[resolu] Redirection de lien suite infection

[mcyann]

Bonjour,

 

Voila, j'ai eu une infection (personnal security). Depuis, des redirections de liens se font a partir de google (et uniquement, pas a partir de bing) qui m'envoie vers des liens de ce type : http://fovorint12komil.in/ar_mits/404.php.

 

Je vous mets le rapport hijack :

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 11:01:00, on 22/12/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe

C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe

C:\Program Files\Softwin\BitDefender10\bdagent.exe

C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Microsoft ActiveSync\wcescomm.exe

C:\Program Files\Windows Media Player\WMPNSCFG.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Logicool\Logicool Vid\vid.exe

C:\PROGRA~1\MICROS~3\rapimgr.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe

c:\program files\softwin\bitdefender10\vsserv.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.dailymotion.com/fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.dailymotion.com/fr

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.dailymotion.com/fr

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.divx.com/divx/webplayerdemo/fr?y...&yo=ietyie7

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll (file missing)

O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll

O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll

O4 - HKLM\..\Run: [bDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe

O4 - HKLM\..\Run: [bDAgent] "C:\Program Files\Softwin\BitDefender10\bdagent.exe"

O4 - HKLM\..\Run: [LogicoolQCamRibbon] "C:\Program Files\Logicool\Logicool WebCam Software\LWS.exe" /hide

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"

O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [Logicool Vid] "C:\Program Files\Logicool\Logicool Vid\vid.exe" -bootmode

O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll

O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.1...toUploader5.cab

O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2009.0...oUploader55.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe

O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe

O23 - Service: Process Monitor (LVPrcSrv) - Logicool Co., Ltd - C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe

O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe

O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)

O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Program Files\Softwin\BitDefender10\vsserv.exe

O23 - Service: BitDefender Communicator (XCOMM) - SOFTWIN S.R.L - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

 

--

End of file - 6578 bytes

 

 

Voila, j'ai désinstallé tout les produits google de la becane, mais rien n'y fait. J'ai fait un scan complet avec malwarebytes et avec l'antirootkit d'avg, mais c'est toujours pareil.

 

Merci d'avance pour vos idées.

Modifié le 25 décembre 2009 par mcyann

[Falkra]

Bonjour,

 

Télécharge Malwarebytes' Anti-Malware (MBAM)

Si ça ne se télécharge pas, que tu es redirigé, ou que MBAM ne démarre pas, signale-le moi : c'est un symptôme.

 

• Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  
• Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  
• Sélectionne "Exécuter un examen rapide"
  
• Clique sur "Rechercher"
  
• L'analyse démarre.
  
• A la fin de l'analyse (mais ce n'est pas fini), un message s'affiche :

  L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi. N'oublie pas la suite.
  
• Ferme tes navigateurs.
  
• Si des malwares ont été détectés, clique sur Afficher les résultats.
  Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.
  

 

NB : Si MBAM te demande à redémarrer, fais-le.

[mcyann]

Bonjour,

 

Merci pour ta reponse,

 

Voici le log de mbam :

 

Malwarebytes' Anti-Malware 1.42

Version de la base de données: 3407

Windows 5.1.2600 Service Pack 2

Internet Explorer 8.0.6001.18702

 

22/12/2009 13:38:45

mbam-log-2009-12-22 (13-38-40).txt

 

Type de recherche: Examen rapide

Eléments examinés: 110428

Temps écoulé: 20 minute(s), 38 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 2

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

C:\Documents and Settings\HelpAssistant\Local Settings\Temporary Internet Files\Content.IE5\NKAQ6DH8\load[1].exe (Trojan.Downloader) -> No action taken.

C:\Documents and Settings\Roger\Local Settings\Temporary Internet Files\Content.IE5\NKAQ6DH8\load[1].exe (Trojan.Downloader) -> No action taken.

 

 

Mais le pb persiste, mais bon, j'avais deja passé malwarebyte auparavant, et les redirections ne se font que sur des recherches google.

 

Et je pense que le trojan downloader a été installé par un de ses sites sur lesquels je suis redirigé, parce que la derniere analyse que j'ai faite avec malwarebyte etait clean.

 

Voila, merci encore, j'espere que vous avez d'autres idées....

[Falkra]

Là ça marque no action taken, tu n'as pas effacé ce qui a été trouvé.

Recommence stp, sans oublier les étapes en rouge.

