Google redirect

Ichtos · le 9 mai 2009

Bonjour à tour et merci par avance pour les personnes qui voudront bien m'aider.

Depuis environ 1 semaine, je souffre des symptomes d'un google redirect. Quand je clique sur certains liens (Navigateurs Firefox et Opera), je suis automatiquement redirigé vers des sites commerciaux et des moteurs de recherche.

Mon antivirus: Antivir. J'ai déja scanné le systeme en mode sans echec, mais le virus semble toujours là.

A toutes fins, je copie le rapport Hijack this de ce matin. Merci à tous ceux qui sauront me dire quelles lignes je peux supprimer.

Pascal

Logfile of HijackThis v1.99.1

Scan saved at 11:13:46, on 09/05/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16827)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir Desktop\sched.exe

C:\Program Files\Ulead Systems\Ulead InstaMedia 2.0\RMC.exe

C:\Program Files\ASUSTek\ASUSDVD\PDVDServ.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe

C:\Program Files\Ulead Systems\Ulead InstaMedia 2.0\Monitor.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Documents and Settings\Pascal\Application Data\eoRezo\SoftwareUpdate\SoftwareUpdateHP.exe

C:\Program Files\Java\jre6\bin\jusched.exe

C:\Program Files\Avira\AntiVir Desktop\avgnt.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Program Files\BitComet\BitComet.exe

C:\Program Files\RALINK\RT2500 Wireless LAN Card\Installer\WINXP\RaConfig2500.exe

C:\Program Files\Secunia\PSI\psi.exe

C:\Program Files\Fichiers communs\ABBYY\FineReader\9.00\Licensing\PE\NetworkLicenseServer.exe

C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe

C:\Program Files\Windows Live\Family Safety\fsssvc.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe

C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe

C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe

\?\globalroot\C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Documents and Settings\Pascal\Local Settings\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local;www.yahoo.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {24520f9e-e233-426c-9947-4c012d439c32} - C:\WINDOWS\system32\bejaline.dll (file missing)

O4 - HKLM\..\Run: [ulead Remote Control Center] C:\Program Files\Ulead Systems\Ulead InstaMedia 2.0\RMC.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\ASUSTek\ASUSDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NVRTCLK] C:\WINDOWS\system32\NVRTCLK\NVRTClk.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nTrayFw] C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Matchlock Scheduling] C:\Program Files\Ulead Systems\Ulead InstaMedia 2.0\Monitor.exe

O4 - HKLM\..\Run: [hplampc] C:\WINDOWS\system32\hplampc.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [OpwareSE2] "C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [NVMixerTray] "C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe"

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [EoEngine] "C:\Program Files\EoRezo\EoEngine.exe"

O4 - HKLM\..\Run: [softwareHelper] C:\Documents and Settings\Pascal\Application Data\eoRezo\SoftwareUpdate\SoftwareUpdateHP.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [944aed9e] rundll32.exe "C:\WINDOWS\system32\zadowebi.dll",b

O4 - HKLM\..\Run: [autochk] rundll32.exe C:\WINDOWS\system32\autochk.dll,_IWMPEvents@16

O4 - HKLM\..\Run: [nusipolive] Rundll32.exe "C:\WINDOWS\system32\mufojale.dll",s

O4 - HKLM\..\Run: [CPM9779de02] Rundll32.exe "c:\windows\system32\vudutowo.dll",a

O4 - HKLM\..\Run: [babyGoCP] C:\Program Files\FreeAngel\FreeAngel.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [bitComet] "C:\Program Files\BitComet\BitComet.exe" /tray

O4 - Startup: ChkDisk.lnk = ?

O4 - Startup: Secunia PSI.lnk = C:\Program Files\Secunia\PSI\psi.exe

O4 - Global Startup: DTV Remote Control.lnk = C:\Program Files\ADS Tech\DVBT Utilities\ADSRMT.exe

O4 - Global Startup: RaConfig2500.lnk = C:\Program Files\RALINK\RT2500 Wireless LAN Card\Installer\WINXP\RaConfig2500.exe

O8 - Extra context menu item: Download with Go!Zilla - file://C:\Program Files\Go!Zilla\download-with-gozilla.html

O8 - Extra context menu item: Tout télécharger avec BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm

O8 - Extra context menu item: Télécharger avec BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm

O8 - Extra context menu item: Télécharger toutes les vidéos avec BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm

O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll

O11 - Options group: [iNTERNATIONAL] International*

O16 - DPF: {2EF3FB47-7B1E-4536-BA4D-51427BD45DFA} (PIXACO Drag and Drop upload plugin) - http://www.pixaco.fr/static/download/pixacodndupload.cab

O16 - DPF: {493ACF15-5CD9-4474-82A6-91670C3DD66E} (LinkedIn ContactFinderControl) - http://www.linkedin.com/cab/LinkedInContactFinderControl.cab

O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://wisup.net/_plateforme/Upload/Aurigm...geUploader4.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {C81B5180-AFD1-41A3-97E1-99E8D254DB98} (CSS Web Installer Class) - http://www.commandondemand.com/eval/cod/cabs/cssweb.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{4235A961-A7DE-4EF4-83CF-49234A28DFE2}: NameServer = 212.27.32.176,212.27.32.177

