Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Messages recommandés

Posté(e) (modifié)

Bonjour,

 

je pense avoir suivi la procédure à la lettre et j'espère que vous pourrez m'aider.

 

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 02:07:03, on 30/09/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe

C:\Acer\Empowering Technology\admServ.exe

C:\WINDOWS\eHome\ehRecvr.exe

C:\WINDOWS\eHome\ehSched.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\mqsvc.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\dllhost.exe

C:\WINDOWS\ehome\ehtray.exe

C:\WINDOWS\eHome\ehmsas.exe

C:\Acer\Empowering Technology\eRecovery\Monitor.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Acer\Empowering Technology\admtray.exe

C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\DOCUME~1\ERICRU~1\LOCALS~1\Temp\RtkBtMnt.exe

C:\Acer\Empowering Technology\ePower\ePower_DMC.exe

C:\WINDOWS\system32\wbem\unsecapp.exe

C:\PROGRA~1\LAUNCH~1\LManager.exe

C:\WINDOWS\system32\LVCOMSX.EXE

C:\Program Files\Acer\OrbiCam\CameraAssistant.exe

C:\WINDOWS\system32\ElkCtrl.exe

C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Java\jre6\bin\jusched.exe

C:\WINDOWS\Temp\wpv611254042811.exe

C:\WINDOWS\system32\restorer32_a.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe

C:\Documents and Settings\eric rubeillon\restorer32_a.exe

C:\Documents and Settings\eric rubeillon\Application Data\seres.exe

C:\Documents and Settings\eric rubeillon\Application Data\svcst.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\trend micro\hijackthis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.fr/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe

O4 - HKLM\..\Run: [LaunchApp] Alaunch

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [skyTel] SkyTel.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [AzMixerSel] C:\Program Files\Realtek\InstallShield\AzMixerSel.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [ntiMUI] C:\Program Files\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe

O4 - HKLM\..\Run: [ADMTray.exe] "C:\Acer\Empowering Technology\admtray.exe"

O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [iMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe

O4 - HKLM\..\Run: [Acer ePower Management] C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe boot

O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe

O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE

O4 - HKLM\..\Run: [LogitechCameraAssistant] C:\Program Files\Acer\OrbiCam\CameraAssistant.exe

O4 - HKLM\..\Run: [LogitechVideo[inspector]] C:\Program Files\Acer\OrbiCam\InstallHelper.exe /inspect

O4 - HKLM\..\Run: [LogitechCameraService(E)] C:\WINDOWS\system32\ElkCtrl.exe /automation

O4 - HKLM\..\Run: [NTI Scheduler] "C:\Program Files\Fichiers communs\NewTech Infosystems\Scheduler\Schdlr32.exe" -s

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [sysgif32] C:\WINDOWS\Temp\wpv611254042811.exe

O4 - HKLM\..\Run: [restorer32_a] C:\WINDOWS\system32\restorer32_a.exe

O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [updateMgr] c:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [CTSyncU.exe] "C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe"

O4 - HKCU\..\Run: [restorer32_a] C:\Documents and Settings\eric rubeillon\restorer32_a.exe

O4 - HKCU\..\Run: [mserv] C:\Documents and Settings\eric rubeillon\Application Data\seres.exe

O4 - HKCU\..\Run: [svchost] C:\Documents and Settings\eric rubeillon\Application Data\svcst.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm

O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm

O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm

O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game.zylom.com/activex/zylomgamesplayer.cab

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: AdminWorks Agent X6 (AWService) - Avocent Inc. - C:\Acer\Empowering Technology\admServ.exe

O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe

O23 - Service: Intel® PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

 

--

End of file - 10585 bytes

Modifié par Mark

Posté(e) (modifié)

Bonjour somifa et bienvenue sur Zébulon

 

* Pour commencer, si cela peux t'aider :

 

Comment participer a un forum

 

Retrouver ses messages et activer la notification par email

 

* Ton PC est bien infecté, on va utiliser un outil puissant pour te débarrasser de cela.

 

Télécharge Combofix de sUBs depuis l'un des liens ci-dessous:

 

/!\ Lors du téléchargement, renomme le en bibitte.exe sinon, il risque dêtre inutilisable. /!\

 

Regarde ici comment faire http://forum.pcastuces.com/combofix___reno...ment-f31s22.htm

 

Lien 1

Lien 2

 

* IMPORTANT !!! Enregistrez ComboFix.exe sur ton Bureau

 

  • Désactive tes applications antivirus et anti-spyware, en général via un clic droit sur l'icône de la Zone de notification. Sinon, elles risquent d'interférer avec nos outils.
    (aide si besoin : http://forum.pcastuces.com/desactiver_les_...entes-f31s4.htm Merci Morgane )
     
  • Fais un double clic sur combofix.exe & suis les invites.
     
  • Lors de son exécution, ComboFix va vérifier si la Console de récupération Microsoft Windows est installée. Avec des infections comme celles d'aujourd'hui, il est fortement conseillé de l'avoir pré-installée sur ton PC avant toute suppression de nuisibles. Elle te permettra de démarrer dans un mode spécial, de récupération (réparation), qui nous permet de t’aider plus facilement si jamais ton ordinateur rencontre un problème après une tentative de nettoyage.
     
    /!\ Ne néglige pas cette étape. /!\
     
  • Suis les invites pour permettre à ComboFix de télécharger et installer la Console de récupération Microsoft Windows, et lorsque cela te sera demandé demandé, accepte le Contrat de Licence Utilisateur Final pour installer la Console de récupération Microsoft Windows.

 

**Note importante: Si la Console de récupération Microsoft Windows est déjà installée, ComboFix continuera ses procédures de suppression de nuisibles.

 

RcAuto1.gif

 

Une fois que la Console de récupération Microsoft Windows est installée via ComboFix, tu devrais voir le message suivant:

 

whatnext.png

 

Clique sur Oui/Yes, pour poursuivre avec la recherche de nuisibles.

 

Lorsque l'outil aura terminé, il affichera un rapport.

 

/!\ Ré-active la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à Internet. /!\

 

--> Copie le contenu de ce rapport dans ta prochaine réponse ainsi qu'un nouveau rapport HijackThis.

