problème keylogger

[animowish]

Bonjour à tous j'ai un gros problème depuis aujourd'hui, j'ai fait un scan avec avira mais on dirait qu'il tourne en boucle et je n'arrive pas à la fin de son scan, il m'a trouver 4 objets caché, j'ai fait un scan malwarebyte et lui n'a rien trouver. pourriez vous m'aider à supprimer tout ça merci beaucoup .

 

 

La recherche d'objets cachés commence.

HKEY_USERS\S-1-5-21-842925246-1958367476-1801674531-1003\Software\Microsoft\MSNMessenger\SQM\sessiontime

[REMARQUE] L'entrée d'enregistrement n'est pas visible.

HKEY_USERS\S-1-5-21-842925246-1958367476-1801674531-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D27CDB6E-AE6D-11CF-96B8-444553540000}\iexplore\time

[REMARQUE] L'entrée d'enregistrement n'est pas visible.

HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{BEB3C0C7-B648-4257-96D9-B5D024816E27}\Version\version

[REMARQUE] L'entrée d'enregistrement n'est pas visible.

HKEY_LOCAL_MACHINE\Software\Minnetonka Audio Software\SurCode Dolby Digital Premiere\Version\version

[REMARQUE] L'entrée d'enregistrement n'est pas visible.

et voila le fichier hijackthis

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 23:35:14, on 02/10/2010

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir Desktop\sched.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Avira\AntiVir Desktop\avguard.exe

C:\Program Files\GIGABYTE\EnergySaver\GSvr.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Program Files\Avira\AntiVir Desktop\avshadow.exe

C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Avira\AntiVir Desktop\avgnt.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\CyberLink\PowerDVD10\PDVD10Serv.exe

C:\Program Files\Cyberlink\Shared files\brs.exe

C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe

C:\Program Files\COMODO\COMODO Internet Security\cfp.exe

C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\Program Files\Spamihilator\spamihilator.exe

C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe

C:\Program Files\Avira\AntiVir Desktop\avmailc.exe

C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE

C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe

C:\Program Files\HP\Digital Imaging\bin\hpqbam08.exe

C:\Program Files\HP\Digital Imaging\bin\hpqgpc01.exe

C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_clipbook.exe

C:\Program Files\Windows Live\Messenger\msnmsgr.exe

C:\Program Files\Windows Live\Contacts\wlcomm.exe

C:\Program Files\Windows Live\Messenger\msnmsgr.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\dllhost.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157'>http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896'>http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://download.gigabyte.com.tw/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: DeviceVM Url Search Hook - {0063BF63-BFFF-4B8F-9D26-4267DF7F17DD} - C:\WINDOWS\system32\dvmurl.dll

O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office14\GROOVEEX.DLL

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~1\MICROS~2\Office14\URLREDIR.DLL

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll

O4 - HKLM\..\Run: [GEST] =

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Program Files\Fichiers communs\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin

O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Program Files\LogMeIn\x86\LogMeInSystray.exe"

O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s

O4 - HKLM\..\Run: [Amazing3DAquariumWallpaper] C:\Program Files\The Big Corals - Animated 3D Wallpaper\wallpaper.exe

O4 - HKLM\..\Run: [startCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [RemoteControl10] "C:\Program Files\CyberLink\PowerDVD10\PDVD10Serv.exe"

O4 - HKLM\..\Run: [bDRegion] C:\Program Files\Cyberlink\Shared files\brs.exe

O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray

O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Program Files\COMODO\COMODO Internet Security\cfp.exe" -h

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"

O4 - HKLM\..\Run: [bCSSync] "C:\Program Files\Microsoft Office\Office14\BCSSync.exe" /DelayServices

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: Spamihilator.lnk = C:\Program Files\Spamihilator\spamihilator.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O8 - Extra context menu item: &Envoyer à OneNote - res://C:\PROGRA~1\MICROS~2\Office14\ONBttnIE.dll/105

O8 - Extra context menu item: &Télécharger avec NetTransport - C:\Program Files\Xi\NetTransport 2\NTAddLink.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office14\EXCEL.EXE/3000

O8 - Extra context menu item: Tout t&élécharger avec NetTransport - C:\Program Files\Xi\NetTransport 2\NTAddList.html

O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office\Office14\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office\Office14\ONBttnIE.dll

O9 - Extra button: Notes &liées OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files\Microsoft Office\Office14\ONBttnIELinkedNotes.dll

O9 - Extra 'Tools' menuitem: Notes &liées OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files\Microsoft Office\Office14\ONBttnIELinkedNotes.dll

O9 - Extra button: Afficher ou masquer l'HP Smart Web Printing - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} - http://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/MessengerGamesContent/GameContent/fr/uno1/GAME_UNO1.cab

O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/PhtPkMSN.cab

O16 - DPF: {A1F2F2CE-06AF-483C-9F12-D3BAA72477D6} (BatchDownloader Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/DigWXMSN.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab

O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://secure.logmein.com/activex/ractrl.cab?lmi=100

O18 - Filter hijack: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE14\MSOXMLMF.DLL

O20 - AppInit_DLLs:

O23 - Service: Avira AntiVir MailGuard (AntiVirMailService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avmailc.exe

O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Avira AntiVir WebGuard (AntiVirWebService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - COMODO - C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe

O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: GEST Service for program management. (GEST Service) - Unknown owner - C:\Program Files\GIGABYTE\EnergySaver\GSvr.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe

O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe

 

--

End of file - 12189 bytes

Modifié le 2 octobre 2010 par animowish

[animowish]

J'ai réussi à faire un scan avec avira en ne scannant que mon c: et en faisant une rercherche local qui à durer assez longtemps 1h43, il m'a dit ceci, j'ai fait un scan aussi avec le module de kaspersky gratuit, lui ne m'a rien détecter. Merci d'avançe.