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Program Files\Windows Live\Mail\mailcomm.dll

O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll

O20 - AppInit_DLLs: C:\WINDOWS\system32\zekuboli.dll c:\windows\system32\nepovefe.dll c:\windows\system32\pologodi.dll c:\windows\system32\wugobaha.dll C:\WINDOWS\system32\fesusipa.dll c:\windows\system32\savogiju.dll c:\windows\system32\vudutowo.dll

O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)

O20 - Winlogon Notify: ipfwrd - C:\WINDOWS\SYSTEM32\ipfwrd.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\vudutowo.dll

O23 - Service: ABBYY FineReader 9.0 PE Licensing Service (ABBYY.Licensing.FineReader.Professional.9.0) - Unknown owner - C:\Program Files\Fichiers communs\ABBYY\FineReader\9.00\Licensing\PE\NetworkLicenseServer.exe" -service (file missing)

O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe

O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe

O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing)

O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Program Files\Java\jre6\bin\jqs.exe" -service -config "C:\Program Files\Java\jre6\lib\deploy\jqs\jqs.conf (file missing)

O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe

O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe

O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: VundoFix Service (VundoFixSvc) - Atribune.org - C:\WINDOWS\SYSTEM32\VundoFixSVC.exe

Gof · le 9 mai 2009

Bonjour Ichtos

Messages: 1

Bienvenue sur les forums de Zebulon.

Quelques liens pour t'aider à commencer :

On va voir ensemble ce qui se passe sur ton PC ; comme tous les intervenants ici, nous aidons bénévolement en fonction de nos activités personnelles. On va essayer d'aller au plus vite, mais il faudra peut-être parfois être patient pour attendre une réponse, pas d'affolement

----------------

Ton rapport révèle en effet des éléments infectieux. Désactive l'antivirus avant de télécharger et exécuter l'outil.

Désactive le teatimer de Spybot en passant par les options de Spybot :

Une fois dans le logiciel, il faut aller dans le menu "Mode"
Coche "Mode avancé" puis "Outils"(en bas de page) et enfin "Résident"
Décoche cette case: "Résident Teatimer" .
Tu ne doit plus voir l'icône du Teatimer dans la barre de tâches!

Télécharge combofix.exe (par sUBs) et sauvegarde le sur ton bureau.

Double-clique combofix.exe afin de l'exécuter et suis les instructions.
Lorsque l'analyse sera complétée, un rapport apparaîtra.
Copie-colle ce rapport dans ta prochaine réponse.

Ichtos · le 9 mai 2009

Merci pour ton aide. Concernant la procédure, OK pour tout sauf pour l'antivirus. J'ai ien fermé antivir, mais apparemment j'ai encore un fichier bitdefender qui tourne. Pourtant j'ai bien désinstallé ce logiciel il y a quelques mois. Je ne sais pas identifier les fichiers qui seraient encore dans la bécane. Une question, est-ce que je réactive le tea timer le spybot ?

Voila le rapport néammoins

ComboFix 09-05-08.03 - Pascal 09/05/2009 12:23.1 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.1023.672 [GMT 2:00]

Lancé depuis: c:\documents and settings\Pascal\Local Settings\Bureau\Pascal\ComboFix.exe

AV: Bitdefender Antivirus *On-access scanning enabled* (Updated)

FW: F-Secure Anti-Virus 2006 6.10 *disabled*

FW: NVIDIA Firewall *enabled*

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\documents and settings\LocalService\protect.dll