 

Note : Le rapport de ComboFix est aussi sauvegardé ici C:\ComboFix.txt

 

@ suivre.

Edition orthographe

Modifié par Le sioux
Posté(e)

bonjour, merci pour votre réponse.

 

après la procédure voici le rapport combo :

 

ComboFix 09-09-29.04 - eric rubeillon 01/10/2009 19:31.6.2 - FAT32x86

Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.1022.509 [GMT 2:00]

Lancé depuis: c:\documents and settings\eric rubeillon\Bureau\somifa.exe

AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\documents and settings\eric rubeillon\Application Data\lizkavd.exe

c:\documents and settings\eric rubeillon\Application Data\seres.exe

c:\documents and settings\eric rubeillon\Application Data\svcst.exe

c:\documents and settings\eric rubeillon\oashdihasidhasuidhiasdhiashdiuasdhasd

c:\program files\AntivirusPro_2010

 

.

((((((((((((((((((((((((((((( Fichiers créés du 2009-09-01 au 2009-10-01 ))))))))))))))))))))))))))))))))))))

.

 

2009-09-30 20:10 . 2009-09-30 20:10 -------- d-----w- C:\somifa2775s

2009-09-30 19:56 . 2009-09-30 19:56 -------- d-----w- C:\somifa17815s

2009-09-30 06:39 . 2009-09-30 06:39 -------- d-----w- C:\somifa

2009-09-30 03:51 . 2008-11-06 00:03 -------- d-----w- C:\SDFix

2009-09-30 03:36 . 2009-03-30 08:32 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys

2009-09-30 03:36 . 2009-02-13 10:28 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys

2009-09-30 03:36 . 2009-02-13 10:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys

2009-09-30 03:36 . 2009-09-30 03:36 -------- d-----w- c:\program files\Avira

2009-09-30 03:36 . 2009-09-30 03:36 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira

2009-09-30 03:35 . 2009-09-30 03:35 -------- d-----w- c:\program files\Navilog1

2009-09-30 03:31 . 2009-09-30 03:31 -------- d-sh--w- c:\documents and settings\eric rubeillon\IECompatCache

2009-09-30 03:31 . 2009-09-30 03:31 -------- d-sh--w- c:\documents and settings\eric rubeillon\PrivacIE

2009-09-30 03:29 . 2009-09-30 03:29 -------- d-sh--w- c:\documents and settings\eric rubeillon\IETldCache

2009-09-30 03:15 . 2009-09-30 03:15 -------- d-----w- C:\ComboFix

2009-09-30 01:54 . 2009-09-30 01:54 -------- d--h--w- c:\windows\msdownld.tmp

2009-09-30 01:52 . 2009-09-30 01:52 -------- d--h--w- c:\windows\ie8

2009-09-30 00:30 . 2009-09-30 00:30 -------- d-----w- C:\_OTM

2009-09-29 22:50 . 2009-07-28 14:33 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys

2009-09-29 21:25 . 2009-09-29 21:25 -------- d-----w- c:\documents and settings\All Users\Application Data\SITEguard

2009-09-29 21:25 . 2009-09-29 21:25 -------- d-----w- c:\program files\Fichiers communs\iS3

2009-09-29 21:25 . 2009-09-29 21:25 -------- d-----w- c:\documents and settings\All Users\Application Data\STOPzilla!

2009-09-29 21:20 . 2009-09-29 21:21 47999 ----a-w- C:\BdUninstallTool2009.09.29-11.20.16.reg

2009-09-29 19:59 . 2009-09-29 19:59 12980 ----a-w- c:\documents and settings\eric rubeillon\Local Settings\Application Data\imedat.dat

2009-09-29 19:59 . 2009-09-29 19:59 12940 ----a-w- c:\documents and settings\eric rubeillon\Local Settings\Application Data\fegyzyhuf.dat

2009-09-29 19:32 . 2009-09-29 19:32 -------- d-----w- C:\rsit

2009-09-29 18:59 . 2009-09-29 18:59 -------- d-----w- c:\documents and settings\All Users\Application Data\18738594

2009-09-29 18:59 . 2009-09-29 18:59 43520 ----a-w- c:\documents and settings\eric rubeillon\restorer32_a.exe

2009-09-29 18:59 . 2009-09-29 18:59 43520 ----a-w- c:\windows\system32\restorer32_a.exe

2009-09-09 22:34 . 2009-09-09 22:34 -------- d-----w- c:\documents and settings\All Users\Application Data\Zylom

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-09-30 21:36 . 2009-01-03 20:45 12 ----a-w- c:\windows\bthservsdp.dat

2009-09-29 22:17 . 2009-09-29 21:42 27392 ----a-w- c:\windows\system32\drivers\kgpcpy.cfg

2009-09-29 21:43 . 2009-09-29 21:43 1264 ----a-w- c:\windows\system32\drivers\kgpfr2.cfg

2009-09-29 19:59 . 2009-09-29 19:59 13780 ----a-w- c:\documents and settings\eric rubeillon\Application Data\izymifi.dat

2009-08-29 13:25 . 2007-01-07 15:10 44016 ----a-w- c:\documents and settings\eric rubeillon\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

2009-08-28 23:15 . 2009-08-28 23:15 -------- d-----w- c:\documents and settings\eric rubeillon\Application Data\Python-Eggs

2009-07-25 03:23 . 2009-07-29 19:25 411368 ----a-w- c:\windows\system32\deploytk.dll

.

 

((((((((((((((((((((((((((((( SnapShot_2009-09-30_03.23.50 )))))))))))))))))))))))))))))))))))))))))

.