 

J'ai plein d'idées, mais on doit faire pas à pas.

[mcyann]

Bonsoir,

 

Sisi pas de pb, le nettoyage est fait, j'ai enregistré le fichier au moment ou il présente les infections trouvés, il a ensuite fait le nettoyage et redémarré l'ordi.

 

Alors je suis tout ouï pour la suite et te remercie d'avance du temps que tu prends pour ce pb.

[Falkra]

Ceci terminera le nettoyage de MBAM, au cas où.

 

Télécharge ATF Cleaner (clique) par Atribune.

• Double-clique sur ATF-Cleaner.exe pour lancer le programme.
  Sous l'onglet Main, choisis : Select All
  Clique sur le bouton Empty Selected
  

Si tu utilises le navigateur Firefox :

• Clique sur Firefox en haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique sur No à l'invite.
  

Si tu utilises le navigateur Opera :

• Clique Opera en haut et choisis : Select All
  Clique sur le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
  

Clique sur Exit, dans le menu principal, pour quitter le programme.

 

-------------

 

Télécharge GMER Rootkit Scanner du lien suivant :

 

http://www.gmer.net/#files

 

- Clique sur le bouton "Download EXE"

- Sauvegarde-le sur ton Bureau

- Colle et sauvegarde ces instructions dans un fichier texte ou imprime-les, car tu devras fermer le navigateur.

- Ferme les fenêtres de navigateur ouvertes

- Lance le fichier téléchargé (le nom comporte 8 chiffres/lettres aléatoires) par double clic ;

- Si l'outil te lance un warning d'activité de rootkit et te demande de faire un scan ; clique "NO"

- Dans la section de droite de la fenêtre de l'outil, décoche les options suivantes :

• Sections
  
• IAT/EAT
  
• **Assure-toi que "Show All" est décoché**
  

- Clique maintenant sur le bouton "Scan" et patiente (cela peut prendre 10 minutes ou +)

- Lorsque l'analyse sera terminée, clique sur le bouton "Save..." (au bas à droite) ;

- Nomme le fichier"Ark.txt" et sauvegarde-le sur le Bureau ;

- Copie/colle le contenu de ce rapport dans ta réponse.

[mcyann]

Bonsoir,

 

Voila le rapport de Gmer :

 

GMER 1.0.15.15281 - http://www.gmer.net

Rootkit scan 2009-12-22 21:54:17

Windows 5.1.2600 Service Pack 2

Running: l8rsm4sl.exe; Driver: C:\DOCUME~1\Roger\LOCALS~1\Temp\pwlyifow.sys

 

 

---- System - GMER 1.0.15 ----

 

SSDT \??\C:\Program Files\Softwin\BitDefender10\bdrsdrv.sys ZwClose [0xB6BA69AC]

SSDT \??\C:\Program Files\Softwin\BitDefender10\bdrsdrv.sys ZwCreateKey [0xB6BA695E]

SSDT \??\C:\Program Files\Softwin\BitDefender10\bdrsdrv.sys ZwDeleteKey [0xB6BA6A12]

SSDT \??\C:\Program Files\Softwin\BitDefender10\bdrsdrv.sys ZwDeleteValueKey [0xB6BA6A3C]

SSDT \??\C:\Program Files\Softwin\BitDefender10\bdrsdrv.sys ZwEnumerateKey [0xB6BA6E6A]

SSDT \??\C:\Program Files\Softwin\BitDefender10\bdrsdrv.sys ZwEnumerateValueKey [0xB6BA6EE0]

SSDT \??\C:\Program Files\Softwin\BitDefender10\bdrsdrv.sys ZwFlushKey [0xB6BA69E8]

SSDT \??\C:\Program Files\Softwin\BitDefender10\bdrsdrv.sys ZwLoadKey [0xB6BA6F58]

SSDT \??\C:\Program Files\Softwin\BitDefender10\bdfsdrv.sys ZwOpenFile [0xB5E0FF1F]

SSDT \??\C:\Program Files\Softwin\BitDefender10\bdrsdrv.sys ZwOpenKey [0xB6BA691C]

SSDT \??\C:\Program Files\Softwin\BitDefender10\bdrsdrv.sys ZwQueryKey [0xB6BA6EA6]

SSDT \??\C:\Program Files\Softwin\BitDefender10\bdrsdrv.sys ZwQueryValueKey [0xB6BA6F1C]