c:\documents and settings\Pascal\protect.dll

c:\windows\patch.exe

c:\windows\system32\__c00B6B12.dat

c:\windows\system32\a9k.bin

c:\windows\system32\ak1.exe

c:\windows\system32\akitegak.ini

c:\windows\system32\asizowuv.ini

c:\windows\system32\autochk.dll

c:\windows\system32\awesusoz.ini

c:\windows\system32\bozuhanu.dll

c:\windows\system32\config\systemprofile\protect.dll

c:\windows\system32\divitawu.dll

c:\windows\system32\drivers\mrxdavv.sys

c:\windows\system32\drivers\ovfsthwwivrwhxaomjflxjboyxrqvayxwxvoel.sys

c:\windows\system32\ebedddebef8_d.dll

c:\windows\system32\fesusipa.dll

c:\windows\system32\fijovopo.exe

c:\windows\system32\fupilito.dll

c:\windows\system32\hozifofe.dll

c:\windows\system32\hurasivi.dll

c:\windows\system32\ibewodaz.ini

c:\windows\system32\ikuvuyoh.ini

c:\windows\system32\koyahune.dll

c:\windows\system32\kwave.sys

c:\windows\system32\lmppcsetup.exe

c:\windows\system32\makezimu.exe

c:\windows\system32\neresazi.exe

c:\windows\system32\opelagih.ini

c:\windows\system32\ovfsthefyrkmvgrrtgccelguhbddfaengrrncw.dat

c:\windows\system32\ovfsthekpcnvdogdqgaoudrkkedhoyqdlqryiu.dll

c:\windows\system32\ovfsthlhqdbnthfdboilruggigvwglvlhkvlia.dat

c:\windows\system32\ovfsthowjalqwmbhtxcabrngkvrjhoxjisbaaa.dll

c:\windows\system32\ovfsthxngedilyalnpujkxtqxrdhnjqagqcofu.dll

c:\windows\system32\pozofohu.dll

c:\windows\system32\pudosuji.exe

c:\windows\system32\ruzamako.exe

c:\windows\system32\unapozut.ini

c:\windows\system32\upuyanah.ini

c:\windows\system32\vesiwudo.exe

c:\windows\system32\vozizowu.dll

c:\windows\system32\vudutowo.dll

c:\windows\system32\welemige.dll

c:\windows\system32\zadowebi.dll

c:\windows\system32\zanelupo.dll

.

((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

-------\Service_ovfsthtymtpgcrkbkqyjtydvcnvpsxxybhdsup

((((((((((((((((((((((((((((( Fichiers créés du 2009-04-09 au 2009-05-09 ))))))))))))))))))))))))))))))))))))

.

2009-05-09 08:11 . 2009-05-09 08:13 -------- d-----w c:\program files\FreeAngel

2009-05-09 08:05 . 2009-05-09 08:05 -------- d-----w c:\windows\i_setup

2009-05-09 08:02 . 2009-05-09 08:17 27648 ----a-w c:\windows\system32\lmn_setup.exe

2009-05-08 23:41 . 2009-05-08 23:41 579584 -c--a-w c:\windows\system32\dllcache\user32.dll

2009-05-08 23:34 . 2009-05-08 23:34 -------- d-----w c:\windows\ERUNT

2009-05-08 23:31 . 2009-05-08 23:59 -------- d-----w C:\SDFix

2009-05-08 22:44 . 2009-05-08 22:44 -------- d-----w c:\program files\CCleaner

2009-05-08 17:42 . 2009-05-08 17:42 -------- d-----w c:\program files\RegSupreme Pro

2009-05-08 15:38 . 2009-05-08 15:38 -------- d-----w c:\documents and settings\Administrateur\Local Settings\Application Data\Opera

2009-05-08 14:11 . 2009-05-08 14:11 24576 ----a-w c:\windows\system32\VundoFixSVC.exe

2009-05-08 13:56 . 2009-05-08 16:57 -------- d-----w C:\VundoFix Backups

2009-05-08 09:25 . 2009-05-08 09:25 -------- d-----w c:\documents and settings\Administrateur\Application Data\Malwarebytes

2009-05-08 08:26 . 2009-05-08 22:40 7264 ----a-w c:\windows\system32\d3d9caps.dat

2009-05-08 07:03 . 2009-05-08 07:03 23666 ----a-w c:\windows\system32\ipfwrd.dll

2009-05-05 19:21 . 2009-05-07 19:35 8704 ----a-w c:\windows\instsp2.exe

2009-05-02 16:05 . 2009-05-02 17:20 -------- d-----w c:\windows\system32\NtmsData

2009-04-30 19:48 . 2009-04-30 19:48 -------- d-----w c:\documents and settings\LocalService\Menu Démarrer

2009-04-30 19:48 . 2009-03-24 14:07 55640 ----a-w c:\windows\system32\drivers\avgntflt.sys

2009-04-30 19:48 . 2009-04-30 19:48 -------- d-----w c:\program files\Avira

2009-04-30 19:48 . 2009-04-30 19:48 -------- d-----w c:\documents and settings\All Users\Application Data\Avira

2009-04-27 22:45 . 2009-04-27 22:45 -------- d-----w c:\documents and settings\Pascal\Application Data\PCF-VLC

2009-04-17 18:05 . 2009-02-06 10:10 227840 -c----w c:\windows\system32\dllcache\wmiprvse.exe

2009-04-17 18:04 . 2009-03-06 14:20 286720 -c----w c:\windows\system32\dllcache\pdh.dll

2009-04-17 18:04 . 2009-02-09 11:23 111104 -c----w c:\windows\system32\dllcache\services.exe

2009-04-17 18:04 . 2009-02-09 10:53 401408 -c----w c:\windows\system32\dllcache\rpcss.dll

2009-04-17 18:04 . 2009-02-09 10:53 473600 -c----w c:\windows\system32\dllcache\fastprox.dll

2009-04-17 18:04 . 2009-02-09 10:53 685568 -c----w c:\windows\system32\dllcache\advapi32.dll

2009-04-17 18:04 . 2009-02-09 10:53 735744 -c----w c:\windows\system32\dllcache\lsasrv.dll

2009-04-17 18:04 . 2009-02-09 10:53 453120 -c----w c:\windows\system32\dllcache\wmiprvsd.dll

2009-04-17 18:04 . 2009-02-09 10:53 739840 -c----w c:\windows\system32\dllcache\ntdll.dll

2009-04-17 18:03 . 2008-12-16 12:31 354304 -c----w c:\windows\system32\dllcache\winhttp.dll

2009-04-17 18:03 . 2008-04-21 21:15 219136 -c----w c:\windows\system32\dllcache\wordpad.exe

