Libellules.ch - forum d'informatique • DEMANDE DE DESINFECTION SUITE A ATTAQUE MULTIPLE : Désinfections et demandes d'analyse

par **opmaurer** » 29 Avr 2008 16:07

Bonjour**

Demande de désinfection suite à la mauvaise surprise d'un virus qui copie 3 icones sur le bureau (error cleaner, privacy protector, spyware&malware protection) qui annonce irrégulièrement des attaques (Windows security alert, has detected an internet attack attempt.... somebody's trying to infect you pc... click here to downaload spyware remover....) ou qui m'annonce la présence du virus "Worm.Win32.Netbooster.

Dans le même temps où je vous envoie cette demande d'aide, j'ai démarré le programme scanner kaspersky online.
Il a déjà trouvé 6 virus 7objets infectés sur 18721 fichiers testés

Ci dessous mon fichier listing hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:55:03, on 29.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\McAfee\Common Framework\UdaterUI.exe
C:\Program Files\Symantec\Backup Exec System Recovery\Agent\VProTray.exe
C:\Program Files\McAfee\Common Framework\McTray.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Symantec\Backup Exec System Recovery\Agent\VProSvc.exe
C:\Program Files\Executive Software\Diskeeper\DkService.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
C:\Program Files\McAfee\Common Framework\FrameworkService.exe
C:\Program Files\Fichiers communs\Motive\McciCMService.exe
C:\Program Files\McAfee\VirusScan Enterprise\Mcshield.exe
C:\Program Files\McAfee\VirusScan Enterprise\VsTskMgr.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\totalcmd\TOTALCMD.EXE
G:\RE-INSTALL HD\Anti-virus\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wm ... Ojg5&lid=2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~3\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files\McAfee\VirusScan Enterprise\scriptcl.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: DVA Gate - {DDFF8B71-EF58-4922-ACF2-2003FE2B7481} - C:\WINDOWS\gndarmblvpg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: (no name) - {DDA28099-DACF-415D-A5A8-BB134FCA3D6A} - (no file)
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\McAfee\Common Framework\UdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Symantec Backup Exec System Recovery 7.0] "C:\Program Files\Symantec\Backup Exec System Recovery\Agent\VProTray.exe"
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -masquer
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\RunOnce: [SpybotDeletingA9023] command /c del "C:\Documents and Settings\Kevin\Favoris\Error Cleaner.url"
O4 - HKLM\..\RunOnce: [SpybotDeletingC9365] cmd /c del "C:\Documents and Settings\Kevin\Favoris\Error Cleaner.url"
O4 - HKLM\..\RunOnce: [SpybotDeletingA5232] command /c del "C:\Documents and Settings\Olivier\Favoris\Error Cleaner.url"
O4 - HKLM\..\RunOnce: [SpybotDeletingC2991] cmd /c del "C:\Documents and Settings\Olivier\Favoris\Error Cleaner.url"
O4 - HKLM\..\RunOnce: [SpybotDeletingA3176] command /c del "C:\Documents and Settings\Kevin\Favoris\Privacy Protector.url"
O4 - HKLM\..\RunOnce: [SpybotDeletingC5010] cmd /c del "C:\Documents and Settings\Kevin\Favoris\Privacy Protector.url"
O4 - HKLM\..\RunOnce: [SpybotDeletingA4436] command /c del "C:\Documents and Settings\Olivier\Favoris\Privacy Protector.url"
O4 - HKLM\..\RunOnce: [SpybotDeletingC3110] cmd /c del "C:\Documents and Settings\Olivier\Favoris\Privacy Protector.url"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [SpybotDeletingB3455] command /c del "C:\Documents and Settings\Kevin\Favoris\Error Cleaner.url"
O4 - HKCU\..\RunOnce: [SpybotDeletingD5638] cmd /c del "C:\Documents and Settings\Kevin\Favoris\Error Cleaner.url"
O4 - HKCU\..\RunOnce: [SpybotDeletingB3520] command /c del "C:\Documents and Settings\Olivier\Favoris\Error Cleaner.url"
O4 - HKCU\..\RunOnce: [SpybotDeletingD1282] cmd /c del "C:\Documents and Settings\Olivier\Favoris\Error Cleaner.url"
O4 - HKCU\..\RunOnce: [SpybotDeletingB3119] command /c del "C:\Documents and Settings\Kevin\Favoris\Privacy Protector.url"
O4 - HKCU\..\RunOnce: [SpybotDeletingD4650] cmd /c del "C:\Documents and Settings\Kevin\Favoris\Privacy Protector.url"
O4 - HKCU\..\RunOnce: [SpybotDeletingB451] command /c del "C:\Documents and Settings\Olivier\Favoris\Privacy Protector.url"
O4 - HKCU\..\RunOnce: [SpybotDeletingD3801] cmd /c del "C:\Documents and Settings\Olivier\Favoris\Privacy Protector.url"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: OneNote 2007 - Capture d'écran et lancement.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE (User 'SYSTEM')
O4 - .DEFAULT Startup: OneNote 2007 - Capture d'écran et lancement.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE (User 'Default user')
O4 - Startup: OneNote 2007 - Capture d'écran et lancement.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: C-CHANNEL OnlineUpdate.lnk = ?
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Ouvrir l'image dans &Microsoft PhotoDraw - res://C:\PROGRA~1\MICROS~3\Office\1036\phdintl.dll/phdContext.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microso ... 4730837250
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~3\Office12\GR99D3~1.DLL
O21 - SSODL: bdkpfxqw - {FF575DC5-DEF1-4D64-8C27-CAD7CA5B152B} - C:\WINDOWS\bdkpfxqw.dll
O21 - SSODL: qadovnel - {CCCCB4E9-C455-4267-8E10-8693AB3E6EE1} - C:\WINDOWS\qadovnel.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Backup Exec System Recovery - Symantec Corporation - C:\Program Files\Symantec\Backup Exec System Recovery\Agent\VProSvc.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\Diskeeper\DkService.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Fichiers communs\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LVCOMSer - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - McAfee, Inc. - C:\Program Files\McAfee\Common Framework\FrameworkService.exe
O23 - Service: McciCMService - Motive Communications, Inc. - C:\Program Files\Fichiers communs\Motive\McciCMService.exe
O23 - Service: McAfee McShield (McShield) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan Enterprise\Mcshield.exe
O23 - Service: McAfee Task Manager (McTaskManager) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan Enterprise\VsTskMgr.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

--
End of file - 12988 bytes

Que pouvez-vous me conseiller ?

Merci**

**=Edit_DELL_

par **Hakanloaim** » 29 Avr 2008 17:19

A mon avis dans ce cas ci... windows defender, spybot et adware 2007 ne doivent pas t'être d'une grande utilité... ^^'
Je te conseille plutot SuperAntipsyware et Malwarebytes' Anti-Malware.

pour hijackthis:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wm ... Ojg5&lid=2

(mauvaise page)

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

(nettoyage)

O2 - BHO: DVA Gate - {DDFF8B71-EF58-4922-ACF2-2003FE2B7481} - C:\WINDOWS\gndarmblvpg.dll

(malware)

O3 - Toolbar: (no name) - {DDA28099-DACF-415D-A5A8-BB134FCA3D6A} - (no file)

(nettoyage)

O4 - Global Startup: C-CHANNEL OnlineUpdate.lnk = ?

(malware)

O21 - SSODL: bdkpfxqw - {FF575DC5-DEF1-4D64-8C27-CAD7CA5B152B} - C:\WINDOWS\bdkpfxqw.dll
O21 - SSODL: qadovnel - {CCCCB4E9-C455-4267-8E10-8693AB3E6EE1} - C:\WINDOWS\qadovnel.dll

(malware)

Ceux sont les éléments à cocher puis fixer.
Ensuite fais un scan avec un anti-rootkit comme avg-antirootkit
Et de supprimer les rootkits qu'il est susceptible de pouvoir trouver. (au cas où)

Après je te conseille de faire un scan avec les logiciels que je t'ai conseillé plus haut.

Une fois le ménage fait , utilise un soft comme ccleaner pour faire le ménage dans ta base de registre.

Ca devrait déjà être un bon début, renvois toujours un log hijackthis après çà

Bonne journée.

Edit: Bonjour à tous

par **Ogu** » 29 Avr 2008 21:40

Bonsoir à vous!

Il y a effectivement de nombreux problèmes...

Commence par redémarrer ton PC pour permettre à Spybot de terminer son travail, puis:

DESACTIVER le TEA-TIMER

Ouvre Spybot
Va dans le Menu "Mode" --> "Mode avancé"
Confirme en cliquant sur le bouton "Oui".
Clique ensuite sur "Outil" dans la barre de navigation de Spybot (volet de gauche) puis sur "Résident"
Pour activer/désactiver Tea-Timer, il suffit de cocher/décocher dans le panneau central :

Résident "TeaTimer" (Protection des réglages système fondamentaux) actif.

SDFIX

Je te conseille d'imprimer cette procédure pour pouvoir la suivre hors connexion internet, une fois en sans échec.

SDFix

AndyManchesta

http://download.bleepingcomputer.com/an ... /SDFix.exe

Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau.

Puis redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

Redémarre ton ordinateur
Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
Choisis ton compte.

Suis la liste des instructions ci-dessous :

Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
Appuie sur Y pour commencer le processus de nettoyage.
Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
Appuie sur une touche pour redémarrer le PC.
Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis

par **opmaurer** » 30 Avr 2008 15:46

Bonjour, et merci aux 2 intervenants

N'ayant lu vos propositions que ce matin, j'avais déjà réalisé celle-ci : installation de Karspersky Internet 7.0 en évaluation pendant 30 jours.
Ce logiciel a éradiqué 8 trojans. Suite à son nettoyage, mon PC se comporte apparemment bien.

Ce jour j'ai lancé avg anti-rootkit qui n'a absolument rien trouvé
Puis j'ai lancé la procédure de SDFix qui a encore trouvé quelque chose a éliminer.
Ci-dessous le fichier log de SDFix et un nouveau HiJackThis

SDFix: Version 1.177
Run by Olivier on 30.04.2008 at 13:24

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

Checking Services :

Restoring Windows Registry Values
Restoring Windows Default Hosts File
Restoring Default HomePage Value
Restoring Default Desktop Components Value

Rebooting

Checking Files :

Trojan Files Found:

C:\WINDOWS\system32\msvchost.exe - Deleted
C:\WINDOWS\system32\winsystem.exe - Deleted

Removing Temp Files

ADS Check :

Final Check :

catchme 0.3.1353.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-30 13:29:16
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

Remaining Services :

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"E:\\Jeux\\CompanyofHeroes\\RelicCOH.exe"="E:\\Jeux\\CompanyofHeroes\\RelicCOH.exe:*:Enabled:Company of Heroes - Opposing Fronts"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\\Program Files\\LimeWire\\LimeWire.exe"="C:\\Program Files\\LimeWire\\LimeWire.exe:*:Enabled:LimeWire"
"C:\\Program Files\\iTunes\\iTunes.exe"="C:\\Program Files\\iTunes\\iTunes.exe:*:Enabled:iTunes"
"C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"="C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook"
"C:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE"="C:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE:*:Enabled:Microsoft Office Groove"
"C:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"="C:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE:*:Enabled:Microsoft Office OneNote"
"C:\\Program Files\\Zattoo\\zattood.exe"="C:\\Program Files\\Zattoo\\zattood.exe:*:Disabled:zattood"
"C:\\Program Files\\Zattoo\\Zattoo2.exe"="C:\\Program Files\\Zattoo\\Zattoo2.exe:*:Disabled: "
"C:\\kav\\kis7.0\\french\\setup.exe"="C:\\kav\\kis7.0\\french\\setup.exe:*:Enabled:Programme d'installation de Kaspersky Internet Security 7.0"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

Remaining Files :

File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Mon 28 Jan 2008 1,404,240 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SDUpdate.exe"
Mon 28 Jan 2008 5,146,448 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe"
Mon 28 Jan 2008 2,097,488 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe"
Sun 13 Apr 2008 309 A..H. --- "C:\Program Files\InterActual\InterActual Player\iti1E.tmp"
Wed 5 Mar 2008 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"
Wed 30 Apr 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\02a4f2fd7d9c575c80786d5284ddaf44\BIT6.tmp"
Wed 23 Apr 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\0a67b6c406b1d7e0f5c1e6f6d44a3f6e\BITC.tmp"
Wed 23 Apr 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\18b19374451d28a8fbaf1939cf31ff45\BITF.tmp"
Wed 23 Apr 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\22fb973e059470cc1b5d76c4ae605351\BIT13.tmp"
Wed 23 Apr 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\26924cbc8132a10b438ce6e2b49d4652\BITB.tmp"
Wed 23 Apr 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\2769b111678c52099a3b3123b12f2325\BIT10.tmp"
Wed 23 Apr 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\30285791903730fbf957a83562db4ff4\BITD.tmp"
Wed 23 Apr 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\9e870549834e2bceb796e44a1e3ac6f5\BIT12.tmp"
Wed 23 Apr 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\cb8921d0c7830b2f33c00fa4c8a10d17\BITE.tmp"
Wed 23 Apr 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\d77b9b5b8fed23dd91f50d167cce60d3\BIT11.tmp"
Mon 31 Dec 2007 857 A..HR --- "C:\Documents and Settings\Amelie\Application Data\SecuROM\UserData\securom_v7_01.bak"
Sun 13 Apr 2008 2,571 ...HR --- "C:\Documents and Settings\Olivier\Application Data\SecuROM\UserData\securom_v7_01.bak"

Finished!

