-----w c:\documents and settings\All Users\Application Data\NortonInstaller

2009-04-14 09:37 . 2009-04-14 09:37 -------- d-----w c:\windows\E80F62FF5D3C4A1984099721F2928206.TMP

2009-04-14 08:29 . 2009-04-14 08:29 -------- d-----w c:\program files\Fichiers communs\PCSuite

2009-04-14 08:29 . 2009-04-14 08:29 -------- d-----w c:\program files\Fichiers communs\Nokia

2009-04-14 08:28 . 2008-08-26 07:26 18816 ----a-w c:\windows\system32\drivers\pccsmcfd.sys

2009-04-14 08:28 . 2009-04-14 08:28 -------- d-----w c:\program files\PC Connectivity Solution

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-04-28 18:46 . 2007-01-25 17:43 12 ----a-w c:\windows\bthservsdp.dat

2009-04-28 18:24 . 2007-03-24 20:36 -------- d-----w c:\program files\Lavasoft

2009-04-28 12:50 . 2006-11-21 13:44 -------- d-----w c:\program files\Fichiers communs\Symantec Shared

2009-04-28 10:41 . 2009-01-25 16:36 -------- d-----w c:\program files\Fichiers communs\Apple

2009-04-28 10:40 . 2009-03-21 18:28 -------- d-----w c:\program files\Movies2iPhone

2009-04-27 18:01 . 2009-02-12 21:38 -------- d-----w c:\program files\Yahoo!

2009-04-27 14:43 . 2006-12-25 14:59 -------- d-----w c:\program files\Google

2009-04-27 10:57 . 2009-01-22 08:58 -------- d-----w c:\program files\eRightSoft

2009-04-19 10:34 . 2007-01-23 06:51 -------- d-----w c:\program files\Java

2009-04-17 11:11 . 2008-08-18 15:28 -------- d-----w c:\program files\Black Sheep Studio

2009-04-14 08:29 . 2007-09-05 16:23 -------- d-----w c:\program files\Nokia

2009-03-29 14:03 . 2009-03-29 14:03 -------- d-----w c:\program files\Orb Networks

2009-03-29 09:48 . 2004-09-23 17:12 84818 ----a-w c:\windows\system32\perfc00C.dat

2009-03-29 09:48 . 2004-09-23 17:12 510736 ----a-w c:\windows\system32\perfh00C.dat

2009-02-09 14:05 . 2004-09-23 17:11 1846912 ----a-w c:\windows\system32\win32k.sys

2008-04-24 19:03 . 2008-04-24 19:03 3072 --sha-w c:\program files\Thumbs.db

2007-07-09 16:02 . 2007-07-09 16:02 156 ---ha-w c:\program files\hpothb07.dat

2007-07-09 16:02 . 2007-07-09 16:02 265 -c-ha-w c:\program files\hpothb07.tif

2007-02-09 20:11 . 2007-01-27 21:22 2757120 -csha-w c:\program files\ehthumbs.db

2006-05-03 09:06 . 2009-01-22 08:58 163328 --sh--r c:\windows\system32\flvDX.dll

2007-02-21 10:47 . 2009-01-22 08:58 31232 --sh--r c:\windows\system32\msfDX.dll

2008-03-16 13:30 . 2009-01-22 08:58 216064 --sh--r c:\windows\system32\nbDX.dll

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"h/pc connection agent"="c:\progra~1\MI3AA1~1\wcescomm.exe" [2006-11-13 1289000]

"msnmsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]

"pc suite tray"="c:\program files\Nokia\Nokia PC Suite 7\PCSuite.exe" [2008-12-03 1205760]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

"<NO NAME>"="c:\program files\Internet Explorer\iexplore.exe" [2008-12-19 634024]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"hp software update"="c:\program files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe" [2007-03-11 49152]

"logitechcommunicationsmanager"="c:\program files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe" [2007-07-25 563984]

"logitechquickcamribbon"="c:\program files\Logitech\QuickCam\Quickcam.exe" [2007-07-25 2027792]

"quicktime task"="c:\program files\QuickTime\qttask.exe" [2009-01-05 413696]