SSDT \??\C:\Program Files\Softwin\BitDefender10\bdrsdrv.sys ZwSetValueKey [0xB6BA6AE9]

SSDT \??\C:\Program Files\Softwin\BitDefender10\bdrsdrv.sys ZwUnloadKey [0xB6BA6F86]

 

---- Devices - GMER 1.0.15 ----

 

Device \Driver\ACPI \Device\00000051 89674300

Device \Driver\ACPI \Device\00000044 89674300

Device \Driver\ACPI \Device\00000045 89674300

Device \Driver\ACPI \Device\00000060 89674300

Device \Driver\ACPI \Device\00000047 89674300

Device \Driver\ACPI \Device\00000055 89674300

 

AttachedDevice \Driver\Tcpip \Device\Tcp bdpredir.sys (BitDefender Proxy Redirector Driver/Softwin SRL)

 

Device \Driver\ACPI \Device\00000056 89674300

Device \Driver\ACPI \Device\00000049 89674300

Device \Driver\ACPI \Device\00000059 89674300

Device \Driver\ACPI \Device\0000004a 89674300

Device \Driver\ACPI \Device\0000004b 89674300

Device \Driver\ACPI \Device\0000004c 89674300

Device \Driver\ACPI \Device\0000005a 89674300

Device \Driver\ACPI \Device\0000005c 89674300

Device \Driver\ACPI \Device\0000005d 89674300

Device \Driver\ACPI \Device\0000005f 89674300

 

---- EOF - GMER 1.0.15 ----

 

 

Bonne soirée et merci

[Falkra]

Ok, rien de méchant.

 

Télécharge DDS de sUBs, sur le bureau.

L'outil ne nécessite pas d'installation, lance-le en cliquant sur l'icône dds.scr

 

Une fenêtre DOS va apparaitre. Un premier rapport va s'ouvrir que tu enregistreras sous DDS.txt par défaut sur le bureau. Il te sera demandé si tu veux faire le scan optionnel. Accepte.

Un nouveau rapport s'ouvre que tu enregistres sous Attach.txt sur le bureau.

 

Poste le rapport DDS.txt seulement, si ça marche, pour le moment.

[mcyann]

Bonjour,

 

Voici le rapport DDS :

 

 

DDS (Ver_09-12-01.01) - NTFSx86

Run by Roger at 13:05:50,90 on 23/12/2009

Internet Explorer: 8.0.6001.18702 BrowserJavaVersion: 1.6.0_17

Microsoft Windows XP Édition familiale 5.1.2600.2.1252.33.1036.18.1279.679 [GMT 1:00]

 

AV: Bitdefender Antivirus *On-access scanning enabled* (Updated) {6C4BB89C-B0ED-4F41-A29C-4373888923BB}

FW: BitDefender Antivirus Plus v10 *disabled* {4055920F-2E99-48A8-A270-4243D2B8F242}

 

============== Running Processes ===============

 

C:\WINDOWS\system32\svchost -k DcomLaunch

svchost.exe

C:\WINDOWS\System32\svchost.exe -k netsvcs

svchost.exe

svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

svchost.exe

C:\WINDOWS\System32\svchost.exe -k Akamai

C:\WINDOWS\System32\svchost.exe -k HTTPFilter

C:\Program Files\Java2\jre6\bin\jqs.exe

C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe

C:\WINDOWS\system32\svchost.exe -k imgsvc

C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe

C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe

C:\Program Files\Softwin\BitDefender10\bdagent.exe

C:\Program Files\Logicool\Logicool WebCam Software\LWS.exe

C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Microsoft ActiveSync\wcescomm.exe

C:\Program Files\Windows Media Player\WMPNSCFG.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Logicool\Logicool Vid\vid.exe

C:\PROGRA~1\MICROS~3\rapimgr.exe

C:\Program Files\Fichiers communs\Logishrd\LQCVFX\COCIManager.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe

C:\Program Files\Softwin\BitDefender10\vsserv.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Documents and Settings\Roger\Mes documents\Téléchargements\dds.scr

 

============== Pseudo HJT Report ===============

 

uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8

uStart Page = hxxp://www.google.fr/

uDefault_Page_URL = hxxp://www.dailymotion.com/fr

mStart Page = hxxp://www.dailymotion.com/fr

mDefault_Page_URL = hxxp://www.dailymotion.com/fr

uInternet Connection Wizard,ShellNext = hxxp://go.divx.com/divx/webplayerdemo/fr?yrv=1&yoc=divx&ydt=divxdotcom&ybt=DFW&ybv=6.8&yo=ietyie7