+ 2009-09-30 03:36 . 2009-09-30 09:52 28520 c:\windows\system32\drivers\ssmdrv.sys

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-03-16 68856]

"restorer32_a"="c:\documents and settings\eric rubeillon\restorer32_a.exe" [2009-09-29 43520]

"mserv"="c:\documents and settings\eric rubeillon\Application Data\seres.exe" [bU]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"LaunchApp"="Alaunch" [X]

"igfxtray"="c:\windows\system32\igfxtray.exe" [2006-03-23 94208]

"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2006-03-23 77824]

"igfxpers"="c:\windows\system32\igfxpers.exe" [2006-03-23 118784]

"ehTray"="c:\windows\ehome\ehtray.exe" [2005-08-05 64512]

"AzMixerSel"="c:\program files\Realtek\InstallShield\AzMixerSel.exe" [2005-12-21 53248]

"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2006-03-03 761946]

"ntiMUI"="c:\program files\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe" [2006-05-15 45056]

"ADMTray.exe"="c:\acer\Empowering Technology\admtray.exe" [2005-10-24 2462208]

"eDataSecurity Loader"="c:\acer\Empowering Technology\eDataSecurity\eDSloader.exe" [2005-12-27 69632]

"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-10 208952]

"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-10 59392]

"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-10 455168]

"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-10 455168]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-07-20 7581696]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-07-20 86016]

"ePower_DMC"="c:\acer\Empowering Technology\ePower\ePower_DMC.exe" [2006-08-10 352256]

"Acer ePower Management"="c:\acer\Empowering Technology\ePower\Acer ePower Management.exe" [2006-05-22 3080704]

"LManager"="c:\progra~1\LAUNCH~1\LManager.exe" [2006-07-20 593920]

"eRecoveryService"="c:\acer\Empowering Technology\eRecovery\Monitor.exe" [2006-01-24 397312]

"LVCOMSX"="c:\windows\system32\LVCOMSX.EXE" [2006-06-23 225280]

"LogitechCameraAssistant"="c:\program files\Acer\OrbiCam\CameraAssistant.exe" [2006-06-26 331776]

"LogitechVideo[inspector]"="c:\program files\Acer\OrbiCam\InstallHelper.exe" [2006-06-26 13:55 73728]

"LogitechCameraService(E)"="c:\windows\system32\ElkCtrl.exe" [2004-11-01 262144]

"NTI Scheduler"="c:\program files\Fichiers communs\NewTech Infosystems\Scheduler\Schdlr32.exe" [2006-01-19 73728]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]

"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-07-25 149280]

"restorer32_a"="c:\windows\system32\restorer32_a.exe" [2009-09-29 43520]

"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2006-06-28 16248320]

"SkyTel"="SkyTel.EXE" - c:\windows\SkyTel.exe [2006-05-16 2879488]

"BluetoothAuthenticationAgent"="bthprops.cpl" - c:\windows\system32\bthprops.cpl [2008-04-13 110592]

"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2006-07-20 1519616]

"MsmqIntCert"="mqrt.dll" - c:\windows\system32\mqrt.dll [2008-04-13 177152]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"ForceClassicControlPanel"= 1 (0x1)

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"UpdatesDisableNotify"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]

"DisableMonitoring"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]

"DisableMonitoring"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]

"DisableMonitoring"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\Messenger\\msmsgs.exe"=

"c:\\WINDOWS\\System32\\mqsvc.exe"=

"c:\\Program Files\\VideoLAN\\VLC\\VLC.EXE"=

"c:\\Documents and Settings\\eric rubeillon\\Mes documents\\friptv\\friptv.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

 

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [30/09/2009 05:36 108289]

R3 lv321av;Logitech USB PC Camera (VC0321);c:\windows\system32\drivers\lv321av.sys [19/06/2006 12:20 1097728]

S3 PhilCam8116_XP;Logitech QuickCam Pro 3000(PID_08B1);c:\windows\system32\drivers\CamDrL20.sys [11/01/2007 09:03 245760]

 

--- Autres Services/Pilotes en mémoire ---

 

*NewlyCreated* - INT15.SYS

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.google.fr/

uInternet Connection Wizard,ShellNext = iexplore

uInternet Settings,ProxyOverride = 127.0.0.1

IE: &D&ownload &with BitComet - c:\program files\BitComet\BitComet.exe/AddLink.htm

IE: &D&ownload all video with BitComet - c:\program files\BitComet\BitComet.exe/AddVideo.htm

IE: &D&ownload all with BitComet - c:\program files\BitComet\BitComet.exe/AddAllLink.htm

DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab

DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} - hxxp://game.zylom.com/activex/zylomgamesplayer.cab

.

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-10-01 19:34

Windows 5.1.2600 Service Pack 3 FAT NTAPI

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

 

[HKEY_USERS\S-1-5-21-1167675131-2244597171-158678641-1005\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{A918118A-C9E9-8DCC-60D4-AB580B00BBE5}*]

@Allowed: (Read) (RestrictedCode)

@Allowed: (Read) (RestrictedCode)

.

Heure de fin: 2009-10-01 19:36

ComboFix-quarantined-files.txt 2009-10-01 17:36

ComboFix2.txt 2009-09-30 20:15

ComboFix3.txt 2009-09-30 20:04

ComboFix4.txt 2009-09-30 06:44

ComboFix5.txt 2009-10-01 17:30

 

Avant-CF: 17 967 972 352 octets libres

Après-CF: 18 015 289 344 octets libres

 

168 --- E O F --- 2007-07-14 05:37

:P c'est grave ??

Posté(e)

et voici le nouveau rapport hijackkThis :

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:43:24, on 01/10/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir Desktop\sched.exe

C:\Program Files\Avira\AntiVir Desktop\avguard.exe

C:\Acer\Empowering Technology\admServ.exe

C:\WINDOWS\eHome\ehRecvr.exe

C:\WINDOWS\eHome\ehSched.exe

C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\mqsvc.exe

C:\WINDOWS\system32\dllhost.exe

C:\WINDOWS\ehome\ehtray.exe

C:\WINDOWS\eHome\ehmsas.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Acer\Empowering Technology\eRecovery\Monitor.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Acer\Empowering Technology\admtray.exe

C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe

C:\WINDOWS\System32\svchost.exe

C:\Acer\Empowering Technology\ePower\ePower_DMC.exe

C:\WINDOWS\system32\wbem\unsecapp.exe

C:\PROGRA~1\LAUNCH~1\LManager.exe

C:\WINDOWS\system32\LVCOMSX.EXE

C:\Program Files\Acer\OrbiCam\CameraAssistant.exe

C:\WINDOWS\system32\ElkCtrl.exe

C:\Program Files\Avira\AntiVir Desktop\avgnt.exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\explorer.exe