HIJACKTHIS

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:32:22, on 30.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Program Files\Symantec\Backup Exec System Recovery\Agent\VProSvc.exe
C:\Program Files\Executive Software\Diskeeper\DkService.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
C:\Program Files\Fichiers communs\Motive\McciCMService.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\Symantec\Backup Exec System Recovery\Agent\VProTray.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\Program Files\totalcmd\TOTALCMD.EXE
G:\RE-INSTALL HD\Anti-virus\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~3\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: DVA Gate - {DDFF8B71-EF58-4922-ACF2-2003FE2B7481} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: (no name) - {DDA28099-DACF-415D-A5A8-BB134FCA3D6A} - (no file)
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Symantec Backup Exec System Recovery 7.0] "C:\Program Files\Symantec\Backup Exec System Recovery\Agent\VProTray.exe"
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -masquer
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: OneNote 2007 - Capture d'écran et lancement.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: C-CHANNEL OnlineUpdate.lnk = ?
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Ajouter à Kaspersky Anti-Bannière - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Ouvrir l'image dans &Microsoft PhotoDraw - res://C:\PROGRA~1\MICROS~3\Office\1036\phdintl.dll/phdContext.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microso ... 4730837250
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~3\Office12\GR99D3~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: Backup Exec System Recovery - Symantec Corporation - C:\Program Files\Symantec\Backup Exec System Recovery\Agent\VProSvc.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\Diskeeper\DkService.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Fichiers communs\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LVCOMSer - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: McciCMService - Motive Communications, Inc. - C:\Program Files\Fichiers communs\Motive\McciCMService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

--
End of file - 9999 bytes

Que pouvez-vous me dire de bon maintenant ?

Encore merci pour votre préciseuse aide

par **Ogu** » 01 Mai 2008 14:32

On poursuit en ce premier mai, glorieuse et éternelle fête des travailleurs ! :-D

HIJACKTHIS

Relance HijackThis
Sélectionne "Do a scan only"
Coche les lignes suivantes:
Code: Tout sélectionner
O2 - BHO: DVA Gate - {DDFF8B71-EF58-4922-ACF2-2003FE2B7481} - (no file) O3 - Toolbar: (no name) - {DDA28099-DACF-415D-A5A8-BB134FCA3D6A} - (no file)
Ferme tes navigateurs
Clique en bas sur "Fix checked"
Redémarre

DESINSTALLER NORTON

Télécharge Norton Removal Tool sur ton bureau
Lance-le
Suis les instructions
Redémarre l' ordinateur

TOOLBARS !

Nous déconseillons, sur nos forums de sécurité, l'utilisation de toolbars: en général elles n'aident en rien et ont des visées essentiellement publicitaires:voir ces liens:

Par ailleurs elles pourrissent les navigateurs en se greffant dessus...

Tiens, voilà les conditions d'utilisation de la toolbar Google:

Utilisation de Google (extrait des conditions d'utilisation):

"Informations personnelles et autres données collectées

* Google recueille des informations personnelles lorsque vous vous inscrivez à un service Google ou lorsque vous fournissez ces informations de votre propre initiative. Elles peuvent en outre être combinées avec les informations issues d'autres services Google ou de tiers, dans le but d'en rendre l'utilisation plus agréable et, le cas échéant, de proposer des contenus personnalisés.
* Google utilise des cookies et d'autres technologies afin de faciliter votre utilisation des services Google, afin d'étudier l'usage qui en est fait et plus généralement afin d'améliorer nos prestations.
* A chaque fois que vous consultez notre site Internet ou faites appel à nos services, les serveurs de Google enregistrent automatiquement des informations telles que l'URL, l'adresse IP, le type et la langue du navigateur, ainsi que la date et l'heure de la connexion.
* Pour plus d'informations, veuillez vous reporter à la version complète de la Charte de confidentialité de Google. "
Source: http://www.google.be/intl/fr/privacy.html

"La barre d'outils Google a été conçue pour être utilisée en combinaison avec les services de recherche Google. En conséquence, l'utilisation que vous faites de la barre d'outils Google est également définie par les Conditions d'utilisation et par les Règles de confidentialité énoncées par Google."
Source: http://tools.google.com/firefox/toolbar ... stall.html

Sous le langage policé ("améliorations de nos prestations, recueil des infos personnelles pour proposer un contenu personnalisé", etc...), il faut en fait comprendre que Google récupère des infos sur ton profil commercial pour mieux te cibler publicitairement...

Je te conseille de passer par "Ajouter Supprimer des programmes" de ton panneau de configuration" et de désinstaller la [b]Google Toolbar

HIJACKTHIS #2

Poste un nouveau rapport que l'on fasse le point!

par **opmaurer** » 02 Mai 2008 15:43

Bonjour Ogu,

Merci pour la réponse, j'ai exécuté hijackthis avec le fix checked, l'effacement des toolbars, mais pas la suppression de Norton car j'ai un programme "Backup Exec System Recovery" de Symantec qui tourne parfaitement

Voici mon dernier hijacthis log

Merci et bonnes salutations

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:35:05, on 02.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\Symantec\Backup Exec System Recovery\Agent\VProTray.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Program Files\Symantec\Backup Exec System Recovery\Agent\VProSvc.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Fichiers communs\Logishrd\KHAL2\KHALMNPR.EXE
C:\Program Files\Executive Software\Diskeeper\DkService.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
C:\Program Files\Fichiers communs\Motive\McciCMService.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
G:\RE-INSTALL HD\Anti-virus\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~3\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Symantec Backup Exec System Recovery 7.0] "C:\Program Files\Symantec\Backup Exec System Recovery\Agent\VProTray.exe"
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -masquer
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: C-CHANNEL OnlineUpdate.lnk = ?
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Ajouter à Kaspersky Anti-Bannière - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Ouvrir l'image dans &Microsoft PhotoDraw - res://C:\PROGRA~1\MICROS~3\Office\1036\phdintl.dll/phdContext.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microso ... 4730837250
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~3\Office12\GR99D3~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: Backup Exec System Recovery - Symantec Corporation - C:\Program Files\Symantec\Backup Exec System Recovery\Agent\VProSvc.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\Diskeeper\DkService.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Fichiers communs\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LVCOMSer - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: McciCMService - Motive Communications, Inc. - C:\Program Files\Fichiers communs\Motive\McciCMService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

--
End of file - 9630 bytes

par **Ogu** » 03 Mai 2008 11:07

Salut!

opmaurer a écrit:
mais pas la suppression de Norton car j'ai un programme "Backup Exec System Recovery" de Symantec qui tourne parfaitement

Le remover Norton n'aurait pas supprimé ton logiciel de BackUp mais un reste de l'antivirus sous forme de service:

O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

Il reste des traces de toolbars:

OTMOVEIT

Télécharge OTMoveIt sur ton bureau
Double clique sur OTMoveIt.exe
Sélectionne et copie la ligne ci-dessous

C:\Program Files\Google\GoogleToolbarNotifier
Dans OTMoveIt, fais un clic droit dans la fenêtre "Paste List of Files/Folders to be moved" et choisis "coller".
Clic sur le bouton rouge MoveIt
Si un fichier ou un dossier ne peut être déplacé immédiatement, il te sera demander de redémarrer ta machine pour finir l'exécution: si c'est le cas, clique sur "Yes"
Copie et colle le rapport qu'il va te générer (il se trouve dans ce dossier : C:\_OTMoveIt\MovedFiles)

HIJACKTHIS

Relance HijackThis
Sélectionne "Do a scan only"
Coche les lignes suivantes:

Code: Tout sélectionner
O2 - BHO: (no name) - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - (no file) O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
Ferme tes navigateurs
Clique en bas sur "Fix checked"
Redémarre
Tu peux à nouveau utiliser ton navigateur

COMBOFIX

Scanne ta machine avec ComboFix de sUBs en suivant rigoureusement ce tuto:

http://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix"

jusqu'à arriver à la création du rapport que tu posteras.

par **opmaurer** » 03 Mai 2008 14:45

Bonjour Ogu,

J'ai lancé tout de même le Norton removal tool, il m'a tout de suite annoncé qu'il fallait désinstaller le programme
Backup Exec System Recovery avant qu'il ne puisse agir. Voulant garder le programme Backup .... je ne vais pas
plus loin avec ce programme.
Par contre je viens de réaliser les 3 procédures que tu m'a demandé.

Voici dans l'ordre le listing de COMBOFIX puis un nouveau Hijackthis.

Encore merci pour ta précieuse aide et bon week end

ComboFix 08-04-28.2 - Olivier 2008-05-03 15:23:04.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.1494 [GMT 2:00]
Endroit: G:\RE-INSTALL HD\Anti-virus\ComboFix.exe
* Création d'un nouveau point de restauration

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\bsva-egihsg52.exe
C:\WINDOWS\system32\smp
C:\WINDOWS\system32\smp\msrc.exe

.
((((((((((((((((((((((((((((( Fichiers créés 2008-04-03 to 2008-05-03 ))))))))))))))))))))))))))))))))))))
.