"sunjavaupdatesched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-04-19 148888]

"bluetoothauthenticationagent"="bthprops.cpl" - c:\windows\system32\bthprops.cpl [2008-04-14 110592]

c:\windows\system32\config\systemprofile\Menu D‚marrer\Programmes\D‚marrage\

ChkDisk.dll [2009-4-28 24064]

c:\windows\system32\config\systemprofile\Menu D‚marrer\Programmes\D‚marrage\

ChkDisk.dll [2009-4-28 24064]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

HP Digital Imaging Monitor.lnk - c:\program files\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe [2007-3-11 210520]

hp psc 1000 series.lnk - c:\program files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe [2003-4-6 147456]

hpoddt01.exe.lnk - c:\program files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe [2003-4-6 28672]

Logiciel Kodak EasyShare.lnk - c:\program files\Kodak\Kodak EasyShare software\bin\EasyShare.exe [2007-9-19 282624]

Logitech Desktop Messenger.lnk - c:\program files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe [2008-11-5 67128]

Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-2-18 65588]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]

"NoSetActiveDesktop"= 1 (0x1)

"NoActiveDesktopChanges"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]

"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]

"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]

"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%ProgramFiles%\\AOL 9.0\\aol.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe"=

"c:\\APPS\\skype\\phone\\Skype.exe"=

"c:\\Program Files\\DNA\\btdna.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\program files\Microsoft ActiveSync\rapimgr.exe"= c:\program files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager

"c:\program files\Microsoft ActiveSync\WCESMgr.exe"= c:\program files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

"c:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=

"c:\\Program Files\\Orb Networks\\Orb\\bin\\xmltv.exe"=

"c:\\Program Files\\Kodak\\Kodak EasyShare software\\bin\\EasyShare.exe"=

"c:\\WINDOWS\\pchealth\\helpctr\\binaries\\helpctr.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R2 .norton2009Reset;Norton 2009 Reset;c:\documents and settings\All Users\Application Data\Norton\Norton2009Reset.exe [2009-04-14 281625]

R3 Avgfwdx;Avgfwdx; [x]

R3 Avgfwfd;AVG network filter service; [x]

R3 PAC207;SoC PC-Camer@; [x]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12

hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]

\Shell\AutoRun\command - D:\setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{038ca617-2e33-11dc-9a21-000a9415736a}]

\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Toy.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{136452d1-1052-11dd-9b51-0016e697a33a}]

\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Toy.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7c5546d2-11e8-11dd-9b59-0016e697a33a}]

\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Toy.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7f4f3356-bc33-11db-994c-000a9415736a}]

\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Toy.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{83a5bf0d-1037-11dd-9b50-0016e697a33a}]

\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Toy.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{dd66b6f1-9354-11db-98f0-00038a000015}]

\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Toy.exe

.

Contenu du dossier 'Tâches planifiées'

2009-04-28 c:\windows\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job

- c:\program files\Windows Live Toolbar\MSNTBUP.EXE [2006-09-27 15:39]

.

- - - - ORPHELINS SUPPRIMES - - - -

HKCU-RunOnce-Shockwave Updater - c:\windows\system32\Adobe\SHOCKW~1\SWHELP~2.EXE -Update -1103471 -Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.0.3705; .NET CLR 1.1.4322; .NET CLR 2.0.50727; Media Center PC 4.0; .NET CLR 3.0.04506.30)

HKLM-Run-autochk - c:\windows\system32\autochk.dll

HKU-Default-Run-PcSync - c:\program files\Nokia\Nokia PC Suite 6\PcSync2.exe

HKU-Default-Run-autochk - c:\windows\system32\config\SYSTEM~1\protect.dll

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://google.com/

mStart Page = hxxp://fr.yahoo.com

uInternet Connection Wizard,ShellNext = iexplore

uSearchURL,(Default) = hxxp://www.google.com/keyword/%s

Handler: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - c:\program files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll

DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} - hxxps://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.1.cab

DPF: {de625294-70e6-45ed-b895-cffa13aeb044} - hxxp://80.188.222.135/activex/AMC.cab

