Libellules.ch - forum d'informatique • Des tas de problèmes ! les spywares ?! : Désinfections et demandes d'analyse

par **tiph22** » 14 Mai 2008 18:19

Bonjour à tous j'ai de gros problemes sans doute liés aux spywares qui m'avaient inféctés !
j'ai installer AVC antispyware, zone alarme et antivir ... ça va beaucoup mieux mais j'ai des pubs recurrentes dont "advertissing...." qui font ramer mon pc !! c'est assez genant et puis il y a aussi le fait que je ne peux plus changer mon arriere plan ( qui avait été remplacé par un spyware avant le nettoyage) ..en faisant la manip' dans "executer" je n'ai pas non plus trouver la solution tous les états étant "non configuré" dans desktop ! l'arriere plan apparait simplement au démarrage et avant l'arret du systeme c'est à dire quand le bureau n'est pas encore la....

si vous pensez trouver mon probleme je suis toute à votre écoute...mon pc a la version XP pro .... et j'ai l'impression d'avoir la version 95 :S !!!!

PS : ...je ne suis pas douée niveau informatique...alors si par hasard vous trouvez ce qui ne va pas....pourriez vous me décrire les manip's à suivre ?? !! ^^ merci !!

par **Ogu** » 14 Mai 2008 18:43

Salut Tiph22!

j'ai pas tout compris à ta description, mais je vois à peu près de quoi il en est.

HIJACKTHIS

Télécharge et installe la dernière version d'HIJACKTHIS [v2.0.2] en cliquant sur l'image:

Enregistre HJTInstall.exe sur ton bureau
Double-clique sur HJTInstall.exe pour lancer le programme
Par défaut, il s'installera là || C:\Program Files\Trend Micro\HijackThis
Accepte la license en cliquant sur le bouton "I Accept"
Choisis l'option "Do a system scan and save a log file"
Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note
Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport
Colle le rapport que tu viens de copier sur ce forum
Ne fixe encore "AUCUNE" ligne, cela pourrait empêcher ton PC de fonctionner correctement

par **tiph22** » 14 Mai 2008 19:35

Merci pour ton descriptif que j'ai pu suivre à la lettre ! je te fais suivre les references du bloc note :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:33:01, on 14/05/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\00THotkey.exe
C:\WINDOWS\System32\TFNF5.exe
C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe
C:\Program Files\SigmaTel\Pilotes Audio SigmaTel AC97\stacmon.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\TOSHIBA\TouchED\TouchED.Exe
C:\WINDOWS\LTSMMSG.exe
C:\Program Files\TOSHIBA\TME3\TMERzCtl.EXE
C:\Program Files\TOSHIBA\Commandes TOSHIBA\TFncKy.exe
C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\EoRezo\EoEngine.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\TPSBattM.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ocntkkdm.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\Rundll32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\?ssembly\??plorer.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\Program Files\Fichiers communs\Teleca Shared\Generic.exe
C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\System32\RegSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TOSHIBA\TME3\Tmesrv31.exe
C:\Program Files\TOSHIBA\TME3\TMEEJME.EXE
C:\WINDOWS\System32\1XConfig.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\Rundll32.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\MSN Messenger\livecall.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://lo.st
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file:///C:\Program Files\TOSHIBA\Free Update Service\splash.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ads.eorezo.com/cgi-bin/advert/ge ... &x_dp_id=9
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://orange.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [SmoothView] C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe
O4 - HKLM\..\Run: [SigmaTel StacMon] C:\Program Files\SigmaTel\Pilotes Audio SigmaTel AC97\stacmon.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [TouchED] C:\Program Files\TOSHIBA\TouchED\TouchED.Exe
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [TMESRV.EXE] C:\Program Files\TOSHIBA\TME3\TMESRV31.EXE /Logon
O4 - HKLM\..\Run: [TMERzCtl.EXE] C:\Program Files\TOSHIBA\TME3\TMERzCtl.EXE /Service
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] c:\Program Files\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [EoEngine] "C:\Program Files\EoRezo\EoEngine.exe"
O4 - HKLM\..\Run: [ItsTV] "C:\Program Files\ItsLabel\ItsTV.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [{c4678865-e0b0-c8c8-e04c-30b4c948c3e1}] C:\WINDOWS\System32\Rundll32.exe "C:\WINDOWS\System32\{266b9523-6369-9aa3-34da-c9674a2f8eca}.dll" DllInit
O4 - HKLM\..\Run: [ExploreUpdSched] C:\WINDOWS\system32\ocntkkdm.exe DWram
O4 - HKLM\..\Run: [AntiSpywareMaster] C:\Program Files\AntiSpywareMaster\asm.exe
O4 - HKLM\..\Run: [dbar_starter] C:\Documents and Settings\Mon micro\Application Data\Deskbar_{273FE36F-2BE2-453e-8EFF-E48EFCFA8216}\starter.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [00bd5c4e] rundll32.exe "C:\WINDOWS\System32\vvorwrkb.dll",b
O4 - HKLM\..\Run: [BM038e6fd2] Rundll32.exe "C:\WINDOWS\System32\fsqmwmhf.dll",s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Dbab] "C:\PROGRA~1\SMBOLS~1\spool32.exe" -vt ndrv
O4 - HKCU\..\Run: [WinUpdater] "C:\Program Files\winvi\update.exe" /background
O4 - HKCU\..\Run: [WebSUpdater] "C:\Program Files\winvi\wupda.exe" /background
O4 - HKCU\..\Run: [Thvvsljc] C:\WINDOWS\?ssembly\??plorer.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Deewoo.lnk = C:\WINDOWS\system32\ocntkkdm.exe
O4 - Startup: DW_Start.lnk = C:\WINDOWS\system32\jjwnw64l.exe
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing)
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing)
O14 - IERESET.INF: START_PAGE_URL=file:///C:\Program Files\TOSHIBA\Free Update Service\splash.html
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microso ... 8098724230
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\TW9uIG1pY3Jv\command.exe (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe (file missing)
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe
O23 - Service: Tmesrv3 (Tmesrv) - TOSHIBA - C:\Program Files\TOSHIBA\TME3\Tmesrv31.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 9966 bytes