 

Avira AntiVir Premium

Date de création du fichier de rapport : dimanche 3 octobre 2010 12:11

 

La recherche porte sur 2894943 souches de virus.

 

Le programme fonctionne en version intégrale.

Les services en ligne sont disponibles.

 

Détenteur de la licence : gfdsgfdds dgfsgfddfgs

Numéro de série : 2210145833-PEPWE-0000001

Plateforme : Windows XP

Version de Windows : (Service Pack 3) [5.1.2600]

Mode Boot : Démarré normalement

Identifiant : Animowish

Nom de l'ordinateur : ANIMOWIS-39BD24

 

Informations de version :

BUILD.DAT : 10.0.0.81 35931 Bytes 27/08/2010 08:01:00

AVSCAN.EXE : 10.0.3.1 434344 Bytes 01/10/2010 20:34:11

AVSCAN.DLL : 10.0.3.0 56168 Bytes 01/10/2010 20:34:11

LUKE.DLL : 10.0.2.3 104296 Bytes 01/10/2010 20:34:23

LUKERES.DLL : 10.0.0.0 13672 Bytes 01/10/2010 20:34:23

VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 17:03:05

VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 17:03:06

VBASE002.VDF : 7.10.3.1 3143680 Bytes 20/01/2010 17:03:09

VBASE003.VDF : 7.10.3.75 996864 Bytes 26/01/2010 17:03:09

VBASE004.VDF : 7.10.4.203 1579008 Bytes 05/03/2010 17:03:10

VBASE005.VDF : 7.10.6.82 2494464 Bytes 15/04/2010 12:33:06

VBASE006.VDF : 7.10.7.218 2294784 Bytes 02/06/2010 15:03:41

VBASE007.VDF : 7.10.9.165 4840960 Bytes 23/07/2010 06:59:25

VBASE008.VDF : 7.10.11.133 3454464 Bytes 13/09/2010 13:01:54

VBASE009.VDF : 7.10.11.134 2048 Bytes 13/09/2010 13:01:54

VBASE010.VDF : 7.10.11.135 2048 Bytes 13/09/2010 13:01:54

VBASE011.VDF : 7.10.11.136 2048 Bytes 13/09/2010 13:01:54

VBASE012.VDF : 7.10.11.137 2048 Bytes 13/09/2010 13:01:54

VBASE013.VDF : 7.10.11.165 172032 Bytes 15/09/2010 11:11:09

VBASE014.VDF : 7.10.11.202 144384 Bytes 18/09/2010 15:25:28

VBASE015.VDF : 7.10.11.231 129024 Bytes 21/09/2010 11:20:16

VBASE016.VDF : 7.10.12.4 126464 Bytes 23/09/2010 11:09:04

VBASE017.VDF : 7.10.12.38 146944 Bytes 27/09/2010 15:09:24

VBASE018.VDF : 7.10.12.64 133120 Bytes 29/09/2010 10:52:03

VBASE019.VDF : 7.10.12.99 134144 Bytes 01/10/2010 17:06:57

VBASE020.VDF : 7.10.12.100 2048 Bytes 01/10/2010 17:06:57

VBASE021.VDF : 7.10.12.101 2048 Bytes 01/10/2010 17:06:57

VBASE022.VDF : 7.10.12.102 2048 Bytes 01/10/2010 17:06:57

VBASE023.VDF : 7.10.12.103 2048 Bytes 01/10/2010 17:06:57

VBASE024.VDF : 7.10.12.104 2048 Bytes 01/10/2010 17:06:57

VBASE025.VDF : 7.10.12.105 2048 Bytes 01/10/2010 17:06:57

VBASE026.VDF : 7.10.12.106 2048 Bytes 01/10/2010 17:06:57

VBASE027.VDF : 7.10.12.107 2048 Bytes 01/10/2010 17:06:57

VBASE028.VDF : 7.10.12.108 2048 Bytes 01/10/2010 17:06:57

VBASE029.VDF : 7.10.12.109 2048 Bytes 01/10/2010 17:06:57

VBASE030.VDF : 7.10.12.110 2048 Bytes 01/10/2010 17:06:57

VBASE031.VDF : 7.10.12.111 2048 Bytes 01/10/2010 17:06:58

Version du moteur : 8.2.4.72

AEVDF.DLL : 8.1.2.1 106868 Bytes 29/07/2010 17:15:59

AESCRIPT.DLL : 8.1.3.45 1368443 Bytes 17/09/2010 15:09:03

AESCN.DLL : 8.1.6.1 127347 Bytes 12/05/2010 16:55:50

AESBX.DLL : 8.1.3.1 254324 Bytes 23/04/2010 14:46:00

AERDL.DLL : 8.1.9.2 635252 Bytes 21/09/2010 15:20:19

AEPACK.DLL : 8.2.3.7 471413 Bytes 17/09/2010 15:09:02

AEOFFICE.DLL : 8.1.1.8 201081 Bytes 21/07/2010 16:56:44

AEHEUR.DLL : 8.1.2.30 2941303 Bytes 01/10/2010 12:19:02

AEHELP.DLL : 8.1.13.4 242038 Bytes 24/09/2010 16:09:35

AEGEN.DLL : 8.1.3.23 401779 Bytes 01/10/2010 12:19:00

AEEMU.DLL : 8.1.2.0 393588 Bytes 23/04/2010 14:45:58

AECORE.DLL : 8.1.17.0 196982 Bytes 24/09/2010 16:09:35

AEBB.DLL : 8.1.1.0 53618 Bytes 23/04/2010 14:45:58

AVWINLL.DLL : 10.0.0.0 19304 Bytes 01/10/2010 20:34:02

AVPREF.DLL : 10.0.0.0 44904 Bytes 01/10/2010 20:34:10

AVREP.DLL : 10.0.0.8 62209 Bytes 01/10/2010 20:34:10

AVREG.DLL : 10.0.3.2 53096 Bytes 01/10/2010 20:34:10

AVSCPLR.DLL : 10.0.3.1 83816 Bytes 01/10/2010 20:34:11

AVARKT.DLL : 10.0.0.14 227176 Bytes 01/10/2010 20:34:06

AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 01/10/2010 20:34:08

SQLITE3.DLL : 3.6.19.0 355688 Bytes 01/10/2010 20:34:27

AVSMTP.DLL : 10.0.0.17 63848 Bytes 01/10/2010 20:34:12