.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-04-28 20:48

Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

c:\windows\system32\drivers\ovfsthxkbmkjklt.sys 84992 bytes executable

c:\windows\system32\ovfsthxdjabsvmx.dat 599315 bytes

c:\windows\system32\ovfsthxjdtqfqsy.dll 19456 bytes executable

c:\windows\system32\ovfsthxlog.dat 703 bytes

c:\windows\system32\ovfsthxpyrxekox.dll 61952 bytes executable

c:\windows\system32\ovfsthxxbvdtpmw.dll 19456 bytes executable

c:\windows\system32\ovfsthxycrooybi.dat 43 bytes

Scan terminé avec succès

Fichiers cachés: 7

**************************************************************************

.

--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(580)

c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(5568)

c:\program files\Fichiers communs\Logishrd\LVMVFM\LVPrcInj.dll

c:\windows\system32\msls31.dll

c:\windows\system32\eappprxy.dll

c:\windows\system32\PortableDeviceApi.dll

c:\program files\Microsoft Office\Office10\msohev.dll

c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.dll

c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.FRA

c:\windows\system32\wpdshext.dll

c:\windows\system32\Audiodev.dll

c:\windows\system32\WMVCore.DLL

c:\windows\system32\WMASF.DLL

.

------------------------ Autres processus actifs ------------------------

.

c:\windows\system32\ati2evxx.exe

c:\program files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe

c:\windows\system32\rundll32.exe

c:\progra~1\FICHIE~1\AOL\ACS\AOLacsd.exe

c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

c:\progra~1\MI3AA1~1\rapimgr.exe

c:\windows\ehome\ehrecvr.exe

c:\windows\ehome\ehSched.exe

c:\program files\Java\jre6\bin\jqs.exe

c:\program files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe

c:\program files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe

c:\windows\ehome\mcrdsvc.exe

c:\program files\PC Connectivity Solution\ServiceLayer.exe

c:\windows\system32\dllhost.exe

c:\program files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe

c:\program files\PC Connectivity Solution\Transports\NclUSBSrv.exe

c:\program files\PC Connectivity Solution\Transports\NclRSSrv.exe

c:\windows\system32\wscntfy.exe

c:\program files\Fichiers communs\LogiShrd\LQCVFX\COCIManager.exe

c:\program files\Hewlett-Packard\Digital Imaging\bin\hpqste08.exe

.

**************************************************************************

.

Heure de fin: 2009-04-28 20:50 - La machine a redémarré

ComboFix-quarantined-files.txt 2009-04-28 18:50

Avant-CF: 219 317 301 248 octets libres

Après-CF: 219 461 087 232 octets libres

261 --- E O F --- 2009-03-13 21:50

angelique · le 29 avril 2009

• desinstalle le produit symantec via ajout\suppression de programmes puis execute ce programme:

ftp://ftp.symantec.com/public/english_us_...emoval_Tool.exe

• telecharge mais n'installe pas encore antivir:

en US : http://dlce.antivir.com/package/wks_avira/...personal_en.exe

ou bien

en FR : http://dlce.antivir.com/package/wks_avira/...personal_fr.exe

• Telecharge sur ton bureau et pas ailleurs! : http://www2.gmer.net/catchme.exe

puis telecharge aussi sur ton bureau et pas ailleurs!! zouu.bat --> http://senduit.com/901213

» double clic sur zouu.bat

» un fichier zippé catchme.zip et un rapport catchme.log apparrait alors sur ton bureau , poste le contenu de catchme.log

• ouvre ton bloc note[executer--notepad] et copies/colles le contenu du cadre ci dessous:

Driver::
.norton2009Reset
Collect::
c:\windows\system32\lmppcsetup.exe
c:\windows\system32\loader49.exe
c:\windows\system32\drivers\607abd27.sys
c:\windows\system32\drivers\bc114a1c.sys
c:\windows\system32\config\systemprofile\Menu D‚marrer\Programmes\D‚marrage\ChkDisk.dll
c:\windows\system32\config\systemprofile\Menu D‚marrer\Programmes\D‚marrage\ChkDisk.dll
Folder::
C:\VundoFix Backups
c:\documents and settings\All Users\Application Data\Norton
c:\program files\Fichiers communs\Symantec Shared
c:\documents and settings\All Users\Application Data\Symantec
File::
c:\windows\system32\drivers\ovfsthxkbmkjklt.sys 
c:\windows\system32\ovfsthxdjabsvmx.dat 
c:\windows\system32\ovfsthxjdtqfqsy.dll 
c:\windows\system32\ovfsthxlog.dat
c:\windows\system32\ovfsthxpyrxekox.dll
c:\windows\system32\ovfsthxxbvdtpmw.dll
c:\windows\system32\ovfsthxycrooybi.dat
Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"<NO NAME>"=-

[*]Va en haut de la page et clique sur le menu"Fichier" , une liste apparait=>

[*]Choisis "Enregistrer sous" et choisis "Bureau"

[*]Dans le champs "Nom du fichier" en bas de page donne le nom suivant:CFScript

[*]Clique sur le bouton "Enregistrer" à droite du champs "nom du fichier"

[*]Quitte le Bloc Notes.

[*]Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture

* suis les instructions

* Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

* Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

» Un fichier zippé sera créé c:\qoobox\quarantine > [4]-Submit_Date_Time.zip

envoie le ,upload le à cette adresse--> http://upload.malekal.com/

comment faire: http://www.malekal.com/tuto_upload_fichiers.php

• installe antivir et configure le en cochant les cases comme sur cette video:

http://www.malekal.com/fichiers/antivir/Co...onAntivirV9.avi

• reposte avec les rapports demandés(catchme.log,le rapport de ComboFix apres passage du CFScript), un nouveau rapport HijackThis

yayayes · le 29 avril 2009

Bonjour, voici les 3 rapports demandés:

-catchme.log:

file zipped: c:\windows\system32\drivers\ovfsthxkbmkjklt.sys -> catchme.zip -> ovfsthxkbmkjklt.sys ( 84992 bytes )

PE file "c:\windows\system32\drivers\ovfsthxkbmkjklt.sys" killed successfully

file zipped: c:\windows\system32\ovfsthxdjabsvmx.dat -> catchme.zip -> ovfsthxdjabsvmx.dat ( 603879 bytes )

PE file "c:\windows\system32\ovfsthxdjabsvmx.dat" killed successfully

file zipped: c:\windows\system32\ovfsthxjdtqfqsy.dll -> catchme.zip -> ovfsthxjdtqfqsy.dll ( 19456 bytes )

PE file "c:\windows\system32\ovfsthxjdtqfqsy.dll" killed successfully

file zipped: c:\windows\system32\ovfsthxlog.dat -> catchme.zip -> ovfsthxlog.dat ( 1264 bytes )

PE file "c:\windows\system32\ovfsthxlog.dat" killed successfully

file zipped: c:\windows\system32\ovfsthxpyrxekox.dll -> catchme.zip -> ovfsthxpyrxekox.dll ( 61952 bytes )

PE file "c:\windows\system32\ovfsthxpyrxekox.dll" killed successfully

file zipped: c:\windows\system32\ovfsthxxbvdtpmw.dll -> catchme.zip -> ovfsthxxbvdtpmw.dll ( 19456 bytes )

PE file "c:\windows\system32\ovfsthxxbvdtpmw.dll" killed successfully

file zipped: c:\windows\system32\ovfsthxycrooybi.dat -> catchme.zip -> ovfsthxycrooybi.dat ( 43 bytes )

PE file "c:\windows\system32\ovfsthxycrooybi.dat" killed successfully

-Voici le contenu de combofix:

ComboFix 09-04-28.02 - berhaoui rachid 29/04/2009 10:59.2 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.766.299 [GMT 2:00]

Lancé depuis: c:\documents and settings\berhaoui rachid\Bureau\ComboFix.exe

Commutateurs utilisés :: c:\documents and settings\berhaoui rachid\Bureau\CFScript.txt