C:\Program Files\internet explorer\iexplore.exe

C:\Program Files\internet explorer\iexplore.exe

C:\Program Files\internet explorer\iexplore.exe

C:\Documents and Settings\eric rubeillon\Bureau\HiJackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe

O4 - HKLM\..\Run: [LaunchApp] Alaunch

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [skyTel] SkyTel.EXE

O4 - HKLM\..\Run: [AzMixerSel] C:\Program Files\Realtek\InstallShield\AzMixerSel.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [ntiMUI] C:\Program Files\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe

O4 - HKLM\..\Run: [ADMTray.exe] "C:\Acer\Empowering Technology\admtray.exe"

O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [iMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe

O4 - HKLM\..\Run: [Acer ePower Management] C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe boot

O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe

O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE

O4 - HKLM\..\Run: [LogitechCameraAssistant] C:\Program Files\Acer\OrbiCam\CameraAssistant.exe

O4 - HKLM\..\Run: [LogitechVideo[inspector]] C:\Program Files\Acer\OrbiCam\InstallHelper.exe /inspect

O4 - HKLM\..\Run: [LogitechCameraService(E)] C:\WINDOWS\system32\ElkCtrl.exe /automation

O4 - HKLM\..\Run: [NTI Scheduler] "C:\Program Files\Fichiers communs\NewTech Infosystems\Scheduler\Schdlr32.exe" -s

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [restorer32_a] C:\WINDOWS\system32\restorer32_a.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [restorer32_a] C:\Documents and Settings\eric rubeillon\restorer32_a.exe

O4 - HKCU\..\Run: [mserv] C:\Documents and Settings\eric rubeillon\Application Data\seres.exe

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm

O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm

O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm

O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game.zylom.com/activex/zylomgamesplayer.cab

O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe

O23 - Service: AdminWorks Agent X6 (AWService) - Avocent Inc. - C:\Acer\Empowering Technology\admServ.exe

O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - C:\Program Files\WinPcap\rpcapd.exe (file missing)

O23 - Service: Intel® PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

 

--

End of file - 9323 bytes

Posté(e)

Bonsoir somifa

 

ComboFix a bien travaillé, je te prépare la suite des que cela me sera possible, ce soir je file au taff, ce sera donc pour plus tard.

 

@ suivre.

Posté(e) (modifié)

Bonjour somifa

 

Je profite d'une petite pause avant la fin de nuit de boulot pour te donner la suite de la procédure.

 

Je suis tres étonné de voir des restes d'outils sur ton PC: OTM, SDFIX, Navilog1 ... ou tu as pris des initiatives, ou tu as été aidé ailleurs et on ne t'a pas fait supprimer les outils utilisés ou encore tu es parti avant la fin de la désinfection ...

Si tu as été aidé sur autre forum, je veux bien le lien par curiosité stp.

 

Cela dit, on attaque : ComboFix avec CFScript :

 

/!\ Note: Le code ci-dessous a été intentionnellement rédigé pour CET utilisateur.

si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système./!\

 

Sélectionne le texte suivant (en citation) dans son intégralité :

 

KillAll::

 

driver::

kgpcpy

kgpfr2

 

registry::

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"restorer32_a"=-

"mserv"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"restorer32_a"=-

 

file::

c:\documents and settings\eric rubeillon\Local Settings\Application Data\imedat.dat

c:\documents and settings\eric rubeillon\Local Settings\Application Data\fegyzyhuf.dat

c:\documents and settings\eric rubeillon\restorer32_a.exe

c:\windows\system32\restorer32_a.exe

c:\windows\system32\drivers\kgpcpy.cfg

c:\windows\system32\drivers\kgpfr2.cfg

C:\documents and settings\eric rubeillon\Application Data\izymifi.dat

 

folder::

c:\documents and settings\All Users\Application Data\18738594

c:\program files\BitComet

C:\SDFix

c:\program files\Navilog1

C:\_OTM

  • Copie le texte sélectionné (CTRL+C).
  • Ouvre le Bloc-notes(Démarrer / Tous les Programmes>Accessoires >bloc-notes).
  • Colle le texte copié dans ce Bloc-notes (CTRL+V).
  • Sauvegarde sur ton Bureau ce fichier sous le nom de CFScript.txt

/!\Déconnecte toi du net et désactive ton antivirus pour que ComboFix puisse s'exécuter normalement /!\

(Aide si besoin : http://forum.pcastuces.com/desactiver_les_...entes-f31s4.htm Merci Morgane )

  • Fais un Glisser/déposer de ce fichier CFScript.txt sur le fichier ComboFix (sur ton Bureau) comme ici :

img-210914jjufm.gif

 

  • Une fenêtre bleue va apparaître: au message qui apparaît Type 1 to continue, or 2 to abort , tape 1 puis valide.
  • Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal !

/!\ Ne touche à rien tant que le scan n'est pas terminé. /!\

  • En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.
  • Une fois le scan achevé, un rapport va s'afficher : Poste son contenu (si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt ) , ainsi qu’un nouveau rapport HijackThis.

/!\Ré-active la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à Internet. /!\.

 

@ suivre

 

/ !\Avis aux lecteurs : Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil. Ne pas utiliser en dehors de ce cas de figure : dangereux! / !\

Modifié par Le sioux
Posté(e)

Désolé pour la petite intrusion ;

 

Deux messages ont fait suite au dernier de Le sioux :

 

rich et faby : j'ai déplacé ton message et ai créé un nouveau sujet pour toi >>

http://forum.zebulon.fr/split-sujet-de-ric...by-t168455.html

 

djosfr : tom message a été retiré. Je t'envoie un message privé. Prière de lire la FAQ de fonctionnement de la section de désinfection. Merci.

=======================

 

Petite note pour somifa : tu avais déjà passé ComboFix 5 fois. Il serait bien de voir tout le travail fait par l'outil avant le sixième passage, pour aider Le sioux à s'y retrouver. Va sur le site de Senduit :

http://www.senduit.com/

 

> Clique "Parcourir..." et sélectionne le fichier suivant par double-clic :

 

C:\qoobox\ComboFix5.txt

 

> Avant de cliquer le bouton "Upload", modifie l'option de la boîte "Expire in:" à 3 days.

