TROJ_SAFBOOT.MCL+autres virus RESOLU

damdam · le 14 juin 2009

Bonjour,

Mon PC est resté inutilisé pendant 2 mois pour cause de déménagement.

Quand je l'ai reconnecté à la freebox après déménagement dans nouveau logement, messages d'alerte d'avast +message "rootkit"...

Je n'y connait rien. On m'a passé un nouvel antivirus "Trend" que j'ai installé. Toujours même problème:

nouvelle page de démarrage internet, ralentissement connexion...

Quelqu'un peut il m'aider? Merci d'avance.

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 16:56:11, on 14/06/2009

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\AGRSMMSG.exe

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\PROGRA~1\LAUNCH~1\QtZpAcer.EXE

C:\Program Files\Winamp\winampa.exe

C:\Program Files\QuickTime\qttask.exe

C:\WINDOWS\System32\LVCOMSX.EXE

C:\Program Files\Logitech\Video\LogiTray.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe

C:\WINDOWS\System32\firewall.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\WINDOWS\System32\firewall.exe

C:\Program Files\Logitech\Video\FxSvr2.exe

C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe

C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe

C:\Program Files\Hercules\WiFi Station\WifiStation.exe

C:\Program Files\NETGEAR\WG111v3\WG111v3.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system\msdct.exe

C:\WINDOWS\System32\wuauclt.exe

C:\WINDOWS\smngr.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe

C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe

C:\Program Files\Trend Micro\OfficeScan Client\TmPfw.exe

C:\Program Files\Trend Micro\OfficeScan Client\CNTAoSMgr.exe

C:\Program Files\Trend Micro\OfficeScan Client\PccNTMon.exe

C:\Program Files\Trend Micro\OfficeScan Client\pccnt.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Documents and Settings\Damien\Bureau\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ask.com/?o=101677&l=dis

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirec...amp;gc=1&q=

R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirec...amp;gc=1&q=

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://toolbar.ask.com/toolbarv/askRedirec...p;gc=1&q=%s

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: DefaultSearchHook Class - {C94E154B-1459-4A47-966B-4B843BEFC7DB} - C:\Program Files\AskSearch\bin\DefaultSearch.dll

O1 - Hosts: 67.15.104.33 ibank.barclays.co.uk

O1 - Hosts: 67.15.104.33 online-business.lloydstsb.co.uk

O1 - Hosts: 67.15.104.33 online.lloydstsb.co.uk

O1 - Hosts: 67.15.104.33 www.halifax-online.co.uk

O1 - Hosts: 67.15.104.33 www.ukpersonal.hsbc.co.uk

O1 - Hosts: 67.15.104.33 www.nwolb.com

O1 - Hosts: 67.15.104.33 banesnet.banesto.es

O1 - Hosts: 67.15.104.33 extranet.banesto.es

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll

O4 - HKLM\..\Run: [LaunchApp] Alaunch

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZpAcer.EXE

O4 - HKLM\..\Run: [[Ephemeral 2.4] by TreeHugger, ] C:\WINDOWS\TEMP\3.tmp.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [AdTools Service] C:\Program Files\AdTools Service\AdTools.exe

O4 - HKLM\..\Run: [jixgx] C:\WINDOWS\jixgx.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe

O4 - HKLM\..\Run: [Windows Network Firewall] C:\WINDOWS\System32\firewall.exe

O4 - HKLM\..\Run: [Windows Data Serivce] smngr.exe

O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\WANADOO\Shell.exe appLaunchClientZone.shl|DEFAULT=cnx|PARAM=

O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot

O4 - HKCU\..\Run: [Damien] C:\Documents and Settings\Damien\Damien.exe /i

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Assistant d'Acrobat.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe

O4 - Global Startup: hpoddt01.exe.lnk = ?

O4 - Global Startup: hp psc 1000 series.lnk = ?

O4 - Global Startup: WiFi Station.lnk = ?