2009-04-14 01:00 . 2009-03-10 20:18 454024 ----a-w c:\windows\system32\KB905474\wgasetup.exe

2009-04-14 01:00 . 2009-04-14 01:00 -------- d-----w c:\windows\system32\KB905474

2009-04-14 01:00 . 2009-03-10 20:26 1438080 ----a-w c:\windows\system32\KB905474\wganotifypackageinner.exe

2009-04-12 07:54 . 2009-04-12 07:54 -------- d-----w c:\windows\system32\MpEngineStore

2009-04-11 23:12 . 2008-10-24 11:21 455296 -c----w c:\windows\system32\dllcache\mrxsmb.sys

2009-04-11 23:01 . 2008-09-04 17:16 1106944 -c----w c:\windows\system32\dllcache\msxml3.dll

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-05-09 10:31 . 2009-05-09 10:31 0 ----a-w c:\windows\system32\a9k.bin

2009-05-09 10:17 . 2009-04-05 21:23 -------- d-----w c:\program files\BitComet

2009-05-09 09:11 . 2005-08-29 15:50 -------- d-----w c:\program files\QuickTime

2009-05-09 09:11 . 2007-08-07 07:43 -------- d-----w c:\program files\Media Player Classic

2009-05-09 09:11 . 2006-10-15 22:12 -------- d-----w c:\program files\JAlbum 6.5

2009-05-09 09:11 . 2006-08-26 08:24 -------- d-----w c:\program files\e-anim604

2009-05-09 09:11 . 2007-09-23 07:47 -------- d-----w c:\program files\BitZip

2009-05-08 22:52 . 2008-07-29 07:13 -------- d-----w c:\program files\RamBooster 2.0

2009-05-08 13:43 . 2009-05-08 13:50 239440 ----a-w c:\windows\pchealth\helpctr\Config\Cache\Professional_32_1036.dat

2009-05-08 09:08 . 2008-11-10 08:20 -------- d-----w c:\program files\Malwarebytes' Anti-Malware

2009-05-08 07:49 . 2005-08-29 14:52 -------- d-----w c:\program files\ADS Tech

2009-05-08 07:45 . 2006-09-05 21:59 40360 -c--a-w c:\documents and settings\Administrateur\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

2009-05-08 07:44 . 2006-07-27 22:40 -------- d-----w c:\program files\ewido anti-spyware 4.0

2009-05-08 06:43 . 2004-08-05 12:00 465170 ----a-w c:\windows\system32\perfh00C.dat

2009-05-08 06:43 . 2004-08-05 12:00 73554 ----a-w c:\windows\system32\perfc00C.dat

2009-05-06 18:20 . 2009-02-06 18:20 86528 --sha-w c:\windows\system32\zawomebe.dll.vir

2009-05-04 18:10 . 2009-02-04 18:10 88064 --sha-w c:\windows\system32\refodegu.dll.vir

2009-04-30 23:19 . 2009-01-30 23:19 87552 --sha-w c:\windows\system32\binatoko.dll

2009-04-11 19:48 . 2009-04-04 00:14 410984 ----a-w c:\windows\system32\deploytk.dll

2009-04-11 19:48 . 2005-08-30 12:12 -------- d-----w c:\program files\Java

2009-04-06 13:32 . 2008-11-10 08:20 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys

2009-04-06 13:32 . 2008-11-10 08:20 15504 ----a-w c:\windows\system32\drivers\mbam.sys

2009-04-04 01:11 . 2008-11-08 11:18 -------- d-----w c:\program files\Opera

2009-04-04 01:03 . 2006-10-01 09:04 -------- d-----w c:\program files\XnView

2009-04-04 00:49 . 2009-04-04 00:49 -------- d-----w c:\program files\Secunia

2009-04-02 23:04 . 2009-04-02 23:04 -------- d-----w c:\program files\Netscape

2009-03-24 11:03 . 2009-03-24 11:03 7808 ----a-w c:\windows\system32\drivers\psi_mf.sys

2009-03-06 14:20 . 2004-08-05 12:00 286720 ----a-w c:\windows\system32\pdh.dll

2009-03-03 00:13 . 2004-08-05 12:00 826368 ----a-w c:\windows\system32\wininet.dll

2009-02-20 17:10 . 2004-08-05 12:00 78336 ----a-w c:\windows\system32\ieencode.dll

2009-02-10 17:06 . 2004-08-04 00:48 2068096 ----a-w c:\windows\system32\ntkrnlpa.exe

2009-02-09 14:05 . 2004-08-05 12:00 1846912 ----a-w c:\windows\system32\win32k.sys

2009-02-09 11:24 . 2004-08-05 12:00 2191104 ----a-w c:\windows\system32\ntoskrnl.exe

2009-02-09 11:23 . 2004-08-05 12:00 111104 ----a-w c:\windows\system32\services.exe

2009-02-09 10:53 . 2004-08-05 12:00 735744 ----a-w c:\windows\system32\lsasrv.dll

2009-02-09 10:53 . 2004-08-05 12:00 739840 ----a-w c:\windows\system32\ntdll.dll

2009-02-09 10:53 . 2004-08-05 12:00 685568 ----a-w c:\windows\system32\advapi32.dll