2008-04-30 13:22 . 2008-04-30 13:22 <REP> d-------- C:\WINDOWS\ERUNT
2008-04-30 13:18 . 2008-04-30 13:30 <REP> d-------- C:\SDFix
2008-04-30 12:03 . 2007-01-18 14:00 3,968 --a------ C:\WINDOWS\system32\drivers\AvgArCln.sys
2008-04-29 17:18 . 2008-04-29 17:23 96,645 --a------ C:\WINDOWS\system32\drivers\klin.dat
2008-04-29 17:18 . 2008-04-29 17:23 87,941 --a------ C:\WINDOWS\system32\drivers\klick.dat
2008-04-29 17:17 . 2008-04-29 17:17 <REP> d-------- C:\Program Files\Kaspersky Lab
2008-04-29 17:17 . 2008-05-03 15:09 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Kaspersky Lab
2008-04-29 17:17 . 2008-05-03 15:35 6,721,824 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-04-29 17:17 . 2008-05-03 15:08 92,864 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-04-29 17:17 . 2008-05-03 15:34 45,344 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2008-04-29 17:17 . 2008-05-03 15:08 7,124 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx
2008-04-29 17:12 . 2008-04-29 17:12 <REP> d-------- C:\kav
2008-04-29 16:43 . 2008-04-29 16:43 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-04-29 13:36 . 2008-04-29 13:36 17 --a------ C:\stng380.opt
2008-04-29 13:16 . 2008-04-29 13:16 <REP> d-------- C:\Program Files\Avira GmbH
2008-04-29 12:58 . 2008-04-29 12:58 6,656 --a------ C:\WINDOWS\system32\drivers\RKPavProc.sys
2008-04-28 18:00 . 2008-04-28 18:00 <REP> d-------- C:\Documents and Settings\Kevin\Application Data\TmpRecentIcons
2008-04-28 13:41 . 2008-05-01 23:09 <REP> d-------- C:\QUARANTINE
2008-04-27 22:29 . 2008-04-27 22:29 <REP> d-------- C:\Program Files\Windows Defender
2008-04-27 18:48 . 2008-04-27 18:34 691,545 --a------ C:\WINDOWS\unins000.exe
2008-04-27 18:48 . 2008-04-27 18:48 2,549 --a------ C:\WINDOWS\unins000.dat
2008-04-27 18:31 . 2008-04-27 19:53 <REP> d-------- C:\Program Files\Spybot - Search & Destroy
2008-04-27 18:31 . 2008-04-27 19:53 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-04-27 18:29 . 2008-04-27 18:29 <REP> d-------- C:\Program Files\Lavasoft
2008-04-27 18:29 . 2008-04-27 18:29 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft
2008-04-27 18:28 . 2008-04-27 18:28 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
2008-04-27 18:21 . 2008-04-28 13:19 <REP> d-------- C:\Documents and Settings\Olivier\Application Data\TmpRecentIcons
2008-04-27 11:30 . 2008-05-01 16:00 <REP> d-------- C:\Documents and Settings\All Users\Application Data\whmzunwl
2008-04-26 22:27 . 2008-04-28 18:00 <REP> d-------- C:\Program Files\Steam
2008-04-25 23:10 . 2008-05-02 10:34 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-04-25 23:10 . 2008-04-25 23:10 1,409 --a------ C:\WINDOWS\QTFont.for
2008-04-25 22:36 . 2008-04-25 22:40 <REP> d-------- C:\Documents and Settings\Olivier\Application Data\uTorrent
2008-04-25 21:03 . 2008-04-25 21:03 <REP> d-------- C:\Program Files\Zattoo
2008-04-25 20:57 . 2008-04-25 20:57 <REP> d-------- C:\Program Files\DVD Flick
2008-04-25 20:57 . 2008-05-03 14:36 <REP> d-------- C:\Documents and Settings\Olivier\Application Data\DVD Flick
2008-04-25 20:57 . 2004-03-09 00:00 212,240 --a------ C:\WINDOWS\system32\richtx32.ocx
2008-04-25 20:57 . 2000-05-19 17:56 81,920 --a------ C:\WINDOWS\system32\mbmouse.ocx
2008-04-25 20:57 . 2000-11-05 15:27 36,864 --a------ C:\WINDOWS\system32\trayicon.ocx
2008-04-24 17:59 . 2008-04-24 17:59 <REP> d-------- C:\Program Files\7-Zip
2008-04-23 18:56 . 2008-04-23 18:56 244 --ah----- C:\sqmnoopt04.sqm
2008-04-23 18:56 . 2008-04-23 18:56 244 --ah----- C:\sqmnoopt03.sqm
2008-04-23 18:56 . 2008-04-23 18:56 232 --ah----- C:\sqmdata04.sqm
2008-04-23 18:56 . 2008-04-23 18:56 232 --ah----- C:\sqmdata03.sqm
2008-04-23 18:55 . 2008-04-23 18:55 268 --ah----- C:\sqmdata02.sqm
2008-04-23 18:55 . 2008-04-23 18:55 244 --ah----- C:\sqmnoopt02.sqm
2008-04-23 18:53 . 2008-04-23 18:53 <REP> d-------- C:\Program Files\Windows Desktop Search
2008-04-23 18:53 . 2008-04-23 18:53 <REP> d-------- C:\Documents and Settings\Olivier\Application Data\Windows Desktop Search
2008-04-23 18:52 . 2006-09-15 14:36 192,000 -----c--- C:\WINDOWS\system32\dllcache\offfilt.dll
2008-04-23 18:52 . 2006-09-15 14:36 98,304 -----c--- C:\WINDOWS\system32\dllcache\nlhtml.dll
2008-04-23 18:50 . 2008-04-23 18:50 244 --ah----- C:\sqmnoopt01.sqm
2008-04-23 18:50 . 2008-04-23 18:50 232 --ah----- C:\sqmdata01.sqm
2008-04-23 18:45 . 2008-04-23 18:45 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Office Genuine Advantage
2008-04-23 18:01 . 2008-04-27 11:41 <REP> d-------- C:\Documents and Settings\All Users\Application Data\SSScanAppDataDir
2008-04-23 18:01 . 2008-04-23 18:01 <REP> d-------- C:\Documents and Settings\All Users\Application Data\MSScanAppDataDir
2008-04-23 17:37 . 2006-10-26 19:58 30,512 --a------ C:\WINDOWS\system32\mdimon.dll
2008-04-23 17:36 . 2006-10-26 19:56 32,592 --a------ C:\WINDOWS\system32\msonpmon.dll
2008-04-23 17:35 . 2008-04-23 17:35 <REP> d-------- C:\Program Files\MSBuild
2008-04-23 17:35 . 2008-04-23 17:35 <REP> d-------- C:\Program Files\Microsoft Works
2008-04-23 17:34 . 2008-04-23 17:34 <REP> d-------- C:\Program Files\Microsoft.NET
2008-04-23 17:32 . 2008-04-23 17:39 <REP> d-------- C:\Program Files\Microsoft Visual Studio 8
2008-04-23 17:31 . 2008-04-24 19:00 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Microsoft Help
2008-04-23 17:30 . 2008-04-23 17:30 <REP> dr-h----- C:\MSOCache
2008-04-17 18:38 . 2008-04-17 18:38 <REP> d-------- C:\Program Files\EA GAMES
2008-04-17 16:41 . 2005-02-26 07:34 442,368 -ra------ C:\WINDOWS\system32\vp6vfw.dll
2008-04-16 13:23 . 2008-04-16 13:32 13,030 --a------ C:\PDOXUSRS.NET
2008-04-16 13:19 . 2008-04-16 13:19 <REP> d-------- C:\Program Files\Fichiers communs\Borland Shared
2008-04-16 13:18 . 2008-04-16 13:18 <REP> d-------- C:\Documents and Settings\Amelie\WINDOWS
2008-04-16 13:18 . 1998-10-07 13:08 327,168 --a------ C:\WINDOWS\IsUn040c.exe
2008-04-16 13:18 . 2008-04-16 13:22 40 --a------ C:\WINDOWS\Navigma.INI
2008-04-14 17:29 . 2008-04-14 17:29 <REP> d-------- C:\Program Files\PANZERS - Phase2
2008-04-14 17:29 . 2008-04-29 13:56 364 --a------ C:\WINDOWS\WININIT.INI
2008-04-14 12:55 . 2008-04-14 12:56 223 --a------ C:\WINDOWS\HP PrecisionScan Pro.INI
2008-04-13 15:42 . 2008-04-13 15:42 <REP> d-------- C:\Documents and Settings\Amelie\Application Data\CyberLink
2008-04-13 15:32 . 2008-04-13 15:32 0 --a------ C:\WINDOWS\iPlayer.INI
2008-04-13 15:21 . 2008-04-13 15:21 <REP> d-------- C:\Program Files\InterActual
2008-04-13 15:21 . 2008-05-03 14:18 69 --a------ C:\WINDOWS\NeroDigital.ini
2008-04-11 20:10 . 2008-04-11 20:10 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Messenger Plus!
2008-04-11 19:31 . 2008-04-11 19:31 <REP> d-------- C:\Program Files\Messenger Plus! Live
2008-04-11 19:28 . 2008-04-11 19:28 <REP> d-------- C:\Documents and Settings\Kevin\Contacts
2008-04-11 19:27 . 2008-04-11 19:27 <REP> d-------- C:\Program Files\Microsoft SQL Server Compact Edition
2008-04-11 19:27 . 2008-04-11 19:27 268 --ah----- C:\sqmdata00.sqm
2008-04-11 19:27 . 2008-04-11 19:27 244 --ah----- C:\sqmnoopt00.sqm
2008-04-09 12:52 . 2008-04-09 12:52 <REP> d-------- C:\Program Files\PDFCreator
2008-04-09 12:52 . 2004-03-09 01:00 662,288 --a------ C:\WINDOWS\system32\MSCOMCT2.OCX
2008-04-09 12:52 . 1998-07-13 02:08 141,312 --a------ C:\WINDOWS\system32\MSCMCFR.DLL
2008-04-09 12:52 . 1998-06-24 01:00 137,000 --a------ C:\WINDOWS\system32\MSMAPI32.OCX
2008-04-09 12:52 . 2001-10-28 17:42 116,224 --a------ C:\WINDOWS\system32\pdfcmnnt.dll
2008-04-09 12:52 . 1998-07-13 02:08 59,904 --a------ C:\WINDOWS\system32\MSCC2FR.DLL
2008-04-09 12:52 . 1998-07-06 01:00 23,552 --a------ C:\WINDOWS\system32\MSMPIDE.DLL
2008-04-07 19:44 . 2008-04-11 13:12 4,096 --ahs---- C:\VSNAP.IDX
2008-04-07 19:22 . 2008-04-07 19:22 <REP> d-------- C:\Documents and Settings\Olivier\Application Data\Symantec
2008-04-07 18:36 . 2007-04-03 08:59 215,144 -ra------ C:\WINDOWS\patchw32.dll
2008-04-07 18:35 . 2007-04-03 08:59 215,144 -ra------ C:\WINDOWS\pw32a.dll
2008-04-07 18:08 . 2008-04-07 18:08 <REP> d-------- C:\Program Files\Symantec
2008-04-07 18:08 . 2008-04-07 18:26 <REP> d-------- C:\Program Files\Fichiers communs\Symantec Shared
2008-04-07 18:08 . 2008-04-07 18:26 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Symantec
2008-04-07 18:08 . 2003-03-18 21:20 1,060,864 --a------ C:\WINDOWS\system32\MFC71.DLL
2008-04-07 18:08 . 2008-01-10 04:30 133,216 --a------ C:\WINDOWS\system32\drivers\symsnap.sys
2008-04-07 18:08 . 2007-07-31 00:57 128,104 --a------ C:\WINDOWS\system32\drivers\WimFltr.sys
2008-04-07 18:08 . 2007-07-31 00:34 37,864 --a------ C:\WINDOWS\system32\drivers\v2imount.sys
2008-04-07 18:08 . 2007-07-31 00:32 14,072 --a------ C:\WINDOWS\system32\drivers\vproeventmonitor.sys
2008-04-07 17:05 . 2008-04-07 17:05 <REP> d-------- C:\Documents and Settings\Olivier\Application Data\CyberLink
2008-04-07 16:47 . 2008-04-07 16:47 <REP> d-------- C:\Program Files\DVD Shrink
2008-04-07 16:47 . 2008-04-21 17:25 <REP> d-------- C:\Documents and Settings\All Users\Application Data\DVD Shrink

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-03 13:09 --------- d-----w C:\Program Files\Google
2008-05-01 21:32 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-04-24 16:13 --------- d-----w C:\Documents and Settings\Amelie\Application Data\LimeWire
2008-04-24 15:51 --------- d-----w C:\Program Files\Fichiers communs\C-CHANNEL
2008-04-13 15:22 --------- d-----w C:\Program Files\Windows Live
2008-04-11 17:26 --------- dcsh--w C:\Program Files\Fichiers communs\WindowsLiveInstaller
2008-04-11 17:25 --------- d-----w C:\Documents and Settings\All Users\Application Data\WLInstaller
2008-03-27 17:51 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2008-03-27 17:49 --------- d-----w C:\Documents and Settings\All Users\Application Data\SimCity Societies
2008-03-25 17:16 --------- d-----w C:\Documents and Settings\Olivier\Application Data\Apple Computer
2008-03-24 15:46 --------- d-----w C:\Documents and Settings\Kevin\Application Data\LimeWire
2008-03-24 14:14 --------- d-----w C:\Program Files\LimeWire
2008-03-24 14:04 --------- d-----w C:\Documents and Settings\Kevin\Application Data\Apple Computer
2008-03-20 08:09 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-19 16:09 --------- d-----w C:\Documents and Settings\All Users\Application Data\Ubisoft
2008-03-14 16:39 1 ----a-w C:\Documents and Settings\Olivier\SI.bin
2008-03-10 17:00 --------- d-----w C:\Program Files\Hewlett-Packard
2008-03-10 16:53 --------- d-----w C:\Documents and Settings\Olivier\Application Data\Dossier de téléchargement Share-to-Web
2008-03-10 16:17 --------- d-----w C:\Program Files\Java
2008-03-09 17:21 --------- d-----w C:\Program Files\Fichiers communs\Java
2008-03-09 17:04 --------- d-----w C:\Program Files\QuickTime
2008-03-09 17:04 --------- d-----w C:\Program Files\iTunes
2008-03-09 17:04 --------- d-----w C:\Program Files\iPod
2008-03-09 17:04 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple Computer
2008-03-09 17:03 --------- d-----w C:\Program Files\Fichiers communs\Apple
2008-03-09 17:03 --------- d-----w C:\Program Files\Apple Software Update
2008-03-09 17:03 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple
2008-03-09 16:44 --------- d--h--r C:\Documents and Settings\Amelie\Application Data\SecuROM
2008-03-09 16:44 --------- d-----w C:\Documents and Settings\Amelie\Application Data\MSN6
2008-03-09 16:44 --------- d-----w C:\Documents and Settings\Amelie\Application Data\Apple Computer
2008-03-09 16:44 --------- d-----w C:\Documents and Settings\Amelie\Application Data\AdobeUM
2008-03-08 15:31 --------- d--h--r C:\Documents and Settings\Olivier\Application Data\SecuROM
2008-03-08 09:03 --------- d-----w C:\Program Files\Regseeker
2008-03-07 20:00 409,600 ----a-w C:\WINDOWS\system32\wrap_oal.dll
2008-03-07 20:00 114,688 ----a-w C:\WINDOWS\system32\OpenAL32.dll
2008-03-07 20:00 --------- d-----w C:\Program Files\OpenAL
2008-03-07 19:13 --------- d-----w C:\Program Files\QuickHelp2
2008-03-07 19:13 --------- d-----w C:\Documents and Settings\Olivier\Application Data\Motive
2008-03-07 19:12 --------- d-----w C:\Program Files\Fichiers communs\Motive
2008-03-07 19:09 --------- d-----w C:\Documents and Settings\All Users\Application Data\MotiveSysIDs
2008-03-07 19:09 --------- d-----w C:\Documents and Settings\All Users\Application Data\Motive
2008-03-07 19:08 --------- d-----w C:\Program Files\Bluewin
2008-03-07 19:05 --------- d-----w C:\Program Files\Common Files
2008-03-07 18:49 --------- d-----w C:\Documents and Settings\Olivier\Application Data\Ahead
2008-03-07 18:33 --------- d-----w C:\Program Files\Executive Software
2008-03-07 18:30 --------- d-----w C:\Program Files\Ahead
2008-03-07 18:29 --------- d-----w C:\Program Files\Fichiers communs\Ahead
2008-03-07 17:46 --------- d-----w C:\Documents and Settings\Olivier\Application Data\Microsoft Web Folders
2008-03-07 17:39 --------- d-----w C:\Program Files\MSXML 4.0
2008-03-07 17:39 --------- d-----w C:\Program Files\Microsoft CAPICOM 2.1.0.2
2008-03-07 17:26 --------- d-----w C:\Program Files\Fichiers communs\Logishrd
2008-03-07 17:12 --------- d-----w C:\Program Files\Logitech
2008-03-07 17:12 --------- d-----w C:\Documents and Settings\All Users\Application Data\Logitech
2008-03-07 12:03 --------- d-----w C:\Program Files\Magix
2008-03-07 12:02 --------- d-----w C:\Program Files\Fichiers communs\MAGIX Shared
2008-03-07 11:56 --------- d-----w C:\Program Files\CyberLink
2008-03-07 11:56 --------- d-----w C:\Documents and Settings\All Users\Application Data\CyberLink
2008-03-07 11:49 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2008-03-07 11:16 --------- d-----w C:\Program Files\Fichiers communs\Hewlett-Packard
2008-03-07 11:06 --------- d-----w C:\Program Files\Fichiers communs\EPSON
2008-03-07 11:03 --------- d-----w C:\Program Files\EPSON
2008-03-06 17:44 --------- d-----w C:\Program Files\Money
2008-03-06 17:24 --------- d-----w C:\Program Files\C-CHANNEL
2008-03-06 17:24 --------- d-----w C:\Documents and Settings\All Users\Application Data\C-CHANNEL
2008-03-06 17:22 --------- d-----w C:\Program Files\Microsoft WSE
2008-03-06 17:22 --------- d-----w C:\Program Files\Fichiers communs\InstallShield
2008-03-06 16:57 --------- d-----w C:\Program Files\Fichiers communs\Cisco Systems
2008-03-06 16:48 --------- d-----w C:\Documents and Settings\Olivier\Application Data\Logitech
2008-03-06 16:43 --------- d-----w C:\Program Files\totalcmd
2008-03-06 16:39 --------- d-----w C:\Documents and Settings\Kevin\Application Data\Logitech
2008-03-06 16:36 --------- d-----w C:\Documents and Settings\Amelie\Application Data\Logitech
2008-03-06 16:35 --------- d-----w C:\Documents and Settings\Corinne\Application Data\Logitech
2008-03-06 16:17 --------- d-----w C:\Documents and Settings\All Users\Application Data\LogiShrd
2008-03-06 16:16 0 ---ha-w C:\WINDOWS\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf
2008-03-06 16:16 0 ---ha-w C:\WINDOWS\system32\drivers\Msft_Kernel_LUsbFilt_01005.Wdf
2008-03-06 16:16 0 ---ha-w C:\WINDOWS\system32\drivers\Msft_Kernel_LMouFilt_01005.Wdf
2008-03-06 16:16 0 ---ha-w C:\WINDOWS\system32\drivers\Msft_Kernel_LHidFilt_01005.Wdf
2008-03-05 16:05 --------- d-----w C:\Program Files\RegSupreme
2008-03-05 15:22 --------- d-----w C:\Program Files\Windows Media Connect 2
2008-03-05 14:31 --------- d-----w C:\Program Files\Marvell
2008-03-05 14:28 --------- d-----w C:\Program Files\Analog Devices
2008-03-05 14:23 --------- d-----w C:\Program Files\Intel
2008-03-05 14:04 558,142 ----a-w C:\WINDOWS\java\Packages\WURD3F9B.ZIP
2008-03-05 14:04 155,995 ----a-w C:\WINDOWS\java\Packages\F9FVT37D.ZIP
2008-03-05 14:04 --------- d-----w C:\Program Files\microsoft frontpage
2008-03-05 14:02 --------- d-----w C:\Program Files\Services en ligne
2008-03-01 12:58 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-02-20 06:51 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll
2008-02-20 05:35 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll
2008-02-08 16:37 219,664 ----a-w C:\WINDOWS\system32\klogon.dll
2006-06-23 06:48 32,768 ----a-r C:\WINDOWS\inf\UpdateUSB.exe
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="C:\Program Files\Analog Devices\Core\smax4pnp.exe" [2006-12-18 15:34 868352]
"SoundMAX"="C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" [2006-07-13 08:12 729088]
"nwiz"="nwiz.exe" [2007-12-05 02:41 1626112 C:\WINDOWS\system32\nwiz.exe]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-11-29 03:17 55824 C:\WINDOWS\KHALMNPR.Exe]
"Symantec Backup Exec System Recovery 7.0"="C:\Program Files\Symantec\Backup Exec System Recovery\Agent\VProTray.exe" [2008-01-10 04:42 2037088]
"Windows Defender"="C:\Program Files\Windows Defender\MSASCui.exe" [2006-11-03 18:20 866584]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 02:41 8523776]
"AVP"="C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" [2008-02-08 18:36 227856]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 01:54 15360]