O4 - Global Startup: NETGEAR WG111v3 Smart Wizard.lnk = C:\Program Files\NETGEAR\WG111v3\WG111v3.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Scan en temps réel d'OfficeScanNT (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

O23 - Service: Service d'écoute d'OfficeScan NT (tmlisten) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe

O23 - Service: Pare-feu d'OfficeScan NT (TmPfw) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\TmPfw.exe

O23 - Service: OfficeScan NT Proxy Service (TmProxy) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\TmProxy.exe

O23 - Service: WM System Decode Application - Unknown owner - C:\WINDOWS\system\msdct.exe

--

End of file - 9211 bytes

Modifié le 15 juin 2009 par damdam

Gof · le 14 juin 2009

Bonjour damdam

Messages: 1

Bienvenue sur les forums de Zebulon.

Quelques liens pour t'aider à commencer :

On va voir ensemble ce qui se passe sur ton PC ; comme tous les intervenants ici, nous aidons bénévolement en fonction de nos activités personnelles. On va essayer d'aller au plus vite, mais il faudra peut-être parfois être patient pour attendre une réponse, pas d'affolement

------------------

Du XP SP1, du IE 6... Absolument pas à jour ton système, c'est très dangereux. Le windows est-il légal ?

Télécharge Combofix depuis l'un des liens ci-dessous. Tu dois le renommer avant de l'enregistrer. Enregistre-le sur ton Bureau.

Lien 1

Lien 2

Lien 3

--------------------------------------------------------------------

Fais un double clic sur Combo-Fix.exe & suis les invites.

Lorsque l'outil aura terminé, il affichera un rapport.

damdam · le 14 juin 2009

Merci de prendre le temps de répondre, c'est vraiment très sympa!

voici le rapport:

ComboFix 09-06-13.09 - Damien 14/06/2009 18:02.1 - FAT32x86

Microsoft Windows XP Édition familiale 5.1.2600.1.1252.33.1036.18.702.203 [GMT 2:00]

Lancé depuis: c:\documents and settings\Damien\Bureau\Combo-Fix.exe

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\program files\windows adstatus

C:\Cmdtest.exe

c:\windows\system32\drivers\acpi32.sys

c:\windows\system32\drivers\fips32cup.sys

c:\windows\system32\firewall.exe

c:\windows\system32\i

c:\windows\system32\wins\svchost.exe

c:\windows\system32\x.exe

.

((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

-------\Service_acpi32

-------\Service_fips32cup

-------\Service_i386si

-------\Service_ksi32sk

-------\Service_netsik

-------\Service_nicsk32

-------\Service_port135sik

-------\Service_securentm

-------\Service_systemntmi

-------\Service_ws2_32sik

-------\Legacy_Irmon

-------\Service_Irmon

((((((((((((((((((((((((((((( Fichiers créés du 2009-05-14 au 2009-06-14 ))))))))))))))))))))))))))))))))))))

.

2009-06-14 14:14 . 2008-04-30 12:11 138384 ----a-w- c:\windows\system32\drivers\tmcomm.sys

2009-06-14 14:13 . 2009-06-14 14:13 -------- d-----w- c:\program files\Trend Micro

2009-06-14 12:55 . 2009-06-14 12:55 141312 --sh--r- c:\windows\smngr.exe

2009-05-25 15:43 . 2009-05-25 15:43 1032192 --sh--w- c:\windows\system\msdct.exe

2009-05-25 15:43 . 2009-05-25 15:43 -------- d-----w- c:\documents and settings\All Users\Application Data\TEMP

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-06-14 16:15 . 1979-12-31 22:00 50562 ----a-w- c:\windows\system32\perfc00C.dat

2009-06-14 16:15 . 1979-12-31 22:00 372202 ----a-w- c:\windows\system32\perfh00C.dat

2006-05-25 16:34 . 2005-12-20 20:43 278528 ----a-w- c:\program files\Fichiers communs\FDEUnInstaller.exe

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}]