par **Ogu** » 14 Mai 2008 19:56

Re!

Tu es lourdement infectée, je ne garantie pas que l'on parvienne à rendre ton PC à nouveau fonctionnel. Mais on va faire le maximum!

Je te prépare une procédure détaillée pour demain.

A+!

par **tiph22** » 14 Mai 2008 19:58

Aie ... !!! :S...

Merci en tout cas .. !! ne t'embête pas trop non plus :oops:

!!

à demain

par **Ogu** » 15 Mai 2008 10:47

C'est parti!

SMITFRAUDFIX

Télécharge SmitfraudFix de S!Ri, balltrap34 et moe31 en cliquant sur cette image:

(Si tu as Norton Antivirus ou NOD32, désactive-le)
Double-clic dessus pour le lancer
Choisis l'option 1 et appuie sur Entrée
Réponds o (Oui) aux deux questions suivantes si elles sont posées
Un rapport sera généré, sauvegarde le dans un dossier
Copie/colle le contenu du rapport ici

COMBOFIX

TéléchargeComboFix de sUBs et positionne-le IMPERATIVEMENT sur ton bureau.
Télécharge ensuite les fichiers de Console de Récupération
- Ici si tu disposes de XP Home/Familial
- Là si tu disposes de XP Pro
  
  Comme indiqué sur l'image, déplace le fichier Microsoft que tu viens de télécharger et dépose-le sur ComboFix:
  
  ComboFix va maintenant installer automatiquement la Console de Récupération Windows sur votre ordinateur, et celle-ci s'affichera en tant que nouvelle option au démarrage de votre ordinateur. La Console pourra être utile en cas de coup dur. C'est une simple précaution, qui a déjà sauvé nombre de machines!
- Scanne enfin ta machine avec ComboFix de sUBs en suivant rigoureusement ce tuto (sauf la aprtie Console de récupération que l'on a déjà effectuée !!):
  
  http://www.bleepingcomputer.com/combofi ... r-combofix
  
  jusqu'à arriver à la création du rapport que tu posteras.

par **tiph22** » 15 Mai 2008 13:37

Piouf... dur dur mais les manip' sont faites ( et j'espere bien faites ^^ ) ... je note déjà une petite amélioration puisque mon fond d'écran ne pars plus !
je te fais suivre les manip's ...

**** 1ere MANIP :
SmitFraudFix v2.320

Rapport fait à 12:48:16,33, 15/05/2008
Executé à partir de C:\Documents and Settings\Mon micro\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\00THotkey.exe
C:\WINDOWS\System32\TFNF5.exe
C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe
C:\Program Files\SigmaTel\Pilotes Audio SigmaTel AC97\stacmon.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\TOSHIBA\TouchED\TouchED.Exe
C:\WINDOWS\LTSMMSG.exe
C:\WINDOWS\System32\TPSMain.exe
C:\Program Files\TOSHIBA\TME3\TMERzCtl.EXE
C:\Program Files\TOSHIBA\Commandes TOSHIBA\TFncKy.exe
C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\EoRezo\EoEngine.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\Rundll32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Mon micro

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Mon micro\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\MONMIC~1\Favoris

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Intel(R) PRO/Wireless 2200BG Network Connection - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{21C24EAE-28F2-4EEA-B7F2-4AB7039B4C5B}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{21C24EAE-28F2-4EEA-B7F2-4AB7039B4C5B}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{21C24EAE-28F2-4EEA-B7F2-4AB7039B4C5B}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

***** 2EME MANIP' :
ComboFix 08-05-12.1 - Mon micro 2008-05-15 13:58:37.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.1.1252.1.1036.18.141 [GMT 2:00]
Endroit: C:\Documents and Settings\Mon micro\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\Mon micro\Bureau\WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
* Création d'un nouveau point de restauration
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\aHjRtBeg.ini
C:\WINDOWS\system32\aHjRtBeg.ini2
C:\WINDOWS\system32\tafygbph.ini

.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-04-15 to 2008-05-15 ))))))))))))))))))))))))))))))))))))
.