2009-02-09 10:53 . 2004-08-05 12:00 401408 ----a-w c:\windows\system32\rpcss.dll

2008-07-11 23:26 . 2008-07-11 23:25 11963063 -c--a-w c:\program files\BitDefender.rar

2006-08-13 18:33 . 2006-08-13 18:33 143746 -c--a-w c:\program files\generoche.ged

2006-08-11 20:46 . 2006-08-11 20:46 10091750 -c--a-w c:\program files\PAF5EnglishSetup.exe

2006-07-30 23:25 . 2006-07-30 23:25 16371880 -c--a-w c:\program files\V01978_m4_700.wmv

2006-07-30 21:25 . 2006-07-30 21:24 12814336 -c--a-w c:\program files\mp10setup.exe

2006-02-26 20:27 . 2006-02-26 20:26 81140785 -c--a-w c:\program files\OOo_2.0.1_Win32Intel_install_fr.exe

2005-11-15 18:50 . 2005-11-15 18:50 24871536 -c--a-w c:\program files\sj655fr.exe

2005-11-11 19:57 . 2005-11-11 19:57 1200623 -c--a-w c:\program files\ezsplitter.exe

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-25 68856]

"BitComet"="c:\program files\BitComet\BitComet.exe" [2009-03-09 2564408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Ulead Remote Control Center"="c:\program files\Ulead Systems\Ulead InstaMedia 2.0\RMC.exe" [2005-03-18 49152]

"RemoteControl"="c:\program files\ASUSTek\ASUSDVD\PDVDServ.exe" [2003-10-31 32768]

"PinnacleDriverCheck"="c:\windows\system32\PSDrvCheck.exe" [2004-03-10 406016]

"NVRTCLK"="c:\windows\system32\NVRTCLK\NVRTClk.exe" [2003-12-30 24576]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-16 13529088]

"nTrayFw"="c:\program files\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe" [2004-12-16 266240]

"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]

"Matchlock Scheduling"="c:\program files\Ulead Systems\Ulead InstaMedia 2.0\Monitor.exe" [2005-03-14 45056]

"hplampc"="c:\windows\system32\hplampc.exe" [2002-01-17 40448]

"OpwareSE2"="c:\program files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe" [2003-05-08 49152]

"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2008-01-12 185896]

"NVMixerTray"="c:\program files\NVIDIA Corporation\NvMixer\NVMixerTray.exe" [2004-06-03 131072]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-05-16 86016]

"EoEngine"="c:\program files\EoRezo\EoEngine.exe" [2009-02-23 472872]

"SoftwareHelper"="c:\documents and settings\Pascal\Application Data\eoRezo\SoftwareUpdate\SoftwareUpdateHP.exe" [2008-12-09 368224]

"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-04-11 148888]

"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2008-05-16 1630208]

"SoundMan"="SOUNDMAN.EXE" - c:\windows\SOUNDMAN.EXE [2004-11-15 77824]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-25 68856]

c:\windows\system32\config\systemprofile\Menu D‚marrer\Programmes\D‚marrage\

ChkDisk.dll [2009-5-9 24064]

c:\windows\system32\config\systemprofile\Menu D‚marrer\Programmes\D‚marrage\

ChkDisk.dll [2009-5-9 24064]

c:\documents and settings\Pascal\Menu D‚marrer\Programmes\D‚marrage\

ChkDisk.lnk - c:\windows\system32\rundll32.exe [2004-8-5 33792]

Secunia PSI.lnk - c:\program files\Secunia\PSI\psi.exe [2009-3-24 748840]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

DTV Remote Control.lnk - c:\program files\ADS Tech\DVBT Utilities\ADSRMT.exe [2005-8-29 73728]

RaConfig2500.lnk - c:\program files\RALINK\RT2500 Wireless LAN Card\Installer\WINXP\RaConfig2500.exe [2005-8-29 532480]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

"AppInit_DLLs"=c:\windows\system32\fesusipa.dll c:\windows\system32\vudutowo.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\filespy.sys]

@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ipfwrd.sys]

@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"LIVESRV"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\NVIDIA Corporation\\NetworkAccessManager\\Apache Group\\Apache2\\bin\\Apache.exe"=

"c:\\Program Files\\Ulead Systems\\Ulead InstaMedia 2.0\\UMC.exe"=

"f:\\emule\\emule.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=

"c:\\WINDOWS\\system32\\wbem\\wmiprvse.exe"=

"c:\\Program Files\\Ulead Systems\\Ulead InstaMedia 2.0\\rmc.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=

"c:\\Program Files\\RALINK\\RT2500 Wireless LAN Card\\Installer\\WINXP\\RaConfig2500.exe"=

"c:\\Program Files\\QuickTime\\QTTask.exe"=

"c:\\Program Files\\Spybot - Search & Destroy\\TeaTimer.exe"=

"c:\\Program Files\\Microsoft\\Search Enhancement Pack\\SeaPort\\SeaPort.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"19131:TCP"= 19131:TCP:BitComet 19131 TCP