2008-09-08 20:08 279944 ----a-w- c:\program files\AskBarDis\bar\bin\askBar.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\System32\ctfmon.exe" [2003-04-24 13312]

"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2004-11-15 1670144]

"LogitechSoftwareUpdate"="c:\program files\Logitech\Video\ManifestEngine.exe" [2005-01-18 196608]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"LaunchApp"="Alaunch" [X]

"SynTPLpr"="c:\program files\Synaptics\SynTP\SynTPLpr.exe" [2002-11-15 126976]

"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2002-11-18 561152]

"LManager"="c:\progra~1\LAUNCH~1\QtZpAcer.EXE" [2003-08-22 282624]

"WinampAgent"="c:\program files\Winamp\winampa.exe" [2004-12-20 33792]

"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2005-02-25 98304]

"LVCOMSX"="c:\windows\System32\LVCOMSX.EXE" [2004-10-08 221184]

"LogitechVideoRepair"="c:\program files\Logitech\Video\ISStart.exe" [2005-01-18 458752]

"LogitechVideoTray"="c:\program files\Logitech\Video\LogiTray.exe" [2005-01-18 217088]

"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2006-01-29 180269]

"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]

"OfficeScanNT Monitor"="c:\program files\Trend Micro\OfficeScan Client\pccntmon.exe" [2008-04-30 705904]

"VTTimer"="VTTimer.exe" - c:\windows\system32\VTTimer.exe [2003-05-07 36864]

"SoundMan"="SOUNDMAN.EXE" - c:\windows\SOUNDMAN.EXE [2003-05-14 55296]

"AGRSMMSG"="AGRSMMSG.exe" - c:\windows\AGRSMMSG.exe [2003-04-01 88267]

"Windows Data Serivce"="smngr.exe" - c:\windows\smngr.exe [2009-06-14 141312]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2003-04-24 13312]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Adobe Gamma Loader.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2005-12-30 110592]

Assistant d'Acrobat.lnk - c:\program files\Adobe\Acrobat 6.0\Distillr\acrotray.exe [2003-5-15 217193]

hpoddt01.exe.lnk - c:\program files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe [2003-4-6 28672]

hp psc 1000 series.lnk - c:\program files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe [2003-4-6 147456]

WiFi Station.lnk - c:\program files\Hercules\WiFi Station\WifiStation.exe [2006-11-16 626176]

NETGEAR WG111v3 Smart Wizard.lnk - c:\program files\NETGEAR\WG111v3\WG111v3.exe [2007-9-12 1527808]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]

BootExecute REG_MULTI_SZ autocheck autochk *\0aswBoot.exe /M:1a158697

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WM System Decode Application]

@="Service"

R0 avgntmgr;avgntmgr;c:\windows\system32\drivers\avgntmgr.sys [04/06/2008 22:48 22336]

R1 avgntdd;avgntdd;c:\windows\system32\drivers\avgntdd.sys [04/06/2008 22:48 41792]

R2 TmFilter;Trend Micro Filter;c:\program files\Trend Micro\OfficeScan Client\TmXpflt.sys [30/04/2008 14:11 225296]

R2 TmPreFilter;Trend Micro PreFilter;c:\program files\Trend Micro\OfficeScan Client\TmPreflt.sys [30/04/2008 14:11 36368]

R2 WM System Decode Application;WM System Decode Application;c:\windows\system\msdct.exe [25/05/2009 17:43 1032192]

R3 tmcfw;Trend Micro Common Firewall Service;c:\windows\system32\drivers\TM_CFW.sys [30/04/2008 14:11 307984]

R3 TmPfw;Pare-feu d'OfficeScan NT;c:\program files\Trend Micro\OfficeScan Client\TmPfw.exe [30/04/2008 14:11 943696]

S3 marlbus;NEC WMC USB_AD1 Composite Device driver (WDM);c:\windows\system32\drivers\marlbus.sys [27/02/2006 13:18 52480]

S3 marlmdfl;NEC WMC USB_AD1 Modem Filter;c:\windows\system32\drivers\marlmdfl.sys [27/02/2006 13:19 6000]