> Clique maintenant sur "Upload"

> Colle le lien qui apparaîtra ici, dans ta réponse, avec ce que t'as demandé Le sioux.

 

@+

Posté(e)

Bonjour, merci pour encore une fois pour votre aide.

 

En fait nous sommes deux sur le PC et avant de demander de l'aide nous avions essayer quelques trucs :P

 

Pour ce qui est de l'utilisation de combofix, c'est parce quedès que l'on éteint le Pc et qu'on le rallume le message "your Pc is infected réapparait", alors pour pouvoir utuiliser le Pc,nous effectuons combofix :P

 

je suit vos indications mais pas en temps réel donc cela me pose des difficultés.

Posté(e)
Désolé pour la petite intrusion ;

 

Deux messages ont fait suite au dernier de Le sioux :

 

rich et faby : j'ai déplacé ton message et ai créé un nouveau sujet pour toi >>

http://forum.zebulon.fr/split-sujet-de-ric...by-t168455.html

 

djosfr : tom message a été retiré. Je t'envoie un message privé. Prière de lire la FAQ de fonctionnement de la section de désinfection. Merci.

=======================

 

Petite note pour somifa : tu avais déjà passé ComboFix 5 fois. Il serait bien de voir tout le travail fait par l'outil avant le sixième passage, pour aider Le sioux à s'y retrouver. Va sur le site de Senduit :

http://www.senduit.com/

 

> Clique "Parcourir..." et sélectionne le fichier suivant par double-clic :

 

C:\qoobox\ComboFix5.txt

 

> Avant de cliquer le bouton "Upload", modifie l'option de la boîte "Expire in:" à 3 days.

> Clique maintenant sur "Upload"

> Colle le lien qui apparaîtra ici, dans ta réponse, avec ce que t'as demandé Le sioux.

 

@+

voici le lien : http://senduit.com/f3226d le reste arive...

Posté(e)

voici le rapport combofix :

 

ComboFix 09-09-29.04 - eric rubeillon 02/10/2009 18:48.7.2 - FAT32x86

Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.1022.589 [GMT 2:00]

Lancé depuis: c:\documents and settings\eric rubeillon\Bureau\somifa.exe

Commutateurs utilisés :: c:\documents and settings\eric rubeillon\Bureau\CFScript.txt

AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

* Un nouveau point de restauration a été créé

 

FILE ::

"c:\documents and settings\eric rubeillon\Application Data\izymifi.dat"

"c:\documents and settings\eric rubeillon\Local Settings\Application Data\fegyzyhuf.dat"

"c:\documents and settings\eric rubeillon\Local Settings\Application Data\imedat.dat"

"c:\documents and settings\eric rubeillon\restorer32_a.exe"

"c:\windows\system32\drivers\kgpcpy.cfg"

"c:\windows\system32\drivers\kgpfr2.cfg"

"c:\windows\system32\restorer32_a.exe"

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\_OTM

c:\documents and settings\All Users\Application Data\18738594

c:\documents and settings\All Users\Application Data\18738594\18738594

c:\documents and settings\All Users\Application Data\18738594\pc18738594ins

c:\documents and settings\eric rubeillon\Application Data\izymifi.dat

c:\documents and settings\eric rubeillon\Application Data\lizkavd.exe

c:\documents and settings\eric rubeillon\Application Data\seres.exe

c:\documents and settings\eric rubeillon\Application Data\svcst.exe

c:\documents and settings\eric rubeillon\Local Settings\Application Data\fegyzyhuf.dat

c:\documents and settings\eric rubeillon\Local Settings\Application Data\imedat.dat

c:\documents and settings\eric rubeillon\oashdihasidhasuidhiasdhiashdiuasdhasd

c:\documents and settings\eric rubeillon\restorer32_a.exe

c:\program files\BitComet

c:\program files\BitComet\archive\d3c4d574ae81840dd1b31ff83f119e334e068fa6.torrent