"19131:UDP"= 19131:UDP:BitComet 19131 UDP

R1 ipfwrd;TDIFilter Driver;c:\windows\system32\ipfwrd.sys []

R2 ABBYY.Licensing.FineReader.Professional.9.0;ABBYY FineReader 9.0 PE Licensing Service;c:\program files\Fichiers communs\ABBYY\FineReader\9.00\Licensing\PE\NetworkLicenseServer.exe [16/05/2008 16:31 759072]

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [30/04/2009 21:48 108289]

R2 CX2388X;ADS DVBT 23880 Video Capture;c:\windows\system32\drivers\cx88cap.sys [29/08/2005 16:53 160000]

R2 CX88TS;ADS 2388x Transport Stream Capture;c:\windows\system32\drivers\cx88ts.sys [29/08/2005 16:53 13056]

R2 fssfltr;FssFltr;c:\windows\system32\drivers\fssfltr.sys [20/12/2008 12:35 56344]

R2 fsssvc;Windows Live Contrôle parental;c:\program files\Windows Live\Family Safety\fsssvc.exe [08/12/2008 18:01 533344]

R2 SeaPort;SeaPort;c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe [04/12/2008 17:03 226640]

R3 BENDER;Pinnacle AV/DV2 Capture;c:\windows\system32\drivers\bender.sys [29/08/2005 17:12 180480]

R3 CXBDATUNE;ADS BDA DVB Tuner/Demod;c:\windows\system32\drivers\cxBDAtun.sys [29/08/2005 16:53 107904]

R3 fbxusb;Carte réseau virtuelle FreeBox USB;c:\windows\system32\drivers\fbxusb32.sys [03/11/2005 22:42 21344]

R3 PSI;PSI;c:\windows\system32\drivers\psi_mf.sys [24/03/2009 13:03 7808]

S1 FILESpy;FILESpy;\??\c:\??\c:\??\c:\??\c:\??\c:\??\c:\??\c:\program files\Softwin\BitDefender Professional Edition\filespy.sys --> C:C:C:C:C:C:c:\program files\Softwin\BitDefender Professional Edition\filespy.sys [?]

S3 hp4200c;%usbscan.SvcDesc%;c:\windows\system32\drivers\HP4200C.SYS [16/11/2005 00:11 9312]

S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [26/06/2008 09:13 576680]

S3 nenum13E;nenum13E;\??\c:\docume~1\Pascal\LOCALS~1\Temp\nenum13E.sys --> c:\docume~1\Pascal\LOCALS~1\Temp\nenum13E.sys [?]

S3 VundoFixSvc;VundoFix Service;VundoFixSVC.exe --> VundoFixSVC.exe [?]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{E4066320-E4AE-11CF-B1B0-00AA00BBAD66}]

rundll32.exe advpack.dll,LaunchINFSection %SystemRoot%\INF\fpxpress.inf,PerUserRemove

.

Contenu du dossier 'Tâches planifiées'

2009-04-30 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

2009-05-09 c:\windows\Tasks\WGASetup.job

- c:\windows\system32\KB905474\wgasetup.exe [2009-04-14 20:18]

.

- - - - ORPHELINS SUPPRIMES - - - -

HKLM-Run-nusipolive - c:\windows\system32\mufojale.dll

HKU-Default-Run-uidenhiufgsduiazghs - c:\windows\TEMP\yxsr5e.exe

HKU-Default-Run-A00FE492A.exe - c:\windows\TEMP\_A00FE492A.exe

HKU-Default-Run-autochk - c:\docume~1\LOCALS~1\protect.dll

SharedTaskScheduler-{EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\vudutowo.dll

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.yahoo.fr/

uInternet Settings,ProxyOverride = local;www.yahoo.fr

uSearchURL,(Default) = hxxp://www.google.com/keyword/%s

IE: Download with Go!Zilla - file://c:\program files\Go!Zilla\download-with-gozilla.html

IE: Tout télécharger avec BitComet - c:\program files\BitComet\BitComet.exe/AddAllLink.htm

IE: Télécharger avec BitComet - c:\program files\BitComet\BitComet.exe/AddLink.htm

IE: Télécharger avec FlashGet

IE: Télécharger tout avec FlashGet

IE: Télécharger toutes les vidéos avec BitComet - c:\program files\BitComet\BitComet.exe/AddVideo.htm

LSP: %SYSTEMROOT%\system32\nvappfilter.dll

TCP: {4235A961-A7DE-4EF4-83CF-49234A28DFE2} = 212.27.32.176,212.27.32.177

Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - c:\program files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll

DPF: {2EF3FB47-7B1E-4536-BA4D-51427BD45DFA} - hxxp://www.pixaco.fr/static/download/pixacodndupload.cab

FF - ProfilePath - c:\documents and settings\Pascal\Application Data\Mozilla\Firefox\Profiles\zmtlv07p.default\

FF - prefs.js: browser.search.defaulturl - hxxp://fr.search.yahoo.com/search?ei=UTF-8&fr=ytff-&p=

FF - prefs.js: browser.search.selectedEngine - Yahoo

FF - prefs.js: browser.startup.homepage - hxxp://www.yahoo.fr/

FF - prefs.js: keyword.URL - hxxp://fr.search.yahoo.com/search?ei=UTF-8&fr=ytff-&p=