NETNT.DLL : 10.0.0.0 11624 Bytes 01/10/2010 20:34:23

RCIMAGE.DLL : 10.0.0.32 2631528 Bytes 01/10/2010 20:34:04

RCTEXT.DLL : 10.0.58.0 99688 Bytes 01/10/2010 20:34:04

 

Configuration pour la recherche actuelle :

Nom de la tâche...............................: Détection de rootkits et logiciels malveillants actifs

Fichier de configuration......................: C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\PROFILES\rootkit.avp

Documentation.................................: bas

Action principale.............................: interactif

Action secondaire.............................: supprimer

Recherche sur les secteurs d'amorçage maître..: marche

Recherche sur les secteurs d'amorçage.........: marche

Recherche dans les programmes actifs..........: marche

Programmes en cours étendus...................: marche

Recherche en cours sur l'enregistrement.......: marche

Recherche de Rootkits.........................: marche

Contrôle d'intégrité de fichiers système......: arrêt

Fichier mode de recherche.....................: Tous les fichiers

Recherche sur les archives....................: marche

Limiter la profondeur de récursivité..........: 20

Archive Smart Extensions......................: marche

Heuristique de macrovirus.....................: marche

Heuristique fichier...........................: élevé

 

Début de la recherche : dimanche 3 octobre 2010 12:11

 

La recherche d'objets cachés commence.

HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{BEB3C0C7-B648-4257-96D9-B5D024816E27}\Version\version

[REMARQUE] L'entrée d'enregistrement n'est pas visible.

HKEY_LOCAL_MACHINE\Software\Minnetonka Audio Software\SurCode Dolby Digital Premiere\Version\version

[REMARQUE] L'entrée d'enregistrement n'est pas visible.

 

La recherche sur les processus démarrés commence :

Processus de recherche 'msdtc.exe' - '42' module(s) sont contrôlés

Processus de recherche 'dllhost.exe' - '61' module(s) sont contrôlés

Processus de recherche 'dllhost.exe' - '47' module(s) sont contrôlés

Processus de recherche 'vssvc.exe' - '50' module(s) sont contrôlés

Processus de recherche 'avscan.exe' - '69' module(s) sont contrôlés

Processus de recherche 'iexplore.exe' - '150' module(s) sont contrôlés

Processus de recherche 'hpswp_clipbook.exe' - '30' module(s) sont contrôlés

Processus de recherche 'iexplore.exe' - '153' module(s) sont contrôlés

Processus de recherche 'iexplore.exe' - '74' module(s) sont contrôlés

Processus de recherche 'hpqgpc01.exe' - '44' module(s) sont contrôlés

Processus de recherche 'hpqbam08.exe' - '29' module(s) sont contrôlés

Processus de recherche 'hpqSTE08.exe' - '61' module(s) sont contrôlés

Processus de recherche 'alg.exe' - '37' module(s) sont contrôlés

Processus de recherche 'wmiapsrv.exe' - '47' module(s) sont contrôlés

Processus de recherche 'ccc.exe' - '176' module(s) sont contrôlés

Processus de recherche 'AVWEBGRD.EXE' - '39' module(s) sont contrôlés

Processus de recherche 'avmailc.exe' - '32' module(s) sont contrôlés

Processus de recherche 'spamihilator.exe' - '54' module(s) sont contrôlés

Processus de recherche 'MOM.exe' - '57' module(s) sont contrôlés

Processus de recherche 'hpqtra08.exe' - '74' module(s) sont contrôlés

Processus de recherche 'msmsgs.exe' - '44' module(s) sont contrôlés

Processus de recherche 'ctfmon.exe' - '29' module(s) sont contrôlés

Processus de recherche 'jusched.exe' - '24' module(s) sont contrôlés

Processus de recherche 'mbamgui.exe' - '20' module(s) sont contrôlés

Processus de recherche 'brs.exe' - '22' module(s) sont contrôlés

Processus de recherche 'PDVD10Serv.exe' - '26' module(s) sont contrôlés

Processus de recherche 'realsched.exe' - '29' module(s) sont contrôlés

Processus de recherche 'avgnt.exe' - '59' module(s) sont contrôlés

Processus de recherche 'RTHDCPL.EXE' - '41' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '41' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '32' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '32' module(s) sont contrôlés