BHO: Aide pour le lien d'Adobe PDF Reader: {06849e9f-c8d7-4d59-b87d-784b7d6be0b3} - c:\program files\fichiers communs\adobe\acrobat\activex\AcroIEHelper.dll

BHO: Programme d'aide de l'Assistant de connexion Windows Live: {9030d464-4c02-4abf-8ecc-5164760863c6} - c:\program files\fichiers communs\microsoft shared\windows live\WindowsLiveLogin.dll

BHO: Java Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\program files\java2\jre6\bin\jp2ssv.dll

BHO: Windows Live Toolbar Helper: {e15a8dc0-8516-42a1-81ea-dc94ec1acf10} - c:\program files\windows live\toolbar\wltcore.dll

BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - c:\program files\java2\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

TB: &Windows Live Toolbar: {21fa44ef-376d-4d53-9b0f-8a89d3229068} - c:\program files\windows live\toolbar\wltcore.dll

TB: {D4027C7F-154A-4066-A1AD-4243D8127440} - No File

uRun: [MsnMsgr] "c:\program files\windows live\messenger\MsnMsgr.Exe" /background

uRun: [ctfmon.exe] c:\windows\system32\ctfmon.exe

uRun: [H/PC Connection Agent] "c:\program files\microsoft activesync\wcescomm.exe"

uRun: [WMPNSCFG] c:\program files\windows media player\WMPNSCFG.exe

uRun: [MSMSGS] "c:\program files\messenger\msmsgs.exe" /background

uRun: [Logicool Vid] "c:\program files\logicool\logicool vid\vid.exe" -bootmode

mRun: [bDMCon] c:\progra~1\softwin\bitdef~1\bdmcon.exe

mRun: [bDAgent] "c:\program files\softwin\bitdefender10\bdagent.exe"

mRun: [LogicoolQCamRibbon] "c:\program files\logicool\logicool webcam software\LWS.exe" /hide

IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\program files\messenger\msmsgs.exe

IE: {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - {5F7B1267-94A9-47F5-98DB-E99415F33AEC} - c:\program files\windows live\writer\WriterBrowserExtension.dll

IE: {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - {2EAF5BB0-070F-11D3-9307-00C04FAE2D4F} - c:\progra~1\micros~3\INetRepl.dll

IE: {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - {2EAF5BB0-070F-11D3-9307-00C04FAE2D4F} - c:\progra~1\micros~3\INetRepl.dll

DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} - hxxp://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab

DPF: {17492023-C23A-453E-A040-C7C580BBF700} - hxxp://download.microsoft.com/download/C/0/C/C0CBBA88-A6F2-48D9-9B0E-1719D1177202/LegitCheckControl.cab

DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} - hxxp://upload.facebook.com/controls/2009.07.28_v5.5.8.1/FacebookPhotoUploader55.cab

DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab

DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} - hxxp://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab

DPF: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab

DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab

DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

AppInit_DLLs: sockspy.dll

SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\WPDShServiceObj.dll

LSA: Notification Packages = scecli scecli scecli

 

================= FIREFOX ===================

 

FF - ProfilePath - c:\docume~1\roger\applic~1\mozilla\firefox\profiles\bknp7rxc.default\

FF - plugin: c:\program files\java2\jre6\bin\new_plugin\npdeploytk.dll

FF - plugin: c:\program files\java2\jre6\bin\new_plugin\npjp2.dll

FF - plugin: c:\program files\windows live\photo gallery\NPWLPG.dll

FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\microsoft.net\framework\v3.5\windows presentation foundation\dotnetassistantextension\

FF - HiddenExtension: Java Console: No Registry Reference - c:\program files\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}

 

---- FIREFOX POLICIES ----

c:\program files\mozilla firefox\greprefs\security-prefs.js - pref("security.ssl3.rsa_seed_sha", true);

 

============= SERVICES / DRIVERS ===============

 

R0 AVG Anti-Rootkit;AVG Anti-Rootkit;c:\windows\system32\drivers\avgarkt.sys [2007-1-31 5632]

R1 AvgArCln;Avg Anti-Rootkit Clean Driver;c:\windows\system32\drivers\AvgArCln.sys [2009-12-22 3968]