FF - component: c:\documents and settings\Pascal\Application Data\Mozilla\Firefox\Profiles\zmtlv07p.default\extensions\{B042753D-F57E-4e8e-A01B-7379A6D4CEFB}\components\IBitCometExtension.dll

FF - plugin: c:\documents and settings\Pascal\Application Data\Mozilla\Firefox\Profiles\zmtlv07p.default\extensions\{bb628310-0ab7-11db-9cd8-0800200c9a66}\plugins\nphardwaredetection.dll

FF - plugin: c:\program files\ma-config.com\nphardwaredetection.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npqtplugin8.dll

FF - plugin: c:\program files\Opera\program\plugins\npqtplugin8.dll

FF - plugin: c:\program files\QuickTime\Plugins\npqtplugin8.dll

FF - plugin: c:\program files\Virtools\3D Life Player\npvirtools.dll

FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll

---- PARAMETRES FIREFOX ----

FF - user.js: network.proxy.no_proxies_on - ,www.yahoo.fr.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-05-09 12:31

Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

c:\windows\system32\ipfwrd.sys 8720 bytes executable

c:\windows\system32\pck.bin 0 bytes

Scan terminé avec succès

Fichiers cachés: 2

**************************************************************************

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"cd042efbbd7f7af1647644e76e06692b"=hex:c8,28,51,af,b0,29,a3,98,0f,00,34,b5,24,

18,6b,47,c8,28,51,af,b0,29,a3,98,ac,15,c1,60,59,59,f5,28,e2,63,26,f1,3f,c8,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{5ED60779-4DE2-4E07-B862-974CA4FF2E9C}]

@Denied: (Full) (Everyone)

"scansk"=hex(0):7c,ec,a1,77,45,94,0e,0e,b1,7a,ba,d3,35,ae,cf,08,0c,df,5e,55,4e,

40,00,7d,cf,ee,d0,33,f7,82,66,1c,ac,07,bc,a0,51,06,a4,8c,00,00,00,00,00,00,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"bca643cdc5c2726b20d2ecedcc62c59b"=hex:6a,9c,d6,61,af,45,84,18,55,93,de,16,cf,

dc,72,28,71,3b,04,66,8b,46,0d,96,9f,0e,8a,41,a1,0f,e4,de,6a,9c,d6,61,af,45,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"2c81e34222e8052573023a60d06dd016"=hex:ff,7c,85,e0,43,d4,0e,fe,f6,f8,8b,16,a2,

e4,88,46,25,da,ec,7e,55,20,c9,26,63,4f,42,89,1d,7f,86,86,ff,7c,85,e0,43,d4,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"2582ae41fb52324423be06337561aa48"=hex:3e,1e,9e,e0,57,5a,93,61,f8,89,01,bc,eb,

82,3e,c7,3e,1e,9e,e0,57,5a,93,61,8b,99,e1,06,4e,b3,9c,07,86,8c,21,01,be,91,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"caaeda5fd7a9ed7697d9686d4b818472"=hex:e9,02,6c,fa,fb,1d,47,57,2f,76,f1,4a,2a,

2f,ff,9d,cd,44,cd,b9,a6,33,6c,cd,8c,9e,b7,ed,43,1c,93,8d,f5,1d,4d,73,a8,13,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"a4a1bcf2cc2b8bc3716b74b2b4522f5d"=hex:df,20,58,62,78,6b,cf,c8,4c,3b,f7,83,f4,

8a,4d,6d,b0,18,ed,a7,3f,8d,37,a4,74,a7,32,2b,b0,ed,bf,4e,df,20,58,62,78,6b,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"4d370831d2c43cd13623e232fed27b7b"=hex:fb,a7,78,e6,12,2f,9a,ea,c8,9a,a4,58,1e,

f5,f6,15,31,77,e1,ba,b1,f8,68,02,99,33,c2,41,f0,73,17,c7,fb,a7,78,e6,12,2f,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"1d68fe701cdea33e477eb204b76f993d"=hex:83,6c,56,8b,a0,85,96,ab,92,42,e8,de,67,

3d,55,1a,83,6c,56,8b,a0,85,96,ab,69,d1,59,d5,bf,3a,9c,0f,01,3a,48,fc,e8,04,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"1fac81b91d8e3c5aa4b0a51804d844a3"=hex:51,fa,6e,91,28,9e,14,cc,67,13,7e,b3,bd,

1e,03,27,51,fa,6e,91,28,9e,14,cc,20,cf,52,f9,c5,9b,6e,1f,f6,0f,4e,58,98,5b,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"f5f62a6129303efb32fbe080bb27835b"=hex:b1,cd,45,5a,a8,c4,f8,b9,f4,ae,1d,af,ac,

e7,91,39,b1,cd,45,5a,a8,c4,f8,b9,06,23,ff,2d,9e,f9,e6,1d,3d,ce,ea,26,2d,45,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"fd4e2e1a3940b94dceb5a6a021f2e3c6"=hex:2a,b7,cc,b5,b9,7f,41,e7,bd,68,f1,6b,62,

80,c3,2b,e3,0e,66,d5,eb,bc,2f,6b,a5,4c,86,e8,ad,78,5c,f8,2a,b7,cc,b5,b9,7f,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"8a8aec57dd6508a385616fbc86791ec2"=hex:6c,43,2d,1e,aa,22,2f,9c,44,85,c5,f0,29,

3b,75,ca,fa,ea,66,7f,d4,3b,6b,70,32,d5,62,50,28,31,eb,40,6c,43,2d,1e,aa,22,\

.