C:\Documents and Settings\Kevin\Menu D‚marrer\Programmes\D‚marrage\
OneNote 2007 - Capture d'‚cran et lancement.lnk - C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE [2006-10-26 20:24:54 98632]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
C-CHANNEL OnlineUpdate.lnk - C:\Program Files\C-CHANNEL\OnlineUpdate\PeOnlineUpdate.exe [2008-03-06 19:24:46 993096]
Logitech SetPoint.lnk - C:\Program Files\Logitech\SetPoint\SetPoint.exe [2008-03-06 18:16:11 789008]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= C:\Program Files\Windows Desktop Search\MSNLNamespaceMgr.dll [2007-02-05 15:39 294400]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
c:\program files\fichiers communs\logishrd\bluetooth\LBTWlgn.dll 2008-01-09 13:30 72208 c:\Program Files\Fichiers communs\Logishrd\Bluetooth\LBTWLgn.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"E:\\Jeux\\CompanyofHeroes\\RelicCOH.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Program Files\\LimeWire\\LimeWire.exe"=
"C:\\Program Files\\iTunes\\iTunes.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
"C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE"=
"C:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"C:\\Program Files\\Zattoo\\zattood.exe"=
"C:\\Program Files\\Zattoo\\Zattoo2.exe"=
"C:\\kav\\kis7.0\\french\\setup.exe"=

R2 Backup Exec System Recovery;Backup Exec System Recovery;C:\Program Files\Symantec\Backup Exec System Recovery\Agent\VProSvc.exe [2008-01-10 04:42]
R2 McciCMService;McciCMService;"C:\Program Files\Fichiers communs\Motive\McciCMService.exe" [2007-09-10 10:19]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-12-13 13:28]
S3 MREMP50;MREMP50 NDIS Protocol Driver;C:\PROGRA~1\FICHIE~1\Motive\MREMP50.SYS [2007-07-10 18:37]
S3 MRESP50;MRESP50 NDIS Protocol Driver;C:\PROGRA~1\FICHIE~1\Motive\MRESP50.SYS [2007-07-10 18:37]

.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2008-03-24 13:48:00 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
"2008-05-03 13:12:28 C:\WINDOWS\Tasks\MP Scheduled Scan.job"
- C:\Program Files\Windows Defender\MpCmdRun.exe
.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-03 15:34:34
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

C:\WINDOWS\TEMP\TMP000000566799594740F3B4DB

Scan terminé avec succès
Les fichiers cachés: 1

**************************************************************************
.
Temps d'accomplissement: 2008-05-03 15:37:25
ComboFix-quarantined-files.txt 2008-05-03 13:37:22

Pre-Run: 54,182,641,664 octets libres
Post-Run: 55,142,789,120 octets libres

291 --- E O F --- 2008-05-02 10:34:26

CI DESSOUS HIJACKTHIS

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:39:36, on 03.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\Symantec\Backup Exec System Recovery\Agent\VProTray.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Fichiers communs\Logishrd\KHAL2\KHALMNPR.EXE
C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Program Files\Symantec\Backup Exec System Recovery\Agent\VProSvc.exe
C:\Program Files\Executive Software\Diskeeper\DkService.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
C:\Program Files\Fichiers communs\Motive\McciCMService.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
G:\RE-INSTALL HD\Anti-virus\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~3\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - (no file)
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Symantec Backup Exec System Recovery 7.0] "C:\Program Files\Symantec\Backup Exec System Recovery\Agent\VProTray.exe"
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -masquer
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: C-CHANNEL OnlineUpdate.lnk = ?
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Ajouter à Kaspersky Anti-Bannière - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Ouvrir l'image dans &Microsoft PhotoDraw - res://C:\PROGRA~1\MICROS~3\Office\1036\phdintl.dll/phdContext.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microso ... 4730837250
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~3\Office12\GR99D3~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: Backup Exec System Recovery - Symantec Corporation - C:\Program Files\Symantec\Backup Exec System Recovery\Agent\VProSvc.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\Diskeeper\DkService.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Fichiers communs\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LVCOMSer - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: McciCMService - Motive Communications, Inc. - C:\Program Files\Fichiers communs\Motive\McciCMService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

--
End of file - 9374 bytes

par **Ogu** » 04 Mai 2008 09:54

Salut!

Poursuivons, il reste du travail!

HIJACKTHIS

Relance HijackThis
Sélectionne "Do a scan only"
Coche les lignes suivantes:

O2 - BHO: (no name) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - (no file)
Ferme tes navigateurs
Clique en bas sur "Fix checked"
Redémarre

OTMOVEIT

Double clique sur OTMoveIt.exe
Sélectionne et copie les lignes ci-dessous

Code: Tout sélectionner
C:\WINDOWS\SoftwareDistribution\Download\02a4f2fd7d9c575c80786d5284ddaf44\BIT6.tmp C:\WINDOWS\SoftwareDistribution\Download\0a67b6c406b1d7e0f5c1e6f6d44a3f6e\BITC.tmp C:\WINDOWS\SoftwareDistribution\Download\18b19374451d28a8fbaf1939cf31ff45\BITF.tmp C:\WINDOWS\SoftwareDistribution\Download\22fb973e059470cc1b5d76c4ae605351\BIT13.tmp C:\WINDOWS\SoftwareDistribution\Download\26924cbc8132a10b438ce6e2b49d4652\BITB.tmp C:\WINDOWS\SoftwareDistribution\Download\2769b111678c52099a3b3123b12f2325\BIT10.tmp C:\WINDOWS\SoftwareDistribution\Download\30285791903730fbf957a83562db4ff4\BITD.tmp C:\WINDOWS\SoftwareDistribution\Download\9e870549834e2bceb796e44a1e3ac6f5\BIT12.tmp C:\WINDOWS\SoftwareDistribution\Download\cb8921d0c7830b2f33c00fa4c8a10d17\BITE.tmp C:\WINDOWS\SoftwareDistribution\Download\d77b9b5b8fed23dd91f50d167cce60d3\BIT11.tmp EmptyTemp
Dans OTMoveIt, fais un clic droit dans la fenêtre "Paste List of Files/Folders to be moved" et choisis "coller".
Clic sur le bouton rouge MoveIt
Si un fichier ou un dossier ne peut être déplacé immédiatement, il te sera demander de redémarrer ta machine pour finir l'exécution: si c'est le cas, clique sur "Yes"
Copie et colle le rapport qu'il va te générer (il se trouve dans ce dossier : C:\_OTMoveIt\MovedFiles)

CREATION/EXECUTION D'UN CFSCRIPT

Lis bien la procédure avant de te lancer. Tu peux même l'imprimer, éventuellement.

Ouvre un nouveau fichier du Bloc-notes
"Copie/Colle" tout le contenu de la boîte Code ci-dessous (mais n'inclus pas le mot "Code") dans le fichier texte du bloc-note :

Code: Tout sélectionner
Folder:: C:\Documents and Settings\All Users\Application Data\whmzunwl File:: C:\WINDOWS\TEMP\TMP000000566799594740F3B4DB
Sauvegarde ce fichier sur ton Bureau en l'appelant IMPERATIVEMENT CFScript.txt

ATTENTION: ce script a été conçu spécifiquement pour le cas de opmaurer, ne pas l'utiliser pour votre propre machine!!
Désactive ton antivirus et ton antispyware
Te référant à l'image ci-dessous, déplace CFScript.txt sur ComboFix.exe
ComboFix sera lancé.
Une fenêtre bleue va apparaitre: patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
ComboFix peut exiger un redémarrage pour compléter son travail. Accepte.
Lorsque l'outil aura terminé, un rapport ComboFix.log apparaîtra à l'écran.
Soumet le fichier en cliquant "OK"
Enfin, poste les deux rapports suivants dans ta prochaine réponse :

- Combofix.txt (il est stocké ici: > C:\ComboFix.txt)
- Un nouveau rapport HijackThis

VIRUSTOTAL

Va sur le site VirusTotal

Copie cette ligne:

C:\WINDOWS\inf\UpdateUSB.exe
Colle cette ligne dans la fenêtre suivante, sur la page VirusTotal, en faisant CTRL-V:
Clique sur le bouton "Envoyer le fichier" et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
Une nouvelle fenêtre de ton navigateur va apparaître
Clique alors sur cette image :
Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
Enfin colle le résultat dans ta prochaine réponse.

Note : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse.

Il me faut donc les rapports HijackThis, OtMoveIt, ComboFix et VirusTotal: bon travail et bon dimanche!

par **opmaurer** » 05 Mai 2008 18:53

Bonjour Ogu,

J'ai réalisé les 4 procédures demandées, ci-dessous les différents rapports :

PREMIER VIRUSTOTAL

Fichier UpdateUSB.exe reçu le 2008.03.17 19:22:23 (CET)Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.3.18.0 2008.03.17 -
AntiVir 7.6.0.73 2008.03.17 -
Authentium 4.93.8 2008.03.14 -
Avast 4.7.1098.0 2008.03.17 -
AVG 7.5.0.516 2008.03.17 -
BitDefender 7.2 2008.03.17 -
CAT-QuickHeal 9.50 2008.03.14 -
ClamAV 0.92.1 2008.03.17 -
DrWeb 4.44.0.09170 2008.03.17 -
eSafe 7.0.15.0 2008.03.09 -
eTrust-Vet 31.3.5621 2008.03.17 -
Ewido 4.0 2008.03.17 -
F-Prot 4.4.2.54 2008.03.16 -
F-Secure 6.70.13260.0 2008.03.17 -
FileAdvisor 1 2008.03.17 -
Fortinet 3.14.0.0 2008.03.17 -
Ikarus T3.1.1.20 2008.03.17 -
Kaspersky 7.0.0.125 2008.03.17 -
McAfee 5253 2008.03.17 -
Microsoft 1.3301 2008.03.16 -
NOD32v2 2953 2008.03.17 -
Norman 5.80.02 2008.03.17 -
Panda 9.0.0.4 2008.03.16 -
Prevx1 V2 2008.03.17 -
Rising 20.36.02.00 2008.03.17 -
Sophos 4.27.0 2008.03.17 -
Sunbelt 3.0.963.0 2008.03.14 -
Symantec 10 2008.03.17 -
TheHacker 6.2.92.247 2008.03.15 -
VBA32 3.12.6.2 2008.03.16 -
VirusBuster 4.3.26:9 2008.03.17 -
Webwasher-Gateway 6.6.2 2008.03.17 -

Information additionnelle
File size: 32768 bytes
MD5: b9226aec83cb09a26a756209d8124056
SHA1: e3ef240671501a0ce27b31097088811241f3ba6e
PEiD: Armadillo v1.71

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.3.18.0 2008.03.17 -
AntiVir 7.6.0.73 2008.03.17 -
Authentium 4.93.8 2008.03.14 -
Avast 4.7.1098.0 2008.03.17 -
AVG 7.5.0.516 2008.03.17 -
BitDefender 7.2 2008.03.17 -
CAT-QuickHeal 9.50 2008.03.14 -
ClamAV 0.92.1 2008.03.17 -
DrWeb 4.44.0.09170 2008.03.17 -
eSafe 7.0.15.0 2008.03.09 -
eTrust-Vet 31.3.5621 2008.03.17 -
Ewido 4.0 2008.03.17 -
F-Prot 4.4.2.54 2008.03.16 -
F-Secure 6.70.13260.0 2008.03.17 -
FileAdvisor 1 2008.03.17 -
Fortinet 3.14.0.0 2008.03.17 -
Ikarus T3.1.1.20 2008.03.17 -
Kaspersky 7.0.0.125 2008.03.17 -
McAfee 5253 2008.03.17 -
Microsoft 1.3301 2008.03.16 -
NOD32v2 2953 2008.03.17 -
Norman 5.80.02 2008.03.17 -
Panda 9.0.0.4 2008.03.16 -
Prevx1 V2 2008.03.17 -
Rising 20.36.02.00 2008.03.17 -
Sophos 4.27.0 2008.03.17 -
Sunbelt 3.0.963.0 2008.03.14 -
Symantec 10 2008.03.17 -
TheHacker 6.2.92.247 2008.03.15 -
VBA32 3.12.6.2 2008.03.16 -
VirusBuster 4.3.26:9 2008.03.17 -
Webwasher-Gateway 6.6.2 2008.03.17 -

Information additionnelle
File size: 32768 bytes
MD5: b9226aec83cb09a26a756209d8124056
SHA1: e3ef240671501a0ce27b31097088811241f3ba6e
PEiD: Armadillo v1.71

DEUXIEME COMBOFIX

ComboFix 08-04-28.2 - Olivier 2008-05-05 19:19:48.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.1498 [GMT 2:00]
Endroit: C:\ComboFix.exe
Command switches used :: C:\Documents and Settings\Olivier\Bureau\CFScript.txt
* Création d'un nouveau point de restauration

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

FILE ::
C:\WINDOWS\TEMP\TMP000000566799594740F3B4DB
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\All Users\Application Data\whmzunwl

.
((((((((((((((((((((((((((((( Fichiers créés 2008-04-05 to 2008-05-05 ))))))))))))))))))))))))))))))))))))
.