c:\program files\BitComet\BitComet.xml

c:\program files\BitComet\Downloads.xml

c:\program files\BitComet\Downloads.xml.bak

c:\program files\BitComet\fav\passport_info_en_us.mht

c:\program files\BitComet\fav\passport_info_zh_cn.mht

c:\program files\BitComet\share\my_shares.xml

c:\program files\BitComet\torrents\BREWSTER'S MILLIONS.torrent

c:\program files\BitComet\torrents\BREWSTER'S MILLIONS.xml

c:\program files\Navilog1

c:\program files\Navilog1\catchme.exe

c:\program files\Navilog1\Contents\Filess.bat

c:\program files\Navilog1\Contents\Folders.bat

c:\program files\Navilog1\Contents\Folderss.bat

c:\program files\Navilog1\Contents\Gnc2.bat

c:\program files\Navilog1\Contents\Gnc2su.bat

c:\program files\Navilog1\Contents\Gncs.bat

c:\program files\Navilog1\Contents\Gncssfil.bat

c:\program files\Navilog1\Contents\Heurs.bat

c:\program files\Navilog1\Contents\Heurss.bat

c:\program files\Navilog1\Contents\Orphus.bat

c:\program files\Navilog1\Contents\Setlang.bat

c:\program files\Navilog1\Contents\Wlist.bat

c:\program files\Navilog1\Fav.exe

c:\program files\Navilog1\French.txt

c:\program files\Navilog1\GetPaths.exe

c:\program files\Navilog1\gnc.exe

c:\program files\Navilog1\navilog1.bat

c:\program files\Navilog1\Navreb.bat

c:\program files\Navilog1\oem2ansi.exe

c:\program files\Navilog1\OsV.exe

c:\program files\Navilog1\reg.exe

c:\program files\Navilog1\regnavi.reg

c:\program files\Navilog1\regnavi1.reg

c:\program files\Navilog1\Report\catchmeF.log

c:\program files\Navilog1\Report\catchmeP.log

c:\program files\Navilog1\Report\debug.txt

c:\program files\Navilog1\suppmanu.txt

c:\program files\Navilog1\traite.bat

c:\program files\Navilog1\traite2.bat

c:\program files\Navilog1\traite3.bat

C:\SDFix

c:\sdfix\Add_DBFix_RunOnce_key.inf

c:\sdfix\apps\assosfix.reg

c:\sdfix\apps\Cghtme.exe

c:\sdfix\apps\cliptext.exe

c:\sdfix\apps\DBFix.inf

c:\sdfix\apps\download.exe

c:\sdfix\apps\dummy.sys

c:\sdfix\apps\Enable_Command_Prompt.inf

c:\sdfix\apps\Enable_Command_Prompt.reg

c:\sdfix\apps\ERDNT.E_E

c:\sdfix\apps\ERDNTDOS.LOC

c:\sdfix\apps\ERDNTWIN.LOC

c:\sdfix\apps\ERUNT.EXE

c:\sdfix\apps\ERUNT.LOC

c:\sdfix\apps\fix.reg

c:\sdfix\apps\FixBeep.reg

c:\sdfix\apps\FixBH.reg

c:\sdfix\apps\FixComponents.reg

c:\sdfix\apps\FIXCU.reg

c:\sdfix\apps\FIXLM.reg

c:\sdfix\apps\FixPath.exe

c:\sdfix\apps\FixRedir.reg

c:\sdfix\apps\FixSchedule.reg

c:\sdfix\apps\FixWebCheck.reg

c:\sdfix\apps\fixXP.reg

c:\sdfix\apps\FixXPsp2.reg

c:\sdfix\apps\grep.exe

c:\sdfix\apps\HaxdFix.reg

c:\sdfix\apps\HPFix.reg

c:\sdfix\apps\HPFix2.reg

c:\sdfix\apps\HPFix3.reg

c:\sdfix\apps\HPFix4.reg

c:\sdfix\apps\HPFix5.reg

c:\sdfix\apps\HPFix6.reg

c:\sdfix\apps\HPFix7.reg

c:\sdfix\apps\HPFix8.reg

c:\sdfix\apps\HPFix9.reg

c:\sdfix\apps\Installed.txt

c:\sdfix\apps\isadmin.exe

c:\sdfix\apps\leg2.txt

c:\sdfix\apps\legacy.txt

c:\sdfix\apps\legacybk.txt

c:\sdfix\apps\locate.com

c:\sdfix\apps\LS.exe

c:\sdfix\apps\MD5File.exe

c:\sdfix\apps\moveex.exe

c:\sdfix\apps\MyGcpvFix.reg

c:\sdfix\apps\MyGkFix2.reg

c:\sdfix\apps\Process.exe

c:\sdfix\apps\procs.exe

c:\sdfix\apps\psservice.exe

c:\sdfix\apps\Rem.txt

c:\sdfix\apps\Rem2.txt

c:\sdfix\apps\Replace\regedit.exe

c:\sdfix\apps\Replace\w2k\AUTOEXEC.NT

c:\sdfix\apps\Replace\w2k\beep.sys

c:\sdfix\apps\Replace\w2k\command.com

c:\sdfix\apps\Replace\w2k\command.PIF

c:\sdfix\apps\Replace\w2k\CONFIG.NT

c:\sdfix\apps\Replace\w2k\null.sys

c:\sdfix\apps\Replace\xp\AUTOEXEC.NT

c:\sdfix\apps\Replace\xp\beep.sys

c:\sdfix\apps\Replace\xp\command.com

c:\sdfix\apps\Replace\xp\command.PIF

c:\sdfix\apps\Replace\xp\CONFIG.NT

c:\sdfix\apps\Replace\xp\null.sys

c:\sdfix\apps\Reset_AppInit_DLLs.reg

c:\sdfix\apps\RestartIt!.exe

c:\sdfix\apps\Restore_SafeBoot_Windows2000.reg

c:\sdfix\apps\Restore_SafeBoot_WindowsXP.reg

c:\sdfix\apps\Restore_SafeBoot_WindowsXP_SP2.reg

c:\sdfix\apps\Restore_SafeBoot_WindowsXP_SP3.reg

c:\sdfix\apps\Restore_SecurityCenter.reg

c:\sdfix\apps\Restore_SharedAccess.reg

c:\sdfix\apps\sc.exe

c:\sdfix\apps\sed.exe

c:\sdfix\apps\SF.exe

c:\sdfix\apps\shutdown.exe

c:\sdfix\apps\srv2.txt

c:\sdfix\apps\srv2bk.txt

c:\sdfix\apps\svc.txt

c:\sdfix\apps\svcbk.txt

c:\sdfix\apps\Swreg.exe

c:\sdfix\apps\swsc.exe

c:\sdfix\apps\UnRAR.exe

c:\sdfix\apps\unzip.exe

c:\sdfix\apps\vfind.exe

c:\sdfix\apps\WINMSG.EXE

c:\sdfix\apps\winsec.reg

c:\sdfix\apps\zip.exe

c:\sdfix\catchme.exe

c:\sdfix\DBFix.bat

c:\sdfix\dummy.sys

c:\sdfix\RunThis.bat

c:\sdfix\SDFIX_ReadMe_Online.url

c:\sdfix\W2K_VirusAlert_Repair.inf

c:\sdfix\XP_VirusAlert_Repair.inf

c:\windows\system32\drivers\kgpcpy.cfg

c:\windows\system32\drivers\kgpfr2.cfg

c:\windows\system32\restorer32_a.exe

 

.

((((((((((((((((((((((((((((( Fichiers créés du 2009-09-02 au 2009-10-02 ))))))))))))))))))))))))))))))))))))

.