Processus de recherche 'NBService.exe' - '46' module(s) sont contrôlés

Processus de recherche 'MDM.EXE' - '24' module(s) sont contrôlés

Processus de recherche 'avshadow.exe' - '28' module(s) sont contrôlés

Processus de recherche 'mbamservice.exe' - '43' module(s) sont contrôlés

Processus de recherche 'jqs.exe' - '90' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '46' module(s) sont contrôlés

Processus de recherche 'GSvr.exe' - '19' module(s) sont contrôlés

Processus de recherche 'Explorer.EXE' - '122' module(s) sont contrôlés

Processus de recherche 'avguard.exe' - '62' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '36' module(s) sont contrôlés

Processus de recherche 'sched.exe' - '49' module(s) sont contrôlés

Processus de recherche 'Ati2evxx.exe' - '34' module(s) sont contrôlés

Processus de recherche 'spoolsv.exe' - '66' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '41' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '35' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '167' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '42' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '56' module(s) sont contrôlés

Processus de recherche 'Ati2evxx.exe' - '31' module(s) sont contrôlés

Processus de recherche 'lsass.exe' - '61' module(s) sont contrôlés

Processus de recherche 'services.exe' - '29' module(s) sont contrôlés

Processus de recherche 'winlogon.exe' - '78' module(s) sont contrôlés

Processus de recherche 'csrss.exe' - '14' module(s) sont contrôlés

Processus de recherche 'smss.exe' - '2' module(s) sont contrôlés

 

La recherche sur les renvois aux fichiers exécutables (registre) commence :

Le registre a été contrôlé ( '487' fichiers).

 

 

La recherche sur les fichiers sélectionnés commence :

 

Recherche débutant dans 'C:'

 

 

Fin de la recherche : dimanche 3 octobre 2010 13:55

Temps nécessaire: 1:43:49 Heure(s)

 

La recherche a été effectuée intégralement

 

35996 Les répertoires ont été contrôlés

1084645 Des fichiers ont été contrôlés

0 Des virus ou programmes indésirables ont été trouvés

0 Des fichiers ont été classés comme suspects

0 Des fichiers ont été supprimés

0 Des virus ou programmes indésirables ont été réparés

0 Les fichiers ont été déplacés dans la quarantaine

0 Les fichiers ont été renommés

0 Impossible de scanner des fichiers

1084645 Fichiers non infectés

7378 Les archives ont été contrôlées

0 Avertissements

0 Consignes

575905 Des objets ont été contrôlés lors du Rootkitscan

2 Des objets cachés ont été trouvés

[Apollo]

Bonjour,

 

Des objets cachés ne sont pas forcément des malwares, certains programmes cachent un peu de leur fichiers.

 

Qu'appelles-tu module gratuit de Kaspersky? Le Virus Removal Tool? Si c'est lui, il est rassurant de savoir qu'il n'a rien trouvé.

 

Télécharge TDSSKiller.zip de Kaspersky sur ton bureau.

 

Décompresse-le. (clic droit/extraire ici).

 

Besoin d'un utilitaire de décompression? 7Zip

 

Télécharger le fichier non-compressé: http://support.kaspersky.com/downloads/utils/tdsskiller.exe

 

Ouvre le dossier si la décompression a donné un répertoire TDSSKiller.

 

Double-clique sur TDSSKiller.exe

L'écran de TDSSKiller s'affiche:

 

 

 

Cliquer sur Start scan pour lancer l'analyse.

 

Lorsque l'outil a terminé son travail d'inspection, si des nuisibles ("Malicious objects") ont été trouvés,

vérifier que l'option Cure est sélectionnée, puis cliquer sur le bouton Continue puis sur le bouton Reboot now.

 

Envoyer en réponse:

*- Le rapport de TDSSKiller (contenu du fichier SystemDrive \TDSSKiller.Version_Date_Heure_log.txt)

[systemDrive représente la partition sur laquelle est installé le système, généralement C:] .

 

 

----------------------------------------------------------

 

Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.

 

Pour les systèmes 64 Bits: Télécharger RSIT 64 Bits

 

• Double-clique sur RSIT.exe afin de lancer RSIT. Pour XP
   
  Important :
  * Sous Vista : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
   
  * Sous Windows 7 : Il faut mettre le fichier RSIT.exe sur le bureau, faire un clic droit dessus et dans Propriétés, onglet Compatibilité, cocher la case "Exécuter ce programme en mode compatibilité pour" et dans le menu choisir Vista SP2 et la case dans Niveau de privilège.
  Valide par Appliquer.
   
  
• Clique Continue à l'écran Disclaimer.
  
• Si l'outil HIjackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.
  
• Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché)
  ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).
  

 

>>>Héberge le "info.txt" ici: Cijoint.fr - Service gratuit de dépôt de fichiers et me donner le liens pour que je puisse le consulter.

 

Pour l'instant, il vaut mieux procéder de la sorte pour ne pas planter le sujet du forum.

 

Je regarderai ça demain.

 

@++

[animowish]

merci beaucoup pour l'aide que tu m'apportes, pour kaspersky non, j'ai utiliser kaspersky online scanner.

 

voila ce qu'il m'a indiquer pour les deux tests.

 

Cijoint.fr - Service gratuit de dépôt de fichiers

Cijoint.fr - Service gratuit de dépôt de fichiers

http://www.cijoint.fr/cjlink.php?file=cj201010/cij9irIA8o.txt

Modifié le 4 octobre 2010 par animowish

[Apollo]

Bonjour,

 

Je ne vois rien d'anormal...