2008-05-05 19:18 . 2008-05-05 19:18 <REP> d-------- C:\327882R2FWJFW
2008-05-05 19:14 . 2008-04-29 15:53 1,778,983 --a------ C:\ComboFix.exe
2008-04-30 13:22 . 2008-04-30 13:22 <REP> d-------- C:\WINDOWS\ERUNT
2008-04-30 13:18 . 2008-04-30 13:30 <REP> d-------- C:\SDFix
2008-04-30 12:03 . 2007-01-18 14:00 3,968 --a------ C:\WINDOWS\system32\drivers\AvgArCln.sys
2008-04-29 17:18 . 2008-04-29 17:23 96,645 --a------ C:\WINDOWS\system32\drivers\klin.dat
2008-04-29 17:18 . 2008-04-29 17:23 87,941 --a------ C:\WINDOWS\system32\drivers\klick.dat
2008-04-29 17:17 . 2008-04-29 17:17 <REP> d-------- C:\Program Files\Kaspersky Lab
2008-04-29 17:17 . 2008-05-05 19:12 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Kaspersky Lab
2008-04-29 17:17 . 2008-05-05 19:39 7,101,728 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-04-29 17:17 . 2008-05-05 19:10 98,144 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-04-29 17:17 . 2008-05-05 19:38 53,792 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2008-04-29 17:17 . 2008-05-05 19:10 7,964 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx
2008-04-29 17:12 . 2008-04-29 17:12 <REP> d-------- C:\kav
2008-04-29 16:43 . 2008-04-29 16:43 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-04-29 13:16 . 2008-04-29 13:16 <REP> d-------- C:\Program Files\Avira GmbH
2008-04-29 12:58 . 2008-04-29 12:58 6,656 --a------ C:\WINDOWS\system32\drivers\RKPavProc.sys
2008-04-28 18:00 . 2008-04-28 18:00 <REP> d-------- C:\Documents and Settings\Kevin\Application Data\TmpRecentIcons
2008-04-28 13:41 . 2008-05-01 23:09 <REP> d-------- C:\QUARANTINE
2008-04-27 22:29 . 2008-04-27 22:29 <REP> d-------- C:\Program Files\Windows Defender
2008-04-27 18:48 . 2008-04-27 18:34 691,545 --a------ C:\WINDOWS\unins000.exe
2008-04-27 18:48 . 2008-04-27 18:48 2,549 --a------ C:\WINDOWS\unins000.dat
2008-04-27 18:31 . 2008-04-27 19:53 <REP> d-------- C:\Program Files\Spybot - Search & Destroy
2008-04-27 18:31 . 2008-04-27 19:53 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-04-27 18:29 . 2008-04-27 18:29 <REP> d-------- C:\Program Files\Lavasoft
2008-04-27 18:29 . 2008-04-27 18:29 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft
2008-04-27 18:28 . 2008-04-27 18:28 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
2008-04-27 18:21 . 2008-04-28 13:19 <REP> d-------- C:\Documents and Settings\Olivier\Application Data\TmpRecentIcons
2008-04-26 22:27 . 2008-04-28 18:00 <REP> d-------- C:\Program Files\Steam
2008-04-25 23:10 . 2008-05-02 10:34 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-04-25 23:10 . 2008-04-25 23:10 1,409 --a------ C:\WINDOWS\QTFont.for
2008-04-25 22:36 . 2008-04-25 22:40 <REP> d-------- C:\Documents and Settings\Olivier\Application Data\uTorrent
2008-04-25 21:03 . 2008-04-25 21:03 <REP> d-------- C:\Program Files\Zattoo
2008-04-25 20:57 . 2008-04-25 20:57 <REP> d-------- C:\Program Files\DVD Flick
2008-04-25 20:57 . 2008-05-03 14:36 <REP> d-------- C:\Documents and Settings\Olivier\Application Data\DVD Flick
2008-04-25 20:57 . 2004-03-09 00:00 212,240 --a------ C:\WINDOWS\system32\richtx32.ocx
2008-04-25 20:57 . 2000-05-19 17:56 81,920 --a------ C:\WINDOWS\system32\mbmouse.ocx
2008-04-25 20:57 . 2000-11-05 15:27 36,864 --a------ C:\WINDOWS\system32\trayicon.ocx
2008-04-24 17:59 . 2008-04-24 17:59 <REP> d-------- C:\Program Files\7-Zip
2008-04-23 18:56 . 2008-04-23 18:56 244 --ah----- C:\sqmnoopt04.sqm
2008-04-23 18:56 . 2008-04-23 18:56 244 --ah----- C:\sqmnoopt03.sqm
2008-04-23 18:56 . 2008-04-23 18:56 232 --ah----- C:\sqmdata04.sqm
2008-04-23 18:56 . 2008-04-23 18:56 232 --ah----- C:\sqmdata03.sqm
2008-04-23 18:55 . 2008-04-23 18:55 268 --ah----- C:\sqmdata02.sqm
2008-04-23 18:55 . 2008-04-23 18:55 244 --ah----- C:\sqmnoopt02.sqm
2008-04-23 18:53 . 2008-04-23 18:53 <REP> d-------- C:\Program Files\Windows Desktop Search
2008-04-23 18:53 . 2008-04-23 18:53 <REP> d-------- C:\Documents and Settings\Olivier\Application Data\Windows Desktop Search
2008-04-23 18:52 . 2006-09-15 14:36 192,000 -----c--- C:\WINDOWS\system32\dllcache\offfilt.dll
2008-04-23 18:52 . 2006-09-15 14:36 98,304 -----c--- C:\WINDOWS\system32\dllcache\nlhtml.dll
2008-04-23 18:50 . 2008-04-23 18:50 244 --ah----- C:\sqmnoopt01.sqm
2008-04-23 18:50 . 2008-04-23 18:50 232 --ah----- C:\sqmdata01.sqm
2008-04-23 18:45 . 2008-04-23 18:45 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Office Genuine Advantage
2008-04-23 18:01 . 2008-04-27 11:41 <REP> d-------- C:\Documents and Settings\All Users\Application Data\SSScanAppDataDir
2008-04-23 18:01 . 2008-04-23 18:01 <REP> d-------- C:\Documents and Settings\All Users\Application Data\MSScanAppDataDir
2008-04-23 17:37 . 2006-10-26 19:58 30,512 --a------ C:\WINDOWS\system32\mdimon.dll
2008-04-23 17:36 . 2006-10-26 19:56 32,592 --a------ C:\WINDOWS\system32\msonpmon.dll
2008-04-23 17:35 . 2008-04-23 17:35 <REP> d-------- C:\Program Files\MSBuild
2008-04-23 17:35 . 2008-04-23 17:35 <REP> d-------- C:\Program Files\Microsoft Works
2008-04-23 17:34 . 2008-04-23 17:34 <REP> d-------- C:\Program Files\Microsoft.NET
2008-04-23 17:32 . 2008-04-23 17:39 <REP> d-------- C:\Program Files\Microsoft Visual Studio 8
2008-04-23 17:31 . 2008-04-24 19:00 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Microsoft Help
2008-04-23 17:30 . 2008-04-23 17:30 <REP> dr-h----- C:\MSOCache
2008-04-17 18:38 . 2008-04-17 18:38 <REP> d-------- C:\Program Files\EA GAMES
2008-04-17 16:41 . 2005-02-26 07:34 442,368 -ra------ C:\WINDOWS\system32\vp6vfw.dll
2008-04-16 13:19 . 2008-04-16 13:19 <REP> d-------- C:\Program Files\Fichiers communs\Borland Shared
2008-04-16 13:18 . 2008-04-16 13:18 <REP> d-------- C:\Documents and Settings\Amelie\WINDOWS
2008-04-16 13:18 . 1998-10-07 13:08 327,168 --a------ C:\WINDOWS\IsUn040c.exe
2008-04-16 13:18 . 2008-04-16 13:22 40 --a------ C:\WINDOWS\Navigma.INI
2008-04-14 17:29 . 2008-04-14 17:29 <REP> d-------- C:\Program Files\PANZERS - Phase2
2008-04-14 17:29 . 2008-04-29 13:56 364 --a------ C:\WINDOWS\WININIT.INI
2008-04-14 12:55 . 2008-04-14 12:56 223 --a------ C:\WINDOWS\HP PrecisionScan Pro.INI
2008-04-13 15:42 . 2008-04-13 15:42 <REP> d-------- C:\Documents and Settings\Amelie\Application Data\CyberLink
2008-04-13 15:32 . 2008-04-13 15:32 0 --a------ C:\WINDOWS\iPlayer.INI
2008-04-13 15:21 . 2008-04-13 15:21 <REP> d-------- C:\Program Files\InterActual
2008-04-13 15:21 . 2008-05-03 14:18 69 --a------ C:\WINDOWS\NeroDigital.ini
2008-04-11 20:10 . 2008-04-11 20:10 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Messenger Plus!
2008-04-11 19:31 . 2008-04-11 19:31 <REP> d-------- C:\Program Files\Messenger Plus! Live
2008-04-11 19:28 . 2008-04-11 19:28 <REP> d-------- C:\Documents and Settings\Kevin\Contacts
2008-04-11 19:27 . 2008-04-11 19:27 <REP> d-------- C:\Program Files\Microsoft SQL Server Compact Edition
2008-04-11 19:27 . 2008-04-11 19:27 268 --ah----- C:\sqmdata00.sqm
2008-04-11 19:27 . 2008-04-11 19:27 244 --ah----- C:\sqmnoopt00.sqm
2008-04-09 12:52 . 2008-04-09 12:52 <REP> d-------- C:\Program Files\PDFCreator
2008-04-09 12:52 . 2004-03-09 01:00 662,288 --a------ C:\WINDOWS\system32\MSCOMCT2.OCX
2008-04-09 12:52 . 1998-07-13 02:08 141,312 --a------ C:\WINDOWS\system32\MSCMCFR.DLL
2008-04-09 12:52 . 1998-06-24 01:00 137,000 --a------ C:\WINDOWS\system32\MSMAPI32.OCX
2008-04-09 12:52 . 2001-10-28 17:42 116,224 --a------ C:\WINDOWS\system32\pdfcmnnt.dll
2008-04-09 12:52 . 1998-07-13 02:08 59,904 --a------ C:\WINDOWS\system32\MSCC2FR.DLL
2008-04-09 12:52 . 1998-07-06 01:00 23,552 --a------ C:\WINDOWS\system32\MSMPIDE.DLL
2008-04-07 19:44 . 2008-04-11 13:12 4,096 --ahs---- C:\VSNAP.IDX
2008-04-07 19:22 . 2008-04-07 19:22 <REP> d-------- C:\Documents and Settings\Olivier\Application Data\Symantec
2008-04-07 18:36 . 2007-04-03 08:59 215,144 -ra------ C:\WINDOWS\patchw32.dll
2008-04-07 18:35 . 2007-04-03 08:59 215,144 -ra------ C:\WINDOWS\pw32a.dll
2008-04-07 18:08 . 2008-04-07 18:08 <REP> d-------- C:\Program Files\Symantec
2008-04-07 18:08 . 2008-04-07 18:26 <REP> d-------- C:\Program Files\Fichiers communs\Symantec Shared
2008-04-07 18:08 . 2008-04-07 18:26 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Symantec
2008-04-07 18:08 . 2003-03-18 21:20 1,060,864 --a------ C:\WINDOWS\system32\MFC71.DLL
2008-04-07 18:08 . 2008-01-10 04:30 133,216 --a------ C:\WINDOWS\system32\drivers\symsnap.sys
2008-04-07 18:08 . 2007-07-31 00:57 128,104 --a------ C:\WINDOWS\system32\drivers\WimFltr.sys
2008-04-07 18:08 . 2007-07-31 00:34 37,864 --a------ C:\WINDOWS\system32\drivers\v2imount.sys
2008-04-07 18:08 . 2007-07-31 00:32 14,072 --a------ C:\WINDOWS\system32\drivers\vproeventmonitor.sys
2008-04-07 17:05 . 2008-04-07 17:05 <REP> d-------- C:\Documents and Settings\Olivier\Application Data\CyberLink
2008-04-07 16:47 . 2008-04-07 16:47 <REP> d-------- C:\Program Files\DVD Shrink
2008-04-07 16:47 . 2008-04-21 17:25 <REP> d-------- C:\Documents and Settings\All Users\Application Data\DVD Shrink