--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(944)

c:\windows\system32\ipfwrd.dll

c:\windows\system32\nvappfilter.dll

c:\windows\system32\msi.dll

- - - - - - - > 'lsass.exe'(1000)

c:\windows\system32\nvappfilter.dll

- - - - - - - > 'explorer.exe'(5664)

c:\windows\system32\ipfwrd.dll

c:\windows\system32\nview.dll

c:\windows\system32\NVWRSFR.DLL

c:\program files\ScanSoft\OmniPageSE2.0\ophookSE2.dll

c:\windows\system32\eappprxy.dll

.

------------------------ Autres processus actifs ------------------------

.

c:\program files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\Apache.exe

c:\program files\Java\jre6\bin\jqs.exe

c:\program files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe

c:\program files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\Apache.exe

c:\program files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe

c:\windows\system32\nvsvc32.exe

c:\windows\system32\wdfmgr.exe

c:\program files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe

c:\windows\system32\wbem\wmiapsrv.exe

.

**************************************************************************

.

Heure de fin: 2009-05-09 12:36 - La machine a redémarré

ComboFix-quarantined-files.txt 2009-05-09 10:36

Avant-CF: 9 757 659 136 octets libres

Après-CF: 9 755 328 512 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /fastdetect /NoExecute=OptOut

401 --- E O F --- 2009-04-18 01:04

Gof · le 9 mai 2009

Re

Une question, est-ce que je réactive le tea timer le spybot ?

Non, ainsi que l'antivirus. Ils vont nous gêner sinon dans la suppression des éléments infectieux. Je te dirais quand tu pourras tout réactiver.

Bon. Tu as la présence d'un Keylogger. C'est un outil malveillant qui enregistre les frappes claviers et les transmet ensuite à son auteur. Je te recommande donc d'être très prudent, de changer tous tes mots de passe, etc. Si tu as effectué des paiements en ligne en tapant des références de carte bleue ou autre, je te recommande d'avertir ta banque, etc.

Sur un autre registre, je te recommande de désinstaller EoRezo. Tu peux lire ce sujet pour t'en convaincre : Les programmes eoRezo par Malekal morte

Télécharge CFScript.txt et enregistre le sur ton bureau.

Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
Une fenêtre bleue va apparaître, valide.
Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

Ichtos · le 9 mai 2009

Et voila le rapport:

ComboFix 09-05-08.03 - Pascal 09/05/2009 14:49.2 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.1023.539 [GMT 2:00]

Lancé depuis: c:\documents and settings\Pascal\Local Settings\Bureau\Pascal\ComboFix.exe

Commutateurs utilisés :: c:\documents and settings\Pascal\Local Settings\Bureau\Pascal\CFScript.txt

AV: Bitdefender Antivirus *On-access scanning enabled* (Updated)

FW: F-Secure Anti-Virus 2006 6.10 *disabled*

FW: NVIDIA Firewall *enabled*

FILE ::

c:\documents and settings\Pascal\LOCALSettings\Temp\nenum13E.sys

c:\windows\system32\a9k.bin

c:\windows\system32\binatoko.dll

c:\windows\system32\config\systemprofile\Menu D‚marrer\Programmes\D‚marrage\ChkDisk.dll

c:\windows\system32\config\systemprofile\Menu D‚marrer\Programmes\D‚marrage\ChkDisk.ink

c:\windows\system32\config\systemprofile\Menu Démarrer\Programmes\Démarrage\ChkDisk.dll

c:\windows\system32\config\systemprofile\Menu Démarrer\Programmes\Démarrage\ChkDisk.ink

c:\windows\system32\fesusipa.dll

c:\windows\system32\ipfwrd.dll

c:\windows\system32\lmn_setup.exe

c:\windows\system32\mufojale.dll

c:\windows\system32\refodegu.dll.vir

c:\windows\system32\vudutowo.dll

c:\windows\system32\zawomebe.dll.vir

c:\windows\TEMP\_A00FE492A.exe

c:\windows\TEMP\yxsr5e.exe

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\windows\system32\a9k.bin

c:\windows\system32\binatoko.dll

c:\windows\system32\config\systemprofile\Menu Démarrer\Programmes\Démarrage\ChkDisk.dll

c:\windows\system32\drivers\mrxdavv.sys

c:\windows\system32\ipfwrd.dll

c:\windows\system32\kwave.sys

c:\windows\system32\lmn_setup.exe

c:\windows\system32\refodegu.dll.vir

c:\windows\system32\zawomebe.dll.vir

.

((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

-------\Legacy_FILESPY

-------\Legacy_NENUM13E

-------\Service_FILESpy

-------\Service_nenum13E