 

Quels sont les problèmes que tu rencontres effectivement?

 

@++

[animowish]

Les problèmes que je rencontre sont avec l'antivirus d'avira, qui m'a détecter les deux objets cachés qu'aucun n'autre ne trouve et qui n'arrête pas de scanner en boucle les fichiers. Il tournait en boucle pendant environ 4h, alors qu'auparavant ce problème il marchait correctement et en une heure arrivait à tout scanner, mais ce qui est étrange c'est que c'est deux objets caché, je n'ai jamais installer minnetonka.

 

HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{BEB3C0C7-B648-4257-96D9-B5D024816E27}\Version\version

[REMARQUE] L'entrée d'enregistrement n'est pas visible.

HKEY_LOCAL_MACHINE\Software\Minnetonka Audio Software\SurCode Dolby Digital Premiere\Version\version

[REMARQUE] L'entrée d'enregistrement n'est pas visible.

[Apollo]

Désactive ton antivirus puis télécharge GMER Rootkit Scanner (Clique sur le bouton Download EXE pour lancer le téléchargement) et enregistre le sur ton bureau.

 

• Imprime les instructions de cette page pour les avoir sous les yeux (ou copie-colle les dans le bloc-notes): il va falloir fermer ton navigateur
  
• Ferme toutes les fenêtres de tous les programmes en cours d'exécution y compris celles de ton navigateur
  
• Si tu es sous Vista/Seven, Clique droit sur le fichier que tu viens de télécharger et choisis Exécuter en tant qu'administrateur.
  Si tu es sous XP, Double-clique sur le fichier que tu viens de télécharger pour lancer son exécution.
  Une courte analyse va se lancer. Attends qu'elle soit terminée.
  :att: Si l'outil te lance un warning d'activité de rootkit et te demande de faire un scan ; clique "NO"
  
• Dans la partie droite de la fenêtre assure-toi que "Show All" est décoché et ne laisse cochée que la partition système (généralement C:)
   
  
• Clique sur le bouton Scan et patiente tout le temps du scan.
  
• A la fin de l'analyse, clique sur le bouton Save
  
• Sauvegarde le rapport sur ton bureau et appelle le Ark.
  
• Ouvre le fichier Ark.log qui est sur ton bureau et copie/colle tout son contenu dans ta prochaine réponse.

[animowish]

recoucou j'ai un petit problème pour effectuer le scan j'ai essayer deux fois, mais en cours d'analyse il relançe mon ordi sans que le scan soit terminer :-/

[Apollo]

Le logiciel qui suit n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.

Ne pas utiliser en dehors de ce cas de figure.

 

Désactive ton antivirus, firewall et antispyware le temps de l'analyse.

 

Connecter les supports amovibles (clé usb et autres) avant de procéder.

 

Tutoriel officiel

 

Télécharge ComboFix sur ton bureau (et pas ailleurs).

• Si la console de récupération n'est pas installée sur un XP, ComboFix va proposer de l'installer: Accepter!
   
  
   
  
• Assure toi que tous les programmes soient fermés avant de commencer.
  
• Double-clique ComboFix.exe afin de l'exécuter.
  
• Clique sur "Oui" au message de Limitation de Garantie qui s'affiche.
  
• Il est possible que ton pare-feu (firewall) te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sûre: accepte.
  
• Ne ferme pas la fenêtre qui vient de s'ouvrir, tu te retrouverais avec un bureau vide.
  
• Lorsque l'analyse sera terminée, un rapport apparaîtra.
  
• Copie-colle ce rapport dans ta prochaine réponse.
  Le rapport se trouve dans : C:\Combofix.txt (si jamais).

 

Si tu perds la connexion après le passage de ComboFix, voici comment la réparer ICI.

 

NB: Si malgré tout, tu ne parviens pas à réparer la connexion, lis ce sujet stp.

 

Si le message: "Tentative d'opération non autorisée sur une clé du Registre marquée pour suppression".

apparaissait, redémarrer le pc.

 

 

++

[animowish]

voila le rapport que j'ai reçu

 

 

ComboFix 10-10-03.01 - Animowish 04/10/2010 14:33:15.1.2 - x86

Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.2046.1346 [GMT 2:00]

Lancé depuis: c:\documents and settings\Animowish\Bureau\ComboFix.exe

AV: AntiVir Desktop *On-access scanning disabled* (Updated) {C19476D9-52BC-4E93-8AF3-CCF59F7AE8FE}

FW: COMODO Firewall *disabled* {043803A3-4F86-4ef6-AFC5-F6E02A79969B}

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\windows\system32\Process.exe

c:\windows\system32\scvideo.dll

c:\windows\system32\SrchSTS.exe

D:\win.txt

 

.

((((((((((((((((((((((((((((( Fichiers créés du 2010-09-04 au 2010-10-04 ))))))))))))))))))))))))))))))))))))

.