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-03 13:09 --------- d-----w C:\Program Files\Google
2008-05-01 21:32 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-04-24 16:13 --------- d-----w C:\Documents and Settings\Amelie\Application Data\LimeWire
2008-04-24 15:51 --------- d-----w C:\Program Files\Fichiers communs\C-CHANNEL
2008-04-13 15:22 --------- d-----w C:\Program Files\Windows Live
2008-04-11 17:26 --------- dcsh--w C:\Program Files\Fichiers communs\WindowsLiveInstaller
2008-04-11 17:25 --------- d-----w C:\Documents and Settings\All Users\Application Data\WLInstaller
2008-03-27 17:51 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2008-03-27 17:49 --------- d-----w C:\Documents and Settings\All Users\Application Data\SimCity Societies
2008-03-25 17:16 --------- d-----w C:\Documents and Settings\Olivier\Application Data\Apple Computer
2008-03-24 15:46 --------- d-----w C:\Documents and Settings\Kevin\Application Data\LimeWire
2008-03-24 14:14 --------- d-----w C:\Program Files\LimeWire
2008-03-24 14:04 --------- d-----w C:\Documents and Settings\Kevin\Application Data\Apple Computer
2008-03-20 08:09 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-19 16:09 --------- d-----w C:\Documents and Settings\All Users\Application Data\Ubisoft
2008-03-14 16:39 1 ----a-w C:\Documents and Settings\Olivier\SI.bin
2008-03-10 17:00 --------- d-----w C:\Program Files\Hewlett-Packard
2008-03-10 16:53 --------- d-----w C:\Documents and Settings\Olivier\Application Data\Dossier de téléchargement Share-to-Web
2008-03-10 16:17 --------- d-----w C:\Program Files\Java
2008-03-09 17:21 --------- d-----w C:\Program Files\Fichiers communs\Java
2008-03-09 17:04 --------- d-----w C:\Program Files\QuickTime
2008-03-09 17:04 --------- d-----w C:\Program Files\iTunes
2008-03-09 17:04 --------- d-----w C:\Program Files\iPod
2008-03-09 17:04 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple Computer
2008-03-09 17:03 --------- d-----w C:\Program Files\Fichiers communs\Apple
2008-03-09 17:03 --------- d-----w C:\Program Files\Apple Software Update
2008-03-09 17:03 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple
2008-03-09 16:44 --------- d--h--r C:\Documents and Settings\Amelie\Application Data\SecuROM
2008-03-09 16:44 --------- d-----w C:\Documents and Settings\Amelie\Application Data\MSN6
2008-03-09 16:44 --------- d-----w C:\Documents and Settings\Amelie\Application Data\Apple Computer
2008-03-09 16:44 --------- d-----w C:\Documents and Settings\Amelie\Application Data\AdobeUM
2008-03-08 15:31 --------- d--h--r C:\Documents and Settings\Olivier\Application Data\SecuROM
2008-03-08 09:03 --------- d-----w C:\Program Files\Regseeker
2008-03-07 20:00 409,600 ----a-w C:\WINDOWS\system32\wrap_oal.dll
2008-03-07 20:00 114,688 ----a-w C:\WINDOWS\system32\OpenAL32.dll
2008-03-07 20:00 --------- d-----w C:\Program Files\OpenAL
2008-03-07 19:13 --------- d-----w C:\Program Files\QuickHelp2
2008-03-07 19:13 --------- d-----w C:\Documents and Settings\Olivier\Application Data\Motive
2008-03-07 19:12 --------- d-----w C:\Program Files\Fichiers communs\Motive
2008-03-07 19:09 --------- d-----w C:\Documents and Settings\All Users\Application Data\MotiveSysIDs
2008-03-07 19:09 --------- d-----w C:\Documents and Settings\All Users\Application Data\Motive
2008-03-07 19:08 --------- d-----w C:\Program Files\Bluewin
2008-03-07 19:05 --------- d-----w C:\Program Files\Common Files
2008-03-07 18:49 --------- d-----w C:\Documents and Settings\Olivier\Application Data\Ahead
2008-03-07 18:33 --------- d-----w C:\Program Files\Executive Software
2008-03-07 18:30 --------- d-----w C:\Program Files\Ahead
2008-03-07 18:29 --------- d-----w C:\Program Files\Fichiers communs\Ahead
2008-03-07 17:46 --------- d-----w C:\Documents and Settings\Olivier\Application Data\Microsoft Web Folders
2008-03-07 17:39 --------- d-----w C:\Program Files\MSXML 4.0
2008-03-07 17:39 --------- d-----w C:\Program Files\Microsoft CAPICOM 2.1.0.2
2008-03-07 17:26 --------- d-----w C:\Program Files\Fichiers communs\Logishrd
2008-03-07 17:12 --------- d-----w C:\Program Files\Logitech
2008-03-07 17:12 --------- d-----w C:\Documents and Settings\All Users\Application Data\Logitech
2008-03-07 12:03 --------- d-----w C:\Program Files\Magix
2008-03-07 12:02 --------- d-----w C:\Program Files\Fichiers communs\MAGIX Shared
2008-03-07 11:56 --------- d-----w C:\Program Files\CyberLink
2008-03-07 11:56 --------- d-----w C:\Documents and Settings\All Users\Application Data\CyberLink
2008-03-07 11:49 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2008-03-07 11:16 --------- d-----w C:\Program Files\Fichiers communs\Hewlett-Packard
2008-03-07 11:06 --------- d-----w C:\Program Files\Fichiers communs\EPSON
2008-03-07 11:03 --------- d-----w C:\Program Files\EPSON
2008-03-06 17:44 --------- d-----w C:\Program Files\Money
2008-03-06 17:24 --------- d-----w C:\Program Files\C-CHANNEL
2008-03-06 17:24 --------- d-----w C:\Documents and Settings\All Users\Application Data\C-CHANNEL
2008-03-06 17:22 --------- d-----w C:\Program Files\Microsoft WSE
2008-03-06 17:22 --------- d-----w C:\Program Files\Fichiers communs\InstallShield
2008-03-06 16:57 --------- d-----w C:\Program Files\Fichiers communs\Cisco Systems
2008-03-06 16:48 --------- d-----w C:\Documents and Settings\Olivier\Application Data\Logitech
2008-03-06 16:43 --------- d-----w C:\Program Files\totalcmd
2008-03-06 16:39 --------- d-----w C:\Documents and Settings\Kevin\Application Data\Logitech
2008-03-06 16:36 --------- d-----w C:\Documents and Settings\Amelie\Application Data\Logitech
2008-03-06 16:35 --------- d-----w C:\Documents and Settings\Corinne\Application Data\Logitech
2008-03-06 16:17 --------- d-----w C:\Documents and Settings\All Users\Application Data\LogiShrd
2008-03-06 16:16 0 ---ha-w C:\WINDOWS\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf
2008-03-06 16:16 0 ---ha-w C:\WINDOWS\system32\drivers\Msft_Kernel_LUsbFilt_01005.Wdf
2008-03-06 16:16 0 ---ha-w C:\WINDOWS\system32\drivers\Msft_Kernel_LMouFilt_01005.Wdf
2008-03-06 16:16 0 ---ha-w C:\WINDOWS\system32\drivers\Msft_Kernel_LHidFilt_01005.Wdf
2008-03-05 16:05 --------- d-----w C:\Program Files\RegSupreme
2008-03-05 15:22 --------- d-----w C:\Program Files\Windows Media Connect 2
2008-03-05 14:31 --------- d-----w C:\Program Files\Marvell
2008-03-05 14:28 --------- d-----w C:\Program Files\Analog Devices
2008-03-05 14:23 --------- d-----w C:\Program Files\Intel
2008-03-05 14:04 558,142 ----a-w C:\WINDOWS\java\Packages\WURD3F9B.ZIP
2008-03-05 14:04 155,995 ----a-w C:\WINDOWS\java\Packages\F9FVT37D.ZIP
2008-03-05 14:04 --------- d-----w C:\Program Files\microsoft frontpage
2008-03-05 14:02 --------- d-----w C:\Program Files\Services en ligne
2008-03-01 12:58 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-02-20 06:51 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll
2008-02-20 05:35 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll
2008-02-08 16:37 219,664 ----a-w C:\WINDOWS\system32\klogon.dll
2006-06-23 06:48 32,768 ----a-r C:\WINDOWS\inf\UpdateUSB.exe
.

((((((((((((((((((((((((((((( snapshot@2008-05-03_15.35.23.95 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-05-03 13:09:25 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-05-05 17:11:51 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-05-05 17:12:03 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_310.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="C:\Program Files\Analog Devices\Core\smax4pnp.exe" [2006-12-18 15:34 868352]
"SoundMAX"="C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" [2006-07-13 08:12 729088]
"nwiz"="nwiz.exe" [2007-12-05 02:41 1626112 C:\WINDOWS\system32\nwiz.exe]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-11-29 03:17 55824 C:\WINDOWS\KHALMNPR.Exe]
"Symantec Backup Exec System Recovery 7.0"="C:\Program Files\Symantec\Backup Exec System Recovery\Agent\VProTray.exe" [2008-01-10 04:42 2037088]
"Windows Defender"="C:\Program Files\Windows Defender\MSASCui.exe" [2006-11-03 18:20 866584]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 02:41 8523776]
"AVP"="C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" [2008-02-08 18:36 227856]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 01:54 15360]

C:\Documents and Settings\Kevin\Menu D‚marrer\Programmes\D‚marrage\
OneNote 2007 - Capture d'‚cran et lancement.lnk - C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE [2006-10-26 20:24:54 98632]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
C-CHANNEL OnlineUpdate.lnk - C:\Program Files\C-CHANNEL\OnlineUpdate\PeOnlineUpdate.exe [2008-03-06 19:24:46 993096]
Logitech SetPoint.lnk - C:\Program Files\Logitech\SetPoint\SetPoint.exe [2008-03-06 18:16:11 789008]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= C:\Program Files\Windows Desktop Search\MSNLNamespaceMgr.dll [2007-02-05 15:39 294400]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
c:\program files\fichiers communs\logishrd\bluetooth\LBTWlgn.dll 2008-01-09 13:30 72208 c:\Program Files\Fichiers communs\Logishrd\Bluetooth\LBTWLgn.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"E:\\Jeux\\CompanyofHeroes\\RelicCOH.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Program Files\\LimeWire\\LimeWire.exe"=
"C:\\Program Files\\iTunes\\iTunes.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
"C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE"=
"C:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"C:\\Program Files\\Zattoo\\zattood.exe"=
"C:\\Program Files\\Zattoo\\Zattoo2.exe"=
"C:\\kav\\kis7.0\\french\\setup.exe"=

R2 Backup Exec System Recovery;Backup Exec System Recovery;C:\Program Files\Symantec\Backup Exec System Recovery\Agent\VProSvc.exe [2008-01-10 04:42]
R2 McciCMService;McciCMService;"C:\Program Files\Fichiers communs\Motive\McciCMService.exe" [2007-09-10 10:19]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-12-13 13:28]
S3 MREMP50;MREMP50 NDIS Protocol Driver;C:\PROGRA~1\FICHIE~1\Motive\MREMP50.SYS [2007-07-10 18:37]
S3 MRESP50;MRESP50 NDIS Protocol Driver;C:\PROGRA~1\FICHIE~1\Motive\MRESP50.SYS [2007-07-10 18:37]

.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2008-03-24 13:48:00 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
"2008-05-05 17:14:54 C:\WINDOWS\Tasks\MP Scheduled Scan.job"
- C:\Program Files\Windows Defender\MpCmdRun.exe
.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-05 19:38:40
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
Temps d'accomplissement: 2008-05-05 19:41:11
ComboFix-quarantined-files.txt 2008-05-05 17:41:06

Pre-Run: 58,546,954,240 octets libres
Post-Run: 58,548,027,392 octets libres

296 --- E O F --- 2008-05-02 10:34:26

TROISIEME OTMOVEIT

File/Folder C:\WINDOWS\SoftwareDistribution\Download\02a4f2fd7d9c575c80786d5284ddaf44\BIT6.tmp not found.
C:\WINDOWS\SoftwareDistribution\Download\0a67b6c406b1d7e0f5c1e6f6d44a3f6e\BITC.tmp moved successfully.
C:\WINDOWS\SoftwareDistribution\Download\18b19374451d28a8fbaf1939cf31ff45\BITF.tmp moved successfully.
C:\WINDOWS\SoftwareDistribution\Download\22fb973e059470cc1b5d76c4ae605351\BIT13.tmp moved successfully.
C:\WINDOWS\SoftwareDistribution\Download\26924cbc8132a10b438ce6e2b49d4652\BITB.tmp moved successfully.
C:\WINDOWS\SoftwareDistribution\Download\2769b111678c52099a3b3123b12f2325\BIT10.tmp moved successfully.
C:\WINDOWS\SoftwareDistribution\Download\30285791903730fbf957a83562db4ff4\BITD.tmp moved successfully.
C:\WINDOWS\SoftwareDistribution\Download\9e870549834e2bceb796e44a1e3ac6f5\BIT12.tmp moved successfully.
C:\WINDOWS\SoftwareDistribution\Download\cb8921d0c7830b2f33c00fa4c8a10d17\BITE.tmp moved successfully.
C:\WINDOWS\SoftwareDistribution\Download\d77b9b5b8fed23dd91f50d167cce60d3\BIT11.tmp moved successfully.
< EmptyTemp >
File delete failed. C:\DOCUME~1\Olivier\LOCALS~1\Temp\Perflib_Perfdata_a9c.dat scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_1cc.dat scheduled to be deleted on reboot.
Temp folders emptied.
IE temp folders emptied.
File/Folder not found.

OTMoveIt2 by OldTimer - Version 1.0.4.1 log created on 05052008_191009

Files moved on Reboot...
File C:\DOCUME~1\Olivier\LOCALS~1\Temp\Perflib_Perfdata_a9c.dat not found!
File C:\WINDOWS\temp\Perflib_Perfdata_1cc.dat not found!

ET LE DERNIER HIJACKTHIS

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:52:35, on 05.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Program Files\Symantec\Backup Exec System Recovery\Agent\VProSvc.exe
C:\Program Files\Executive Software\Diskeeper\DkService.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
C:\Program Files\Fichiers communs\Motive\McciCMService.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\Symantec\Backup Exec System Recovery\Agent\VProTray.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Fichiers communs\Logishrd\KHAL2\KHALMNPR.EXE
C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
G:\RE-INSTALL HD\Anti-virus\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~3\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Symantec Backup Exec System Recovery 7.0] "C:\Program Files\Symantec\Backup Exec System Recovery\Agent\VProTray.exe"
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -masquer
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: C-CHANNEL OnlineUpdate.lnk = ?
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Ajouter à Kaspersky Anti-Bannière - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Ouvrir l'image dans &Microsoft PhotoDraw - res://C:\PROGRA~1\MICROS~3\Office\1036\phdintl.dll/phdContext.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microso ... 4730837250
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~3\Office12\GR99D3~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: Backup Exec System Recovery - Symantec Corporation - C:\Program Files\Symantec\Backup Exec System Recovery\Agent\VProSvc.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\Diskeeper\DkService.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Fichiers communs\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LVCOMSer - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: McciCMService - Motive Communications, Inc. - C:\Program Files\Fichiers communs\Motive\McciCMService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

--
End of file - 9431 bytes

Et encore merci pour ta précieuse aide

Bonne soirée

par **Ogu** » 06 Mai 2008 10:40

Salut Opmaurer!

Le rapport VirusTotal est rassurant, et OtMoveIt a fait du bon boulot.

CREATION/EXECUTION D'UN CFSCRIPT

Lis bien la procédure avant de te lancer. Tu peux même l'imprimer, éventuellement.