S3 marlmdm;NEC WMC USB_AD1 Modem Drivers;c:\windows\system32\drivers\marlmdm.sys [27/02/2006 13:19 86496]

S3 marlobex;NEC WMC USB_AD1 OBEX Interface Drivers (WDM);c:\windows\system32\drivers\marlobex.sys [27/02/2006 13:20 76256]

S3 rtl8180;Realtek RTL8180 Wireless LAN (Mini-)PCI NIC NT Driver;c:\windows\system32\drivers\RTL8180.sys [01/09/2003 13:33 173184]

S3 RTL8187B;NETGEAR WG111v3 54Mbps Wireless USB 2.0 Adapter Vista Driver;c:\windows\system32\drivers\wg111v3.sys [23/04/2007 14:11 224896]

S3 SIS163u;SiS163 usb Wireless LAN Adapter Driver;c:\windows\system32\drivers\sis163u.sys [20/06/2005 10:12 215040]

S3 TmProxy;OfficeScan NT Proxy Service;c:\program files\Trend Micro\OfficeScan Client\TmProxy.exe [30/04/2008 14:11 575064]

S4 W3ocesrmimr;W3ocesrmimr; [x]

.

Contenu du dossier 'Tâches planifiées'

2009-04-07 c:\windows\Tasks\FRU Task 2003-04-06 08:52ewlett-Packard2003-04-06 08:52p psc 1200 series5E771253C1676EBED677BF361FDFC537825E15B8148232061.job

- c:\program files\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe [2003-04-05 22:52]

.

- - - - ORPHELINS SUPPRIMES - - - -

HKCU-Run-WOOKIT - c:\progra~1\WANADOO\Shell.exe

HKLM-Run-AdTools Service - c:\program files\AdTools Service\AdTools.exe

HKLM-Run-jixgx - c:\windows\jixgx.exe

HKLM-Run-Microsoft Works Update Detection - c:\program files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.ask.com/?o=101677&l=dis

uInternet Connection Wizard,ShellNext = hxxp://global.acer.com/

uInternet Settings,ProxyOverride = localhost

uSearchURL,(Default) = hxxp://toolbar.ask.com/toolbarv/askRedirect?o=101668&gct=&gc=1&q=%s

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

FF - ProfilePath - c:\documents and settings\Damien\Application Data\Mozilla\Firefox\Profiles\vrwdj2t8.default\

FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=

FF - prefs.js: browser.search.selectedEngine - Ask

FF - prefs.js: browser.startup.homepage - hxxp://www.google.Fr

FF - prefs.js: keyword.URL - hxxp://toolbar.ask.com/toolbarv/askRedirect?o=101668&gct=&gc=1&q=

FF - plugin: c:\program files\Mozilla Firefox\plugins\npCortona.dll

.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-06-14 18:13

Windows 5.1.2600 Service Pack 1 FAT NTAPI

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès

Fichiers cachés: 0

**************************************************************************

.

--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(1052)

c:\windows\System32\ODBC32.dll

- - - - - - - > 'lsass.exe'(1108)

c:\windows\System32\dssenh.dll

- - - - - - - > 'explorer.exe'(424)

c:\windows\System32\msi.dll

.

------------------------ Autres processus actifs ------------------------

.

c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

c:\program files\Trend Micro\OfficeScan Client\ntrtscan.exe

c:\windows\System32\wdfmgr.exe

c:\windows\system32\CF6168.exe

c:\program files\Trend Micro\OfficeScan Client\tmlisten.exe

c:\program files\Logitech\Video\FxSvr2.exe

c:\program files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe

c:\program files\Trend Micro\OfficeScan Client\CNTAoSMgr.exe

c:\windows\TEMP\CF7802.EXE

c:\program files\Java\jre1.6.0_07\bin\jucheck.exe

.

**************************************************************************

.