R2 Akamai;Akamai NetSession Interface;c:\windows\system32\svchost.exe -k Akamai [2004-8-5 14336]

R2 fssfltr;FssFltr;c:\windows\system32\drivers\fssfltr_tdi.sys [2009-3-16 54752]

S3 fsssvc;Service Windows Live Contrôle parental;c:\program files\windows live\family safety\fsssvc.exe [2009-8-5 704864]

S3 FsUsbExDisk;FsUsbExDisk;c:\windows\system32\FsUsbExDisk.Sys [2009-4-5 36608]

S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [2009-12-21 38224]

S3 MRVW225;54M Wireless USB Adapter Dirver for Windows XP;c:\windows\system32\drivers\MRVW225.sys [2008-7-3 299776]

S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\gamemon.des -service --> c:\windows\system32\GameMon.des -service [?]

S4 gupdate1c9c45088955c8c;Service Google Update (gupdate1c9c45088955c8c);"c:\program files\google\update\googleupdate.exe" /svc --> c:\program files\google\update\GoogleUpdate.exe [?]

 

=============== Created Last 30 ================

 

2009-12-22 10:08:11 73728 ----a-w- c:\windows\system32\javacpl.cpl

2009-12-22 10:07:30 0 d-----w- c:\program files\Java2

2009-12-22 09:06:18 0 d-----w- c:\program files\Trend Micro

2009-12-22 06:58:30 3968 ----a-w- c:\windows\system32\drivers\AvgArCln.sys

2009-12-21 19:35:15 411368 ----a-w- c:\windows\system32\deploytk.dll

2009-12-21 19:11:40 0 d-----w- c:\program files\Navilog1

2009-12-21 19:08:09 0 d-----w- c:\windows\system32\CatRoot2

2009-12-21 18:58:37 252928 ----a-r- c:\windows\system32\drivers\rt73.sys

2009-12-21 14:03:51 0 d-----w- c:\docume~1\roger\applic~1\Malwarebytes

2009-12-21 14:03:31 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2009-12-21 14:03:27 19160 ----a-w- c:\windows\system32\drivers\mbam.sys

2009-12-21 14:03:27 0 d-----w- c:\docume~1\alluse~1\applic~1\Malwarebytes

2009-12-21 14:03:26 0 d-----w- c:\program files\Malwarebytes' Anti-Malware

2009-12-15 10:30:12 0 d-----w- c:\program files\Enigma Software Group

2009-12-07 20:24:05 0 d-----w- c:\program files\BitTorrent

2009-11-25 16:07:20 0 d-----w- C:\Need4Video files

2009-11-24 23:35:44 0 d-----w- c:\program files\Need4 Software Launcher

2009-11-24 23:35:27 0 d-----w- c:\program files\Need4 Video Converter 6

 

==================== Find3M ====================

 

2009-12-23 12:01:43 81984 ----a-w- c:\windows\system32\bdod.bin

2009-12-15 16:57:53 81506 ----a-w- c:\windows\system32\perfc00C.dat

2009-12-15 16:57:53 502070 ----a-w- c:\windows\system32\perfh00C.dat

2009-11-09 07:36:44 265797 ----a-w- c:\windows\system32\pdvcodec.dll

2009-10-29 07:42:33 916480 ----a-w- c:\windows\system32\wininet.dll

2009-10-21 06:03:11 75776 ----a-w- c:\windows\system32\strmfilt.dll

2009-10-21 06:03:10 25088 ----a-w- c:\windows\system32\httpapi.dll

2009-10-13 10:52:18 267776 ----a-w- c:\windows\system32\oakley.dll

2009-10-12 13:52:51 69632 ----a-w- c:\windows\system32\raschap.dll

2009-10-12 13:52:51 113152 ----a-w- c:\windows\system32\rastls.dll

 

============= FINISH: 13:06:58,48 ===============

 

 

Merci, a +

[Falkra]

Rien d'anormal là dedans, je vais te demander un rapport plus gros.

 

Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau. Cet outil va faire un état des lieux, lire la configuration, comme HijackThis, mais en plus détaillé.

• Double-clique sur RSIT.exe afin de lancer RSIT.
  
• Clique Continue à l'écran Disclaimer.
  
• Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
  
• Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché) ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).
  
• NB : Les rapports sont sauvegardés dans le dossier C:\rsit
  Ca fait deux rapports donc. Comme ils sont longs, tu peux faire 2 réponses, une par rapport.