Ouvre un nouveau fichier du Bloc-notes
"Copie/Colle" tout le contenu de la boîte Code ci-dessous (mais n'inclus pas le mot "Code") dans le fichier texte du bloc-note :

Code: Tout sélectionner
Folder:: C:\327882R2FWJFW
Sauvegarde ce fichier sur ton Bureau en l'appelant IMPERATIVEMENT CFScript.txt

ATTENTION: ce script a été conçu spécifiquement pour le cas de opmaurer, ne pas l'utiliser pour votre propre machine!!
Désactive ton antivirus et ton antispyware
Te référant à l'image ci-dessous, déplace CFScript.txt sur ComboFix.exe
ComboFix sera lancé.
Une fenêtre bleue va apparaitre: patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
ComboFix peut exiger un redémarrage pour compléter son travail. Accepte.
Lorsque l'outil aura terminé, un rapport ComboFix.log apparaîtra à l'écran.
Soumet le fichier en cliquant "OK"
Enfin, poste le rapport suivant dans ta prochaine réponse :

- Combofix.txt (il est stocké ici: > C:\ComboFix.txt)

EWIDO

Télécharge

Ewido Micro-Scanner sur ton bureau en cliquant sur cette image:

Double-clique sur le fichier ewido_micro.exe pour l'exécuter.
Le programme va demander dès son lancement un accès internet pour se mettre à jour, accepte.
Puis, un nouvel écran apparaît, assure toi que toutes les cases soient cochées.
Clique sur Start Scan et laisse l'outil travailler.
Quand l'outil à fini, clique sur save report et sauvegarde le rapport sur ton bureau.
Poste le dans ta prochaine réponse.

Nb

Remove infections

MALWAREBYTES ANTIMALWARE (MBAM)

Télécharge

Malwarebytes Antimalware en cliquant sur cette image:

Installe-le puis lance-le
Dans l'onglet "Recherche", sélectionne "Exécuter un examen complet"
Clique sur "Rechercher"
Le scan se lance: arme-toi de patience en cliquant ici
A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur "OK" pour poursuivre.
Si des malwares ont été détectés, leur liste s'affiche.
En cliquant sur Suppression (ou équivalent) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
MBAM va ouvrir le bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le

par **Ogu** » 13 Mai 2008 12:16

Up up up !

par **opmaurer** » 16 Mai 2008 17:14

Salut Ogu,

Encore merci pour ta patience et ton aide, je viens d'exécuter tes dernières propositions

Le programme Ewido micro-scanner n'a rien trouvé et ne m'a pas créé de fichier log

Par contre ci-dessous le fichier log de Combofix puis de Malwarebytes

ComboFix 08-05-15.3 - Olivier 2008-05-16 18:02:28.3 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.1492 [GMT 2:00]
Endroit: C:\ComboFix.exe
Command switches used :: C:\Documents and Settings\Olivier\Bureau\CFScript.txt
* Création d'un nouveau point de restauration

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.

((((((((((((((((((((((((((((( Fichiers créés 2008-04-16 to 2008-05-16 ))))))))))))))))))))))))))))))))))))
.

2008-05-16 17:53 . 2008-05-16 17:53 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-05-16 17:53 . 2008-05-16 17:53 <REP> d-------- C:\Documents and Settings\Olivier\Application Data\Malwarebytes
2008-05-16 17:53 . 2008-05-16 17:53 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-05-16 17:53 . 2008-05-05 20:46 27,048 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-05-16 17:53 . 2008-05-05 20:46 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-05-16 16:39 . 2008-05-16 16:39 <REP> d-------- C:\Documents and Settings\Olivier\Application Data\Sony
2008-05-16 16:39 . 2008-05-16 16:39 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Sony
2008-05-16 16:38 . 2008-05-16 16:34 1,916,951 --a------ C:\ComboFix.exe
2008-05-13 18:06 . 2008-05-13 18:06 <REP> d-------- C:\Program Files\QuickTime
2008-05-11 15:09 . 2008-05-11 15:09 <REP> dr-h----- C:\Documents and Settings\Kevin\Application Data\SecuROM
2008-05-09 20:10 . 2007-06-25 11:43 82,984 -ra------ C:\WINDOWS\system32\drivers\s117bus.sys
2008-05-09 20:10 . 2007-06-25 11:43 12,200 -ra------ C:\WINDOWS\system32\drivers\s117whnt.sys
2008-05-09 20:10 . 2007-06-25 11:43 12,200 -ra------ C:\WINDOWS\system32\drivers\s117wh.sys
2008-05-07 22:02 . 2001-08-17 21:56 7,552 --a------ C:\WINDOWS\system32\drivers\SONYPVU1.SYS
2008-05-07 22:02 . 2001-08-17 21:56 7,552 --a--c--- C:\WINDOWS\system32\dllcache\sonypvu1.sys
2008-04-30 13:22 . 2008-04-30 13:22 <REP> d-------- C:\WINDOWS\ERUNT
2008-04-30 13:18 . 2008-04-30 13:30 <REP> d-------- C:\SDFix
2008-04-29 17:18 . 2008-04-29 17:23 96,645 --a------ C:\WINDOWS\system32\drivers\klin.dat
2008-04-29 17:18 . 2008-04-29 17:23 87,941 --a------ C:\WINDOWS\system32\drivers\klick.dat
2008-04-29 17:17 . 2008-04-29 17:17 <REP> d-------- C:\Program Files\Kaspersky Lab
2008-04-29 17:17 . 2008-05-16 16:17 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Kaspersky Lab
2008-04-29 17:17 . 2008-05-16 18:03 8,814,880 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-04-29 17:17 . 2008-05-16 18:03 142,624 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2008-04-29 17:17 . 2008-05-16 09:04 119,240 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-04-29 17:17 . 2008-05-16 09:04 15,932 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx
2008-04-29 17:12 . 2008-04-29 17:12 <REP> d-------- C:\kav
2008-04-29 16:43 . 2008-04-29 16:43 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-04-29 13:16 . 2008-04-29 13:16 <REP> d-------- C:\Program Files\Avira GmbH
2008-04-29 12:58 . 2008-04-29 12:58 6,656 --a------ C:\WINDOWS\system32\drivers\RKPavProc.sys
2008-04-28 18:00 . 2008-04-28 18:00 <REP> d-------- C:\Documents and Settings\Kevin\Application Data\TmpRecentIcons
2008-04-28 13:41 . 2008-05-01 23:09 <REP> d-------- C:\QUARANTINE
2008-04-27 22:29 . 2008-04-27 22:29 <REP> d-------- C:\Program Files\Windows Defender
2008-04-27 18:31 . 2008-05-13 17:55 <REP> d-------- C:\Program Files\Spybot - Search & Destroy
2008-04-27 18:31 . 2008-05-13 17:48 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-04-27 18:29 . 2008-05-13 17:45 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft
2008-04-27 18:21 . 2008-04-28 13:19 <REP> d-------- C:\Documents and Settings\Olivier\Application Data\TmpRecentIcons
2008-04-26 22:27 . 2008-05-12 15:02 <REP> d-------- C:\Program Files\Steam
2008-04-25 22:36 . 2008-04-25 22:40 <REP> d-------- C:\Documents and Settings\Olivier\Application Data\uTorrent
2008-04-25 21:03 . 2008-04-25 21:03 <REP> d-------- C:\Program Files\Zattoo
2008-04-25 20:57 . 2008-04-25 20:57 <REP> d-------- C:\Program Files\DVD Flick
2008-04-25 20:57 . 2008-05-03 14:36 <REP> d-------- C:\Documents and Settings\Olivier\Application Data\DVD Flick
2008-04-25 20:57 . 2004-03-09 00:00 212,240 --a------ C:\WINDOWS\system32\richtx32.ocx
2008-04-25 20:57 . 2000-05-19 17:56 81,920 --a------ C:\WINDOWS\system32\mbmouse.ocx
2008-04-25 20:57 . 2000-11-05 15:27 36,864 --a------ C:\WINDOWS\system32\trayicon.ocx
2008-04-24 17:59 . 2008-04-24 17:59 <REP> d-------- C:\Program Files\7-Zip
2008-04-23 18:56 . 2008-04-23 18:56 244 --ah----- C:\sqmnoopt04.sqm
2008-04-23 18:56 . 2008-04-23 18:56 244 --ah----- C:\sqmnoopt03.sqm
2008-04-23 18:56 . 2008-04-23 18:56 232 --ah----- C:\sqmdata04.sqm
2008-04-23 18:56 . 2008-04-23 18:56 232 --ah----- C:\sqmdata03.sqm
2008-04-23 18:55 . 2008-04-23 18:55 268 --ah----- C:\sqmdata02.sqm
2008-04-23 18:55 . 2008-04-23 18:55 244 --ah----- C:\sqmnoopt02.sqm
2008-04-23 18:53 . 2008-04-23 18:53 <REP> d-------- C:\Program Files\Windows Desktop Search
2008-04-23 18:53 . 2008-04-23 18:53 <REP> d-------- C:\Documents and Settings\Olivier\Application Data\Windows Desktop Search
2008-04-23 18:52 . 2006-09-15 14:36 192,000 -----c--- C:\WINDOWS\system32\dllcache\offfilt.dll
2008-04-23 18:52 . 2006-09-15 14:36 98,304 -----c--- C:\WINDOWS\system32\dllcache\nlhtml.dll
2008-04-23 18:50 . 2008-04-23 18:50 244 --ah----- C:\sqmnoopt01.sqm
2008-04-23 18:50 . 2008-04-23 18:50 232 --ah----- C:\sqmdata01.sqm
2008-04-23 18:45 . 2008-04-23 18:45 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Office Genuine Advantage
2008-04-23 18:01 . 2008-04-27 11:41 <REP> d-------- C:\Documents and Settings\All Users\Application Data\SSScanAppDataDir
2008-04-23 18:01 . 2008-04-23 18:01 <REP> d-------- C:\Documents and Settings\All Users\Application Data\MSScanAppDataDir
2008-04-23 17:37 . 2006-10-26 19:58 30,512 --a------ C:\WINDOWS\system32\mdimon.dll
2008-04-23 17:36 . 2006-10-26 19:56 32,592 --a------ C:\WINDOWS\system32\msonpmon.dll
2008-04-23 17:35 . 2008-04-23 17:35 <REP> d-------- C:\Program Files\MSBuild
2008-04-23 17:35 . 2008-04-23 17:35 <REP> d-------- C:\Program Files\Microsoft Works
2008-04-23 17:34 . 2008-04-23 17:34 <REP> d-------- C:\Program Files\Microsoft.NET
2008-04-23 17:32 . 2008-04-23 17:39 <REP> d-------- C:\Program Files\Microsoft Visual Studio 8
2008-04-23 17:31 . 2008-05-14 22:34 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Microsoft Help
2008-04-23 17:30 . 2008-04-23 17:30 <REP> dr-h----- C:\MSOCache
2008-04-17 18:38 . 2008-04-17 18:38 <REP> d-------- C:\Program Files\EA GAMES
2008-04-17 16:41 . 2005-02-26 07:34 442,368 -ra------ C:\WINDOWS\system32\vp6vfw.dll
2008-04-16 13:19 . 2008-04-16 13:19 <REP> d-------- C:\Program Files\Fichiers communs\Borland Shared
2008-04-16 13:18 . 2008-04-16 13:18 <REP> d-------- C:\Documents and Settings\Amelie\WINDOWS
2008-04-16 13:18 . 1998-10-07 13:08 327,168 --a------ C:\WINDOWS\IsUn040c.exe
2008-04-16 13:18 . 2008-04-16 13:22 40 --a------ C:\WINDOWS\Navigma.INI

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-16 15:52 --------- d-----w C:\Program Files\Common Files
2008-05-13 16:09 --------- d-----w C:\Documents and Settings\Olivier\Application Data\Apple Computer
2008-05-06 20:05 --------- d-----w C:\Program Files\Apple Software Update
2008-05-03 13:09 --------- d-----w C:\Program Files\Google
2008-05-01 21:32 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-04-24 16:13 --------- d-----w C:\Documents and Settings\Amelie\Application Data\LimeWire
2008-04-24 15:51 --------- d-----w C:\Program Files\Fichiers communs\C-CHANNEL
2008-04-21 15:25 --------- d-----w C:\Documents and Settings\All Users\Application Data\DVD Shrink
2008-04-14 15:29 --------- d-----w C:\Program Files\PANZERS - Phase2
2008-04-13 15:22 --------- d-----w C:\Program Files\Windows Live
2008-04-13 13:42 --------- d-----w C:\Documents and Settings\Amelie\Application Data\CyberLink
2008-04-13 13:21 --------- d-----w C:\Program Files\InterActual
2008-04-11 18:10 --------- d-----w C:\Documents and Settings\All Users\Application Data\Messenger Plus!
2008-04-11 17:31 --------- d-----w C:\Program Files\Messenger Plus! Live
2008-04-11 17:27 --------- d-----w C:\Program Files\Microsoft SQL Server Compact Edition
2008-04-11 17:26 --------- dcsh--w C:\Program Files\Fichiers communs\WindowsLiveInstaller
2008-04-11 17:25 --------- d-----w C:\Documents and Settings\All Users\Application Data\WLInstaller
2008-04-09 10:52 --------- d-----w C:\Program Files\PDFCreator
2008-04-07 17:22 --------- d-----w C:\Documents and Settings\Olivier\Application Data\Symantec
2008-04-07 16:26 --------- d-----w C:\Program Files\Fichiers communs\Symantec Shared
2008-04-07 16:26 --------- d-----w C:\Documents and Settings\All Users\Application Data\Symantec
2008-04-07 16:08 --------- d-----w C:\Program Files\Symantec
2008-04-07 15:05 --------- d-----w C:\Documents and Settings\Olivier\Application Data\CyberLink
2008-04-07 14:47 --------- d-----w C:\Program Files\DVD Shrink
2008-03-27 17:51 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2008-03-27 17:49 --------- d-----w C:\Documents and Settings\All Users\Application Data\SimCity Societies
2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll
2008-03-25 04:51 194,144 ----a-w C:\WINDOWS\system32\msjint40.dll
2008-03-24 15:46 --------- d-----w C:\Documents and Settings\Kevin\Application Data\LimeWire
2008-03-24 14:14 --------- d-----w C:\Program Files\LimeWire
2008-03-24 14:04 --------- d-----w C:\Documents and Settings\Kevin\Application Data\Apple Computer
2008-03-20 08:09 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-19 16:09 --------- d-----w C:\Documents and Settings\All Users\Application Data\Ubisoft
2008-03-14 16:39 1 ----a-w C:\Documents and Settings\Olivier\SI.bin
2008-03-07 20:00 409,600 ----a-w C:\WINDOWS\system32\wrap_oal.dll
2008-03-07 20:00 114,688 ----a-w C:\WINDOWS\system32\OpenAL32.dll
2008-03-05 14:04 558,142 ----a-w C:\WINDOWS\java\Packages\WURD3F9B.ZIP
2008-03-05 14:04 155,995 ----a-w C:\WINDOWS\java\Packages\F9FVT37D.ZIP
2008-03-01 12:58 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-02-20 06:51 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll
2008-02-20 05:35 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll
2006-06-23 06:48 32,768 ----a-r C:\WINDOWS\inf\UpdateUSB.exe
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="C:\Program Files\Analog Devices\Core\smax4pnp.exe" [2006-12-18 15:34 868352]
"nwiz"="nwiz.exe" [2007-12-05 02:41 1626112 C:\WINDOWS\system32\nwiz.exe]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-11-29 03:17 55824 C:\WINDOWS\KHALMNPR.Exe]
"Symantec Backup Exec System Recovery 7.0"="C:\Program Files\Symantec\Backup Exec System Recovery\Agent\VProTray.exe" [2008-01-10 04:42 2037088]
"Windows Defender"="C:\Program Files\Windows Defender\MSASCui.exe" [2006-11-03 18:20 866584]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 02:41 8523776]
"AVP"="C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" [2008-02-08 18:36 227856]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2008-03-28 23:37 413696]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 01:54 15360]
"DWQueuedReporting"="C:\PROGRA~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" [2006-10-26 19:48 434528]