 

2010-10-04 08:58 . 2010-10-04 08:59 -------- d-----w- C:\rsit

2010-10-02 16:25 . 2010-10-02 16:25 -------- d-----w- c:\documents and settings\LocalService\Bureau

2010-09-25 18:47 . 2010-09-25 18:47 -------- d-----w- c:\program files\Microsoft Synchronization Services

2010-09-25 18:46 . 2010-09-25 18:46 -------- d-----w- c:\documents and settings\All Users\Microsoft

2010-09-25 18:46 . 2010-09-25 18:46 -------- d-----w- c:\program files\Microsoft.NET

2010-09-25 18:46 . 2010-09-25 18:46 -------- d-----w- c:\program files\Microsoft Sync Framework

2010-09-25 18:46 . 2010-09-25 18:46 -------- d-----w- c:\program files\Microsoft SQL Server Compact Edition

2010-09-25 18:40 . 2010-09-25 18:40 -------- d-----w- c:\program files\Microsoft Visual Studio 8

2010-09-25 18:38 . 2010-09-25 18:38 -------- d-----w- c:\program files\Microsoft Analysis Services

2010-09-25 18:38 . 2010-09-25 18:38 -------- d-----w- c:\documents and settings\Animowish\Local Settings\Application Data\Microsoft Help

2010-09-25 18:38 . 2010-09-25 22:08 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-10-04 12:28 . 2009-05-16 13:06 -------- d-----w- c:\documents and settings\Animowish\Application Data\Spamihilator

2010-10-04 12:23 . 2009-02-14 21:59 16608 ----a-w- c:\windows\gdrv.sys

2010-10-04 12:17 . 2009-05-06 13:08 -------- d-----w- c:\documents and settings\Animowish\Application Data\HPAppData

2010-10-04 08:58 . 2009-05-16 13:21 -------- d-----w- c:\program files\Trend Micro

2010-10-03 16:15 . 2009-05-16 11:05 -------- d-----w- c:\program files\Spybot - Search & Destroy

2010-10-03 16:15 . 2009-05-16 11:05 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy

2010-10-02 14:13 . 2009-02-26 08:10 -------- d-----w- c:\documents and settings\Animowish\Application Data\dvdcss

2010-10-01 20:34 . 2010-03-24 17:10 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys

2010-10-01 20:34 . 2010-03-24 17:10 126856 ----a-w- c:\windows\system32\drivers\avipbb.sys

2010-10-01 20:34 . 2010-03-24 17:10 60936 ----a-w- c:\windows\system32\drivers\avgntflt.sys

2010-09-29 17:56 . 2009-05-18 21:38 -------- d-----w- c:\program files\Mozilla Firefox 3.5 Beta 4

2010-09-29 06:56 . 2010-06-01 17:00 285480 ----a-w- c:\windows\system32\guard32.dll

2010-09-29 06:56 . 2010-06-01 17:00 91560 ----a-w- c:\windows\system32\drivers\inspect.sys

2010-09-29 06:56 . 2010-06-04 09:55 239240 ----a-w- c:\windows\system32\drivers\cmdGuard.sys

2010-09-29 06:56 . 2010-06-01 17:00 25240 ----a-w- c:\windows\system32\drivers\cmdhlp.sys

2010-09-29 06:56 . 2010-06-01 17:00 15592 ----a-w- c:\windows\system32\drivers\cmderd.sys

2010-09-26 07:13 . 2009-02-14 23:05 69984 ----a-w- c:\documents and settings\Animowish\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

2010-09-25 18:48 . 2009-02-15 14:17 -------- d-----w- c:\program files\MSBuild

2010-08-17 21:43 . 2009-11-20 20:31 -------- d-----w- c:\program files\Spamihilator

2010-08-17 13:17 . 2008-04-14 12:00 58880 ----a-w- c:\windows\system32\spoolsv.exe

2010-08-16 13:16 . 2010-08-16 13:16 -------- d-----w- c:\program files\Fichiers communs\Java

2010-08-16 13:16 . 2009-02-28 08:49 -------- d-----w- c:\program files\Java

2010-08-15 19:12 . 2009-11-15 18:10 -------- d-----w- c:\program files\Messenger Plus! Live

2010-08-11 23:06 . 2008-04-14 12:00 81626 ----a-w- c:\windows\system32\perfc00C.dat

2010-08-11 23:06 . 2008-04-14 12:00 503656 ----a-w- c:\windows\system32\perfh00C.dat

2010-08-05 19:09 . 2010-08-05 19:09 503808 ----a-w- c:\documents and settings\Animowish\Application Data\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-6c7c45e6-n\msvcp71.dll

2010-08-05 19:09 . 2010-08-05 19:09 499712 ----a-w- c:\documents and settings\Animowish\Application Data\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-6c7c45e6-n\jmc.dll

2010-08-05 19:09 . 2010-08-05 19:09 348160 ----a-w- c:\documents and settings\Animowish\Application Data\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-6c7c45e6-n\msvcr71.dll

2010-08-05 19:09 . 2010-08-05 19:09 61440 ----a-w- c:\documents and settings\Animowish\Application Data\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-57cafd4c-n\decora-sse.dll

2010-08-05 19:09 . 2010-08-05 19:09 12800 ----a-w- c:\documents and settings\Animowish\Application Data\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-57cafd4c-n\decora-d3d.dll

2010-07-22 15:48 . 2008-04-14 12:00 590848 ----a-w- c:\windows\system32\rpcrt4.dll

2010-07-22 06:19 . 2008-05-05 05:25 5632 ----a-w- c:\windows\system32\xpsp4res.dll

2010-07-17 03:00 . 2010-06-24 20:20 423656 ----a-w- c:\windows\system32\deployJava1.dll

.