FILE ::

c:\windows\system32\drivers\ovfsthxkbmkjklt.sys

c:\windows\system32\ovfsthxdjabsvmx.dat

c:\windows\system32\ovfsthxjdtqfqsy.dll

c:\windows\system32\ovfsthxlog.dat

c:\windows\system32\ovfsthxpyrxekox.dll

c:\windows\system32\ovfsthxxbvdtpmw.dll

c:\windows\system32\ovfsthxycrooybi.dat

file zipped: c:\windows\system32\drivers\607abd27.sys

file zipped: c:\windows\system32\drivers\bc114a1c.sys

file zipped: c:\windows\system32\lmppcsetup.exe

file zipped: c:\windows\system32\loader49.exe

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\documents and settings\All Users\Application Data\Norton

c:\documents and settings\All Users\Application Data\Norton\00000082\000000fb\000002bf\cltLMS1.dat

c:\documents and settings\All Users\Application Data\Norton\00000082\000000fb\000002bf\cltLMS2.dat

c:\documents and settings\All Users\Application Data\Norton\00000082\000000fb\000002c4\cltLMS1.dat

c:\documents and settings\All Users\Application Data\Norton\00000082\000000fb\000002c4\cltLMS2.dat

c:\documents and settings\All Users\Application Data\Norton\00000082\000000fb\key.txt

c:\documents and settings\All Users\Application Data\Norton\Norton2009Reset.exe

c:\documents and settings\All Users\Application Data\Norton\symdata.xml

c:\documents and settings\berhaoui rachid\Menu Démarrer\Programmes\Démarrage\ChkDisk.dll

c:\documents and settings\berhaoui rachid\Menu Démarrer\Programmes\Démarrage\ChkDisk.lnk

c:\documents and settings\berhaoui rachid\protect.dll

c:\documents and settings\LocalService\protect.dll

c:\program files\Fichiers communs\Symantec Shared

c:\program files\Fichiers communs\Symantec Shared\CCPD-LC\symlcrst.dll

c:\program files\Fichiers communs\Symantec Shared\Support Controls\ssCmdTar.ini

c:\program files\Fichiers communs\Symantec Shared\Support Controls\ssctlbr.dll

c:\program files\Fichiers communs\Symantec Shared\Support Controls\ssctlln.dll

c:\program files\Fichiers communs\Symantec Shared\Support Controls\ssctlwmi.dll

c:\program files\Fichiers communs\Symantec Shared\Support Controls\sshelper.exe

c:\program files\Fichiers communs\Symantec Shared\Support Controls\SymAData.dll

c:\program files\Fichiers communs\Symantec Shared\Support Controls\SymSupCC.dll

c:\program files\Fichiers communs\Symantec Shared\Support Controls\tgctlcm.dll

c:\program files\Fichiers communs\Symantec Shared\Support Controls\tgctlsi.dll

c:\program files\Fichiers communs\Symantec Shared\Support Controls\tgctlsr.dll

c:\program files\Fichiers communs\Symantec Shared\Support Controls\tgctlss.dll

C:\VundoFix Backups

c:\vundofix backups\addmorefiles.txt

c:\windows\system32\autochk.dll

c:\windows\system32\config\systemprofile\protect.dll

c:\windows\system32\drivers\607abd27.sys

c:\windows\system32\drivers\bc114a1c.sys

c:\windows\system32\drivers\ovfsthxkbmkjklt.sys

c:\windows\system32\lmppcsetup.exe

c:\windows\system32\loader49.exe

c:\windows\system32\ovfsthxdjabsvmx.dat

c:\windows\system32\ovfsthxjdtqfqsy.dll

c:\windows\system32\ovfsthxlog.dat

c:\windows\system32\ovfsthxpyrxekox.dll

c:\windows\system32\ovfsthxxbvdtpmw.dll

c:\windows\system32\ovfsthxycrooybi.dat

c:\windows\TEMP\msb.dll

.

((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

-------\Service_.norton2009Reset

-------\Service_607abd27

-------\Service_bc114a1c

-------\Service_ovfsthxoynitaiv

((((((((((((((((((((((((((((( Fichiers créés du 2009-05-28 au 2009-4-29 ))))))))))))))))))))))))))))))))))))