C:\Documents and Settings\Kevin\Menu D‚marrer\Programmes\D‚marrage\
OneNote 2007 - Capture d'‚cran et lancement.lnk - C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE [2006-10-26 20:24:54 98632]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
C-CHANNEL OnlineUpdate.lnk - C:\Program Files\C-CHANNEL\OnlineUpdate\PeOnlineUpdate.exe [2008-03-06 19:24:46 993096]
Logitech SetPoint.lnk - C:\Program Files\Logitech\SetPoint\SetPoint.exe [2008-03-06 18:16:11 789008]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= C:\Program Files\Windows Desktop Search\MSNLNamespaceMgr.dll [2007-02-05 15:39 294400]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
c:\program files\fichiers communs\logishrd\bluetooth\LBTWlgn.dll 2008-01-09 13:30 72208 c:\Program Files\Fichiers communs\Logishrd\Bluetooth\LBTWLgn.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"E:\\Jeux\\CompanyofHeroes\\RelicCOH.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Program Files\\LimeWire\\LimeWire.exe"=
"C:\\Program Files\\iTunes\\iTunes.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
"C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE"=
"C:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"C:\\Program Files\\Zattoo\\zattood.exe"=
"C:\\Program Files\\Zattoo\\Zattoo2.exe"=
"C:\\kav\\kis7.0\\french\\setup.exe"=

R2 Backup Exec System Recovery;Backup Exec System Recovery;C:\Program Files\Symantec\Backup Exec System Recovery\Agent\VProSvc.exe [2008-01-10 04:42]
R2 McciCMService;McciCMService;"C:\Program Files\Fichiers communs\Motive\McciCMService.exe" [2007-09-10 10:19]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-12-13 13:28]
S3 MREMP50;MREMP50 NDIS Protocol Driver;C:\PROGRA~1\FICHIE~1\Motive\MREMP50.SYS [2007-07-10 18:37]
S3 MRESP50;MRESP50 NDIS Protocol Driver;C:\PROGRA~1\FICHIE~1\Motive\MRESP50.SYS [2007-07-10 18:37]

.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2008-05-06 16:55:31 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
"2008-05-16 14:16:09 C:\WINDOWS\Tasks\MP Scheduled Scan.job"
- C:\Program Files\Windows Defender\MpCmdRun.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-16 18:04:00
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
Temps d'accomplissement: 2008-05-16 18:08:17
ComboFix-quarantined-files.txt 2008-05-16 16:08:10
ComboFix2.txt 2008-05-05 17:41:14

Pre-Run: 55,244,976,128 octets libres
Post-Run: 55,543,930,880 octets libres

208 --- E O F --- 2008-05-14 20:34:10

Malwarebytes' Anti-Malware 1.12
Version de la base de données: 755

Type de recherche: Examen rapide
Eléments examinés: 50807
Temps écoulé: 3 minute(s), 51 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 36

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{0e1230f8-ea50-42a9-983c-d22abc2eeb4c} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\akttzn.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\anticipator.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\awtoolb.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\bdn.com (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\dpcproxy.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\hoproxy.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\hxiwlgpm.dat (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\hxiwlgpm.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\msgp.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\msnbho.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\mssecu.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\mtr2.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\mwin32.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\netode.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\newsd32.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ps1.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\psof1.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\psoft1.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\regc64.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\regm64.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\Rundl1.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\sncntr.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ssurf022.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ssvchost.com (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ssvchost.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\sysreq.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\taack.dat (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\taack.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\temp#01.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\thun.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\thun32.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\VBIEWER.OCX (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\vbsys2.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\vcatchpi.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\winlogonpc.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\WINWGPX.EXE (Trojan.Agent) -> Quarantined and deleted successfully.

J'attends de tes nouvelles et espère que tout sera bientôt nettoyé

Bonne soirée et merci

par **dream** » 16 Mai 2008 18:59

Salut, va voir là.
http://mickael.barroux.free.fr/securite/navilog.php

par **Falkra** » 16 Mai 2008 19:25

Bonsoir, il vaut mieux ne pas se mettre à plusieurs sur un sujet déjà bien entamé. :wink:

(et Navilog n'est pas réellement justifié ici).

par **Ogu** » 17 Mai 2008 18:01

Salut à vous!

Dream, je ne vois rien indiquant du Navipromo dans les rapports: quelque chose t'a-t-il mis la puce à l'oreille? Si oui, merci de me l'indiquer ;-)

!

Malwarebytes AM a fait du bon boulot, et je ne vois plus rien d'infectieux dans le rapport ComboFix. Félicitations!

Avant de déclarer terminée ta désinfection, 4 contrôles d'usage:

PREGUNTAS

J'ai noté dans le rapport CF un dossier Avira et un driver Online Armor: disposes-tu d'Antivir en plus de Kaspersky, et as-tu installé le pare-feu/HIPS Online Armor?

Un petit conseil sécuritaire également:

uTORRENT, LIMEWIRE et PEER-TO-PEER

Je note que tu as deux logiciel de peer-to-peer: µTorrent et LimeWire

Le peer-to-peer est un des principaux vecteurs de virus...Je te conseille de lire:

L'article de Tesgaz sur les dangers du peer-to-peer et des cracks

A toi de voir si tu veux continuer le peer-to-peer, mais sache que c'est à tes risques et périls (je parle uniquement du point de vue de la sécurité informatique, loin de moi l'idée de relayer la propagande anti-peer-to-peer des maisons de production ;-)

!!)

RAPPORT KASPERSKY

Règle Kaspersky au meilleur de ses capacités, si ce n'est déjà fait, à l'aide de ce tuto de Malekal

Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

Redémarre ton ordinateur
Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
Choisis ton compte.
Puis lance un scan Kaspersky et supprime tout ce qu'il te trouve.
Poste le rapport qu'Kaspersky va générer

HIJACKTHIS

Poste un nouveau rapport s'il te plaît!

A+!

par **Ogu** » 19 Mai 2008 18:45

Où en es-tu Opmaurer?

par **Ogu** » 09 Juin 2008 19:29

Dernier up' avant abandon du sujet!

par **opmaurer** » 11 Juin 2008 11:08

Salut Ogu,

J'envoie ci-joint le dernier log de Hijackthis.

Je n'ai plus le programme Karspersky en fonction, il n'était qu'à l'essai pendant un mois sur ma bécane.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:05:56, on 11.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Symantec\Backup Exec System Recovery\Agent\VProSvc.exe
C:\Program Files\Executive Software\Diskeeper\DkService.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
C:\Program Files\McAfee\Common Framework\FrameworkService.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Motive\McciCMService.exe
C:\Program Files\McAfee\VirusScan Enterprise\Mcshield.exe
C:\Program Files\McAfee\VirusScan Enterprise\VsTskMgr.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Symantec\Backup Exec System Recovery\Agent\VProTray.exe
C:\Program Files\McAfee\Common Framework\UdaterUI.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\McAfee\Common Framework\McTray.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Fichiers communs\Logishrd\KHAL2\KHALMNPR.EXE
C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe
C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\totalcmd\TOTALCMD.EXE
C:\WINDOWS\system32\wuauclt.exe
G:\RE-INSTALL HD\Anti-virus\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~3\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files\McAfee\VirusScan Enterprise\scriptcl.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: (no name) - {D0943516-5076-4020-A3B5-AEFAF26AB263} - (no file)
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Symantec Backup Exec System Recovery 7.0] "C:\Program Files\Symantec\Backup Exec System Recovery\Agent\VProTray.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\McAfee\Common Framework\UdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: C-CHANNEL OnlineUpdate.lnk = ?
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Ouvrir l'image dans &Microsoft PhotoDraw - res://C:\PROGRA~1\MICROS~3\Office\1036\phdintl.dll/phdContext.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microso ... 4730837250
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~3\Office12\GR99D3~1.DLL
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Backup Exec System Recovery - Symantec Corporation - C:\Program Files\Symantec\Backup Exec System Recovery\Agent\VProSvc.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\Diskeeper\DkService.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Fichiers communs\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LVCOMSer - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - McAfee, Inc. - C:\Program Files\McAfee\Common Framework\FrameworkService.exe
O23 - Service: McciCMService - Motive Communications, Inc. - C:\Program Files\Fichiers communs\Motive\McciCMService.exe
O23 - Service: McAfee McShield (McShield) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan Enterprise\Mcshield.exe
O23 - Service: McAfee Task Manager (McTaskManager) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan Enterprise\VsTskMgr.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

--
End of file - 8925 bytes

Alors où en somme-nous et encore toutes mes excuses pour le retard.

par **Ogu** » 11 Juin 2008 13:05

Salut Opmaurer, content que tu sois de retour!

opmaurer a écrit:Je n'ai plus le programme Karspersky en fonction, il n'était qu'à l'essai pendant un mois sur ma bécane.

Ah d'accord. J'ai vu que tu l'avais remplacé par McAfee, mais ce programme n'est pas génial...Quelques pistes sur les antivirus, dans l'hypothèse où tu n'ais pas payé McAfee, sinon conserve-le.

Si Kaspersky t'a plu, tu peux obtenir une license gratuite et légale pour une période d'un an, pare-feu compris:
kaspersky-internet-security-gratuit-un-an-t28644.html
Autrement, nous conseillons Antivir
La nouvelle version d'AVG (gratuite) a fait des progrès impressionants, et elle est en français

Indique-moi quel choix tu as effectué!

En attendant, il me faut un scan antivirus, donc on va utiliser le scanner simple de Kaspersky:

AVP TOOL de Kaspersky

AVP TOOL

Lance l'exécutable intitulé "setup_7.0xxxxx" en double-cliquant dessus
Répond "Oui" à la question "Do you want to continue installation?"
Clique sur "Next" pour les deux fenêtres suivantes: AVP TOOL s'installe sur ton Bureau dans un dossier nommé "Kaspersky Lab Tool"
Si nécessaire, branche tes périphériques amovibles (clés USB, disque dur externe...)
L'outil se lance tout seul: coche toutes les cases dans l'onglet "Automatic Scan".
Clique maintenant sur "Security Level": une fenêtre de configuration s'ouvre: paramètre le scanner comme sur l'image:
Valide avec "Apply" puis "OK"
L'outil est maintenant configuré: dans la fenêtre principale, clique sur "Scan". Le scan commence, une nouvelle fenêtre s'ouvre indiquant la progression du balayage en pourcentage.
A la fin du scan, AVP Tool signale les objets infectés par l'intermédiaire d'une pop-up: coche alors "Apply to all" et clique sur "Delete" ou "Disinfect" selon ce que propose la fenêtre:
Une fois les infections traitées par l'intermédiaire des pop-ups, il se peut que des fichiers malsains n'aient pas été supprimés: ils apparaissent en rouge dans la liste: clique alors sur le bouton "Neutralize all" de la fenêtre de progression du scan: si une pop-up indique qu'il faut redémarrer, accepte en cliquant sur "OK"
Rend-toi maintenant dans l'onglet "Events" de la fenêtre de progression du scan, et décoche "Show all events"
Clique enfin sur "Reports" puis "Save to file" et enregistre le rapport sur ton Bureau sous le nom Rapport AVP TOOL
Poste le contenu du rapport dans ta prochaine réponse

Je n'ai rien à redire pour le rapport HijackThis qui est bon.

Souhaites-tu ensuite quelques conseils de sécurisation de ta machine?

DEMANDE DE DESINFECTION SUITE A ATTAQUE MULTIPLE

DEMANDE DE DESINFECTION SUITE A ATTAQUE MULTIPLE

Re: DEMANDE DE DESINFECTION SUITE A ATTAQUE MULTIPLE

Re: DEMANDE DE DESINFECTION SUITE A ATTAQUE MULTIPLE

Re: DEMANDE DE DESINFECTION SUITE A ATTAQUE MULTIPLE

Re: DEMANDE DE DESINFECTION SUITE A ATTAQUE MULTIPLE

Re: DEMANDE DE DESINFECTION SUITE A ATTAQUE MULTIPLE

Re: DEMANDE DE DESINFECTION SUITE A ATTAQUE MULTIPLE

Re: DEMANDE DE DESINFECTION SUITE A ATTAQUE MULTIPLE

Re: DEMANDE DE DESINFECTION SUITE A ATTAQUE MULTIPLE

Re: DEMANDE DE DESINFECTION SUITE A ATTAQUE MULTIPLE

Re: DEMANDE DE DESINFECTION SUITE A ATTAQUE MULTIPLE

Re: DEMANDE DE DESINFECTION SUITE A ATTAQUE MULTIPLE

Re: DEMANDE DE DESINFECTION SUITE A ATTAQUE MULTIPLE

Re: DEMANDE DE DESINFECTION SUITE A ATTAQUE MULTIPLE

Re: DEMANDE DE DESINFECTION SUITE A ATTAQUE MULTIPLE

Re: DEMANDE DE DESINFECTION SUITE A ATTAQUE MULTIPLE

Re: DEMANDE DE DESINFECTION SUITE A ATTAQUE MULTIPLE

Re: DEMANDE DE DESINFECTION SUITE A ATTAQUE MULTIPLE

Re: DEMANDE DE DESINFECTION SUITE A ATTAQUE MULTIPLE

Re: DEMANDE DE DESINFECTION SUITE A ATTAQUE MULTIPLE

Qui est en ligne