 

2009-10-01 17:30 . 2009-10-01 17:30 -------- d-----w- C:\somifa15815s

2009-09-30 20:10 . 2009-09-30 20:10 -------- d-----w- C:\somifa2775s

2009-09-30 19:56 . 2009-09-30 19:56 -------- d-----w- C:\somifa17815s

2009-09-30 06:39 . 2009-09-30 06:39 -------- d-----w- C:\somifa

2009-09-30 03:36 . 2009-03-30 08:32 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys

2009-09-30 03:36 . 2009-02-13 10:28 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys

2009-09-30 03:36 . 2009-02-13 10:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys

2009-09-30 03:36 . 2009-09-30 03:36 -------- d-----w- c:\program files\Avira

2009-09-30 03:36 . 2009-09-30 03:36 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira

2009-09-30 03:31 . 2009-09-30 03:31 -------- d-sh--w- c:\documents and settings\eric rubeillon\IECompatCache

2009-09-30 03:31 . 2009-09-30 03:31 -------- d-sh--w- c:\documents and settings\eric rubeillon\PrivacIE

2009-09-30 03:29 . 2009-09-30 03:29 -------- d-sh--w- c:\documents and settings\eric rubeillon\IETldCache

2009-09-30 03:15 . 2009-09-30 03:15 -------- d-----w- C:\ComboFix

2009-09-30 01:54 . 2009-09-30 01:54 -------- d--h--w- c:\windows\msdownld.tmp

2009-09-30 01:52 . 2009-09-30 01:52 -------- d--h--w- c:\windows\ie8

2009-09-29 22:50 . 2009-07-28 14:33 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys

2009-09-29 21:25 . 2009-09-29 21:25 -------- d-----w- c:\documents and settings\All Users\Application Data\SITEguard

2009-09-29 21:25 . 2009-09-29 21:25 -------- d-----w- c:\program files\Fichiers communs\iS3

2009-09-29 21:25 . 2009-09-29 21:25 -------- d-----w- c:\documents and settings\All Users\Application Data\STOPzilla!

2009-09-29 21:20 . 2009-09-29 21:21 47999 ----a-w- C:\BdUninstallTool2009.09.29-11.20.16.reg

2009-09-29 19:32 . 2009-09-29 19:32 -------- d-----w- C:\rsit

2009-09-09 22:34 . 2009-09-09 22:34 -------- d-----w- c:\documents and settings\All Users\Application Data\Zylom

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-10-02 16:51 . 2009-01-03 20:45 12 ----a-w- c:\windows\bthservsdp.dat

2009-08-29 13:25 . 2007-01-07 15:10 44016 ----a-w- c:\documents and settings\eric rubeillon\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

2009-08-28 23:15 . 2009-08-28 23:15 -------- d-----w- c:\documents and settings\eric rubeillon\Application Data\Python-Eggs

2009-07-25 03:23 . 2009-07-29 19:25 411368 ----a-w- c:\windows\system32\deploytk.dll

.

 

((((((((((((((((((((((((((((( SnapShot_2009-09-30_03.23.50 )))))))))))))))))))))))))))))))))))))))))

.

+ 2009-10-02 16:53 . 2009-10-02 16:53 16384 c:\windows\temp\Perflib_Perfdata_6dc.dat

+ 2009-09-30 03:36 . 2009-09-30 09:52 28520 c:\windows\system32\drivers\ssmdrv.sys

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-03-16 68856]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"LaunchApp"="Alaunch" [X]

"igfxtray"="c:\windows\system32\igfxtray.exe" [2006-03-23 94208]

"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2006-03-23 77824]

"igfxpers"="c:\windows\system32\igfxpers.exe" [2006-03-23 118784]

"ehTray"="c:\windows\ehome\ehtray.exe" [2005-08-05 64512]

"AzMixerSel"="c:\program files\Realtek\InstallShield\AzMixerSel.exe" [2005-12-21 53248]

"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2006-03-03 761946]

"ntiMUI"="c:\program files\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe" [2006-05-15 45056]

"ADMTray.exe"="c:\acer\Empowering Technology\admtray.exe" [2005-10-24 2462208]

"eDataSecurity Loader"="c:\acer\Empowering Technology\eDataSecurity\eDSloader.exe" [2005-12-27 69632]

"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-10 208952]

"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-10 59392]

"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-10 455168]

"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-10 455168]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-07-20 7581696]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-07-20 86016]

"ePower_DMC"="c:\acer\Empowering Technology\ePower\ePower_DMC.exe" [2006-08-10 352256]

"Acer ePower Management"="c:\acer\Empowering Technology\ePower\Acer ePower Management.exe" [2006-05-22 3080704]

"LManager"="c:\progra~1\LAUNCH~1\LManager.exe" [2006-07-20 593920]

"eRecoveryService"="c:\acer\Empowering Technology\eRecovery\Monitor.exe" [2006-01-24 397312]

"LVCOMSX"="c:\windows\system32\LVCOMSX.EXE" [2006-06-23 225280]

"LogitechCameraAssistant"="c:\program files\Acer\OrbiCam\CameraAssistant.exe" [2006-06-26 331776]

"LogitechVideo[inspector]"="c:\program files\Acer\OrbiCam\InstallHelper.exe" [2006-06-26 13:55 73728]

"LogitechCameraService(E)"="c:\windows\system32\ElkCtrl.exe" [2004-11-01 262144]

"NTI Scheduler"="c:\program files\Fichiers communs\NewTech Infosystems\Scheduler\Schdlr32.exe" [2006-01-19 73728]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]

"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-07-25 149280]

"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2006-06-28 16248320]

"SkyTel"="SkyTel.EXE" - c:\windows\SkyTel.exe [2006-05-16 2879488]

"BluetoothAuthenticationAgent"="bthprops.cpl" - c:\windows\system32\bthprops.cpl [2008-04-13 110592]

"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2006-07-20 1519616]

"MsmqIntCert"="mqrt.dll" - c:\windows\system32\mqrt.dll [2008-04-13 177152]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"ForceClassicControlPanel"= 1 (0x1)

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"UpdatesDisableNotify"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]

"DisableMonitoring"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]

"DisableMonitoring"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]

"DisableMonitoring"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\Messenger\\msmsgs.exe"=

"c:\\WINDOWS\\System32\\mqsvc.exe"=

"c:\\Program Files\\VideoLAN\\VLC\\VLC.EXE"=

"c:\\Documents and Settings\\eric rubeillon\\Mes documents\\friptv\\friptv.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

 

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [30/09/2009 05:36 108289]

R3 lv321av;Logitech USB PC Camera (VC0321);c:\windows\system32\drivers\lv321av.sys [19/06/2006 12:20 1097728]

S3 PhilCam8116_XP;Logitech QuickCam Pro 3000(PID_08B1);c:\windows\system32\drivers\CamDrL20.sys [11/01/2007 09:03 245760]

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.google.fr/

uInternet Connection Wizard,ShellNext = iexplore

uInternet Settings,ProxyOverride = 127.0.0.1

IE: &D&ownload &with BitComet - c:\program files\BitComet\BitComet.exe/AddLink.htm

IE: &D&ownload all video with BitComet - c:\program files\BitComet\BitComet.exe/AddVideo.htm

IE: &D&ownload all with BitComet - c:\program files\BitComet\BitComet.exe/AddAllLink.htm

DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab

DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} - hxxp://game.zylom.com/activex/zylomgamesplayer.cab

.