Heure de fin: 2009-06-14 18:18 - La machine a redémarré

ComboFix-quarantined-files.txt 2009-06-14 16:18

Avant-CF: 1 199 218 688 octets libres

Après-CF: 1 316 487 168 octets libres

164 --- E O F --- 2008-07-07 11:26

damdam · le 14 juin 2009

Au fait, oui c'est une version légale.

C'est un portable acer que j'ai acheté neuf il y 6 à 7 ans.

De quelles MAJ parles tu?

Gof · le 14 juin 2009

Bien, on poursuit.

Télécharge CFScript.txt et enregistre le sur ton bureau.

Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
Une fenêtre bleue va apparaître, valide.
Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

damdam · le 14 juin 2009

ComboFix 09-06-13.09 - Damien 14/06/2009 18:52.2 - FAT32x86

Microsoft Windows XP Édition familiale 5.1.2600.1.1252.33.1036.18.702.235 [GMT 2:00]

Lancé depuis: c:\documents and settings\Damien\Bureau\Combo-Fix.exe

Commutateurs utilisés :: c:\documents and settings\Damien\Bureau\CFScript.txt

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

FILE ::

"c:\windows\smngr.exe"

"c:\windows\system\msdct.exe"

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\program files\AskBarDis

c:\program files\AskBarDis\bar\bin\askBar.dll

c:\program files\AskBarDis\bar\bin\askPopStp.dll

c:\program files\AskBarDis\bar\bin\psvince.dll

c:\program files\AskBarDis\bar\Cache\0388CBB6.bin

c:\program files\AskBarDis\bar\Cache\0388CDB4.bin

c:\program files\AskBarDis\bar\Cache\0388CF8B.bin

c:\program files\AskBarDis\bar\Cache\0388D158.bin

c:\program files\AskBarDis\bar\Cache\0388D298.bin

c:\program files\AskBarDis\bar\Cache\files.ini

c:\program files\AskBarDis\bar\History\search

c:\program files\AskBarDis\bar\Settings\config.dat

c:\program files\AskBarDis\bar\Settings\config.dat.bak

c:\program files\AskBarDis\bar\Settings\prevcfg.htm

c:\program files\AskBarDis\unins000.dat

c:\program files\AskBarDis\unins000.exe

c:\windows\smngr.exe

c:\windows\system\msdct.exe

.

((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

-------\Legacy_WM_SYSTEM_DECODE_APPLICATION

-------\Service_W3ocesrmimr

-------\Service_WM System Decode Application

((((((((((((((((((((((((((((( Fichiers créés du 2009-05-14 au 2009-06-14 ))))))))))))))))))))))))))))))))))))

.

2009-06-14 14:14 . 2008-04-30 12:11 138384 ----a-w- c:\windows\system32\drivers\tmcomm.sys

2009-06-14 14:13 . 2009-06-14 14:13 -------- d-----w- c:\program files\Trend Micro

2009-05-25 15:43 . 2009-05-25 15:43 -------- d-----w- c:\documents and settings\All Users\Application Data\TEMP

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-06-14 16:15 . 1979-12-31 22:00 50562 ----a-w- c:\windows\system32\perfc00C.dat

2009-06-14 16:15 . 1979-12-31 22:00 372202 ----a-w- c:\windows\system32\perfh00C.dat

2006-05-25 16:34 . 2005-12-20 20:43 278528 ----a-w- c:\program files\Fichiers communs\FDEUnInstaller.exe

.

((((((((((((((((((((((((((((( SnapShot@2009-06-14_16.14.52 )))))))))))))))))))))))))))))))))))))))))

.

- 1979-12-31 22:00 . 2008-07-22 15:48 41706 c:\windows\system32\perfc009.dat

+ 1979-12-31 22:00 . 2009-06-14 16:15 41706 c:\windows\system32\perfc009.dat

+ 1979-12-31 22:00 . 2009-06-14 16:15 316048 c:\windows\system32\perfh009.dat

- 1979-12-31 22:00 . 2008-07-22 15:48 316048 c:\windows\system32\perfh009.dat