 

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"GEST"="=" [X]

"RTHDCPL"="RTHDCPL.EXE" [2009-02-03 18085888]

"AdobeCS4ServiceManager"="c:\program files\Fichiers communs\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2008-11-13 611712]

"LogMeIn GUI"="c:\program files\LogMeIn\x86\LogMeInSystray.exe" [2008-07-24 63048]

"CloneCDTray"="c:\program files\SlySoft\CloneCD\CloneCDTray.exe" [2006-09-28 57344]

"Amazing3DAquariumWallpaper"="c:\program files\The Big Corals - Animated 3D Wallpaper\wallpaper.exe" [2007-04-30 114688]

"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-07-02 98304]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760]

"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]

"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-10-01 281768]

"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2010-03-29 202256]

"RemoteControl10"="c:\program files\CyberLink\PowerDVD10\PDVD10Serv.exe" [2010-02-02 87336]

"BDRegion"="c:\program files\Cyberlink\Shared files\brs.exe" [2010-03-13 75048]

"Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2010-04-29 437584]

"COMODO Internet Security"="c:\program files\COMODO\COMODO Internet Security\cfp.exe" [2010-09-29 2500552]

"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-05-14 248552]

"BCSSync"="c:\program files\Microsoft Office\Office14\BCSSync.exe" [2010-03-13 91520]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

 

c:\documents and settings\Animowish\Menu D‚marrer\Programmes\D‚marrage\

Spamihilator.lnk - c:\program files\Spamihilator\spamihilator.exe [2010-8-17 1512448]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2008-3-25 214360]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LMIinit]

2009-10-01 14:17 87352 ----a-w- c:\windows\system32\LMIinit.dll

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Fichiers communs\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"=

"c:\\WINDOWS\\pchealth\\helpctr\\binaries\\HelpCtr.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpiscnapp.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqsudi.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqpsapp.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqpse.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqgplgtupl.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqgpc01.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqusgm.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqusgh.exe"=

"c:\\Program Files\\HP\\HP Software Update\\hpwucli.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\Smart Web Printing\\SmartWebPrintExe.exe"=

"c:\\Program Files\\Spamihilator\\spamihilator.exe"=

"c:\\Program Files\\Spamihilator\\cdcc.exe"=

"c:\\Program Files\\Spamihilator\\dccproc.exe"=

"c:\\Program Files\\Microsoft Office\\Office14\\GROOVE.EXE"=

"c:\\Program Files\\Microsoft Office\\Office14\\ONENOTE.EXE"=

"c:\\Program Files\\Microsoft Office\\Office14\\OUTLOOK.EXE"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"5353:TCP"= 5353:TCP:Adobe CSI CS4

 

R1 cmdGuard;COMODO Internet Security Sandbox Driver;c:\windows\system32\drivers\cmdGuard.sys [04/06/2010 11:55 239240]

R1 cmdHlp;COMODO Internet Security Helper Driver;c:\windows\system32\drivers\cmdhlp.sys [01/06/2010 19:00 25240]

R2 {1BA31E5A-C098-42d8-8F88-3C9F78A2FDDC};Power Control [2010/04/04 16:14];c:\program files\CyberLink\PowerDVD10\NavFilter\000.fcl [13/03/2010 12:58 87536]

R2 AntiVirMailService;Avira AntiVir MailGuard;c:\program files\Avira\AntiVir Desktop\avmailc.exe [24/03/2010 19:09 339624]

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [24/03/2010 19:10 135336]

R2 AntiVirWebService;Avira AntiVir WebGuard;c:\program files\Avira\AntiVir Desktop\avwebgrd.exe [24/03/2010 19:09 403624]

R2 GEST Service;GEST Service for program management.;c:\program files\GIGABYTE\EnergySaver\GSvr.exe [15/02/2009 00:02 80392]

R2 LMIInfo;LogMeIn Kernel Information Provider;c:\program files\LogMeIn\x86\rainfo.sys [24/07/2008 19:46 12856]

R2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [15/02/2009 00:50 304464]

R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [15/02/2009 00:50 20952]

S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [15/02/2009 02:06 1684736]

S3 Microsoft SharePoint Workspace Audit Service;Microsoft SharePoint Workspace Audit Service;c:\program files\Microsoft Office\Office14\GROOVE.EXE [25/03/2010 10:25 30969208]

S3 osppsvc;Office Software Protection Platform;c:\program files\Fichiers communs\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [09/01/2010 21:37 4640000]

S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [15/02/2009 15:29 717296]

 

--- Autres Services/Pilotes en mémoire ---

 

*NewlyCreated* - HTTPFILTER

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12

hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc

.

Contenu du dossier 'Tâches planifiées'

 

2010-09-28 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

 

2010-10-04 c:\windows\Tasks\OGALogon.job

- c:\windows\system32\OGAEXEC.exe [2009-08-03 13:07]

 

2010-10-04 c:\windows\Tasks\RealUpgradeLogonTaskS-1-5-21-842925246-1958367476-1801674531-1003.job

- c:\program files\Real\RealUpgrade\realupgrade.exe [2010-02-24 20:09]

 

2010-10-02 c:\windows\Tasks\RealUpgradeScheduledTaskS-1-5-21-842925246-1958367476-1801674531-1003.job

- c:\program files\Real\RealUpgrade\realupgrade.exe [2010-02-24 20:09]

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.google.be/

mWindow Title =

uInternet Connection Wizard,ShellNext = hxxp://download.gigabyte.com.tw/

IE: &Envoyer à OneNote - c:\progra~1\MICROS~2\Office14\ONBttnIE.dll/105

IE: &Télécharger avec NetTransport - c:\program files\Xi\NetTransport 2\NTAddLink.html

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office14\EXCEL.EXE/3000

IE: Tout t&élécharger avec NetTransport - c:\program files\Xi\NetTransport 2\NTAddList.html