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-10-02 18:54

Windows 5.1.2600 Service Pack 3 FAT NTAPI

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

 

[HKEY_USERS\S-1-5-21-1167675131-2244597171-158678641-1005\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{A918118A-C9E9-8DCC-60D4-AB580B00BBE5}*]

@Allowed: (Read) (RestrictedCode)

@Allowed: (Read) (RestrictedCode)

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'explorer.exe'(304)

c:\windows\system32\MSNChatHook.dll

c:\windows\system32\sysenv.dll

c:\windows\system32\ieframe.dll

c:\windows\system32\eappprxy.dll

c:\windows\system32\webcheck.dll

.

------------------------ Autres processus actifs ------------------------

.

c:\program files\INTEL\WIRELESS\BIN\EVTENG.EXE

c:\program files\INTEL\WIRELESS\BIN\S24EVMON.EXE

c:\windows\SYSTEM32\MSDTC.EXE

c:\program files\AVIRA\ANTIVIR DESKTOP\AVGUARD.EXE

c:\acer\EMPOWERING TECHNOLOGY\ADMSERV.EXE

c:\windows\EHOME\EHRECVR.EXE

c:\windows\EHOME\EHSCHED.EXE

c:\program files\JAVA\JRE6\BIN\JQS.EXE

c:\program files\FICHIERS COMMUNS\LIGHTSCRIBE\LSSRVC.EXE

c:\windows\SYSTEM32\NVSVC32.EXE

c:\program files\INTEL\WIRELESS\BIN\REGSRVC.EXE

c:\windows\SYSTEM32\MQSVC.EXE

c:\windows\EHOME\MCRDSVC.EXE

c:\windows\SYSTEM32\DLLHOST.EXE

c:\windows\SYSTEM32\WBEM\WMIAPSRV.EXE

c:\windows\SYSTEM32\RUNDLL32.EXE

c:\windows\EHOME\EHMSAS.EXE

c:\windows\SYSTEM32\RUNDLL32.EXE

c:\windows\system32\wbem\unsecapp.exe

c:\docume~1\ERICRU~1\LOCALS~1\Temp\RtkBtMnt.exe

c:\windows\SYSTEM32\WSCNTFY.EXE

.

**************************************************************************

.

Heure de fin: 2009-10-02 18:56 - La machine a redémarré

ComboFix-quarantined-files.txt 2009-10-02 16:56

ComboFix2.txt 2009-10-01 17:36

ComboFix3.txt 2009-09-30 20:15

ComboFix4.txt 2009-09-30 20:04

ComboFix5.txt 2009-10-02 16:47

 

Avant-CF: 17 891 622 912 octets libres

Après-CF: 17 908 236 288 octets libres

 

348 --- E O F --- 2007-07-14 05:37

 

 

voici le rapport HijackThis :

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:57:27, on 02/10/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir Desktop\sched.exe

C:\Program Files\Avira\AntiVir Desktop\avguard.exe

C:\Acer\Empowering Technology\admServ.exe

C:\WINDOWS\eHome\ehRecvr.exe

C:\WINDOWS\eHome\ehSched.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\mqsvc.exe

C:\WINDOWS\system32\dllhost.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\WINDOWS\ehome\ehtray.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Acer\Empowering Technology\admtray.exe

C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\eHome\ehmsas.exe

C:\Acer\Empowering Technology\eRecovery\Monitor.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Acer\Empowering Technology\ePower\ePower_DMC.exe

C:\PROGRA~1\LAUNCH~1\LManager.exe

C:\WINDOWS\system32\LVCOMSX.EXE

C:\Program Files\Acer\OrbiCam\CameraAssistant.exe

C:\WINDOWS\system32\ElkCtrl.exe

C:\WINDOWS\system32\wbem\unsecapp.exe

C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe

C:\Program Files\Java\jre6\bin\jusched.exe

C:\Program Files\Avira\AntiVir Desktop\avgnt.exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\DOCUME~1\ERICRU~1\LOCALS~1\Temp\RtkBtMnt.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\explorer.exe

C:\Documents and Settings\eric rubeillon\Bureau\HiJackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe

O4 - HKLM\..\Run: [LaunchApp] Alaunch

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [skyTel] SkyTel.EXE

O4 - HKLM\..\Run: [AzMixerSel] C:\Program Files\Realtek\InstallShield\AzMixerSel.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [ntiMUI] C:\Program Files\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe

O4 - HKLM\..\Run: [ADMTray.exe] "C:\Acer\Empowering Technology\admtray.exe"

O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [iMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe

O4 - HKLM\..\Run: [Acer ePower Management] C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe boot

O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe

O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE

O4 - HKLM\..\Run: [LogitechCameraAssistant] C:\Program Files\Acer\OrbiCam\CameraAssistant.exe

O4 - HKLM\..\Run: [LogitechVideo[inspector]] C:\Program Files\Acer\OrbiCam\InstallHelper.exe /inspect

O4 - HKLM\..\Run: [LogitechCameraService(E)] C:\WINDOWS\system32\ElkCtrl.exe /automation

O4 - HKLM\..\Run: [NTI Scheduler] "C:\Program Files\Fichiers communs\NewTech Infosystems\Scheduler\Schdlr32.exe" -s

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm

O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm

O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm

O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game.zylom.com/activex/zylomgamesplayer.cab

O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe

O23 - Service: AdminWorks Agent X6 (AWService) - Avocent Inc. - C:\Acer\Empowering Technology\admServ.exe

O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - C:\Program Files\WinPcap\rpcapd.exe (file missing)

O23 - Service: Intel® PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

 

--

End of file - 9182 bytes

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...