LSP: c:\program files\Avira\AntiVir Desktop\avsda.dll

Filter: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - c:\program files\Fichiers communs\Microsoft Shared\OFFICE14\MSOXMLMF.DLL

FF - ProfilePath - c:\documents and settings\Animowish\Application Data\Mozilla\Firefox\Profiles\xp276oso.default\

FF - prefs.js: browser.search.selectedEngine - Google.com

FF - prefs.js: keyword.URL - hxxp://www.seanca.com/search/?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&rls=HOywthaF&q=

FF - component: c:\program files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3\components\hpClipBook.dll

FF - component: c:\program files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3\components\hpClipBookDB.dll

FF - component: c:\program files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3\components\hpNeoLogger.dll

FF - component: c:\program files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3\components\hpSaturn.dll

FF - component: c:\program files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3\components\hpSmartSelect.dll

FF - component: c:\program files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3\components\hpSmartWebPrinting.dll

FF - component: c:\program files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3\components\hpSWPOperation.dll

FF - component: c:\program files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3\components\hpXPLogging.dll

FF - component: c:\program files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3\components\hpXPMTC.dll

FF - component: c:\program files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3\components\hpXPMTL.dll

FF - component: c:\program files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3\components\hpXREStub.dll

FF - plugin: c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\MozillaPlugins\nprphtml5videoshim.dll

FF - plugin: c:\progra~1\MICROS~2\Office14\NPAUTHZ.DLL

FF - plugin: c:\progra~1\MICROS~2\Office14\NPSPWRAP.DLL

FF - plugin: c:\program files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3\plugins\nphpclipbook.dll

FF - plugin: c:\program files\Java\jre6\bin\new_plugin\npdeployJava1.dll

FF - plugin: c:\program files\Mozilla Firefox 3.5 Beta 4\plugins\npdeployJava1.dll

FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

 

---- PARAMETRES FIREFOX ----

 

FF - user.js: browser.search.selectedEngine - Google.com

FF - user.js: keyword.URL - hxxp://www.seanca.com/search/?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&rls=HOywthaF&q=

.

- - - - ORPHELINS SUPPRIMES - - - -

 

HKCU-Run-EleFunAnimatedWallpaper - (no file)

HKLM-Run-hpqSRMon - (no file)

HKLM-Run-EleFunAnimatedWallpaper - (no file)

 

 

 

[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\{1BA31E5A-C098-42d8-8F88-3C9F78A2FDDC}]

"ImagePath"="\??\c:\program files\CyberLink\PowerDVD10\NavFilter\000.fcl"

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{5ED60779-4DE2-4E07-B862-974CA4FF2E9C}]

@Denied: (Full) (Everyone)

"scansk"=hex(0):b2,6a,d2,30,96,4c,5c,64,bf,5d,dd,2e,0a,5b,09,d4,5c,58,83,dc,3d,

e9,fb,f9,f8,4a,6d,66,99,ab,a3,6d,ce,35,7a,ca,55,76,5b,fc,00,00,00,00,00,00,\

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe,-101"

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]

"Enabled"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]

@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe"

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{BEB3C0C7-B648-4257-96D9-B5D024816E27}\Version*Version]

"Version"=hex:af,a0,d5,51,be,d8,7d,3a,0e,91,1e,11,e4,e9,46,9f,4f,53,d6,93,e2,

e9,c6,0c,68,ec,5e,12,e7,2f,f1,8a,2c,51,bd,36,87,5c,e3,5e,e6,42,0a,fa,e5,f8,\

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{f101cef5-69fa-4384-beec-faf298298713}]

@Denied: (Full) (Everyone)

"Model"=dword:00000057

"Therad"=dword:0000001e

"MData"=hex(0):2b,8f,78,29,5a,0c,ce,ec,48,d4,68,e5,9f,6a,96,3e,ab,de,c5,81,26,

38,95,44,85,b1,12,f9,90,dd,23,a1,49,8c,bf,1a,9d,fe,41,71,cb,3f,46,a4,7c,ab,\

 

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]

@Denied: (A 2) (Everyone)

@="IFlashBroker4"

 

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"

 

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

 

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•9~*]

"C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

 

[HKEY_LOCAL_MACHINE\software\Minnetonka Audio Software\SurCode Dolby Digital Premiere\Version*Version]

"Version"=hex:af,a0,d5,51,be,d8,7d,3a,0e,91,1e,11,e4,e9,46,9f,4f,53,d6,93,e2,

e9,c6,0c,68,ec,5e,12,e7,2f,f1,8a,2c,51,bd,36,87,5c,e3,5e,e6,42,0a,fa,e5,f8,\

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'winlogon.exe'(992)

c:\windows\system32\Ati2evxx.dll

c:\windows\system32\LMIinit.dll

c:\windows\system32\LMIRfsClientNP.dll

 

- - - - - - - > 'lsass.exe'(1048)

c:\windows\system32\guard32.dll

c:\program files\Avira\AntiVir Desktop\avsda.dll

.

Heure de fin: 2010-10-04 14:40:43

ComboFix-quarantined-files.txt 2010-10-04 12:40

 

Avant-CF: 181 431 771 136 octets libres

Après-CF: 188 618 956 800 octets libres

 

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

UnsupportedDebug="do not select this" /debug

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

multi(0)disk(0)rdisk(1)partition(1)\WINDOWS="Windows XP/2003"

 

- - End Of File - - 5403A035F44994DC6BB15E9823B459A9