2008-05-15 14:09 . 2008-05-15 14:09 21 --a------ C:\WINDOWS\system32\zxdnt3d.cfg
2008-05-15 13:31 . 2008-05-15 13:31 132,608 --a------ C:\WINDOWS\system32\ateycyfd.dll
2008-05-15 13:31 . 2008-05-15 13:31 2,048 --a------ C:\WINDOWS\system32\lhwpmwcs.exe
2008-05-15 13:27 . 2008-05-15 13:28 114,176 --a------ C:\WINDOWS\system32\hpbgyfat.dll
2008-05-15 13:25 . 2008-05-15 13:25 124,416 --a------ C:\WINDOWS\system32\brhrpiqm.dll
2008-05-15 13:24 . 2008-05-15 13:24 370,688 --a------ C:\WINDOWS\system32\geBtRjHa.dll
2008-05-15 13:18 . 2008-05-15 13:18 294 ---hs---- C:\WINDOWS\system32\xgwsvwib.ini
2008-05-15 12:48 . 2008-05-15 12:48 4,472 --a------ C:\WINDOWS\system32\tmp.reg
2008-05-15 12:47 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-05-15 12:47 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-05-15 12:47 . 2008-04-24 08:10 86,528 --a------ C:\WINDOWS\system32\VACFix.exe
2008-05-15 12:47 . 2008-04-28 08:03 82,944 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-05-15 12:47 . 2008-04-28 08:03 82,944 --a------ C:\WINDOWS\system32\404Fix.exe
2008-05-15 12:47 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-05-15 12:47 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-05-15 12:47 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-05-14 22:12 . 2008-05-14 22:12 133,120 --a------ C:\WINDOWS\system32\fhvydvas.dll
2008-05-14 21:57 . 2008-05-14 21:57 2,048 --a------ C:\WINDOWS\system32\awigqkwv.exe
2008-05-14 21:54 . 2008-05-14 21:54 125,952 --a------ C:\WINDOWS\system32\oeuoueeq.dll
2008-05-14 20:31 . 2008-05-14 20:31 <REP> d-------- C:\Program Files\Trend Micro
2008-05-14 18:20 . 2008-05-14 18:20 <REP> d--h----- C:\WINDOWS\system32\GroupPolicy
2008-05-13 22:12 . 2008-05-13 22:12 135,168 --a------ C:\WINDOWS\system32\ufljaqtw.dll
2008-05-13 21:57 . 2008-05-13 21:57 2,048 --a------ C:\WINDOWS\system32\bsfjjlux.exe
2008-05-13 21:54 . 2008-05-13 21:54 124,416 --a------ C:\WINDOWS\system32\fsqmwmhf.dll
2008-05-12 20:01 . 2008-05-12 20:02 132,608 --a------ C:\WINDOWS\system32\phpjgiko.dll
2008-05-12 19:55 . 2008-05-12 19:55 2,048 --a------ C:\WINDOWS\system32\qnffjtjd.exe
2008-05-12 19:52 . 2008-05-12 19:53 124,416 --a------ C:\WINDOWS\system32\ihmuqess.dll
2008-05-11 19:52 . 2008-05-11 19:52 134,656 --a------ C:\WINDOWS\system32\jkfauxla.dll
2008-05-09 13:52 . 2008-05-09 13:52 <REP> d-------- C:\Documents and Settings\Mon micro\Application Data\Grisoft
2008-05-09 13:52 . 2007-05-30 14:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2008-05-09 13:51 . 2008-05-09 13:51 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
2008-05-09 13:43 . 2008-05-09 13:43 <REP> d-------- C:\Documents and Settings\All Users\Application Data\MailFrontier
2008-05-09 13:42 . 2008-05-09 13:43 <REP> d-------- C:\WINDOWS\system32\ZoneLabs
2008-05-09 13:42 . 2008-05-09 13:42 <REP> d-------- C:\Program Files\Zone Labs
2008-05-09 13:42 . 2008-04-02 21:07 1,086,952 --a------ C:\WINDOWS\system32\zpeng24.dll
2008-05-09 13:42 . 2008-05-15 14:12 358,382 --a------ C:\WINDOWS\system32\vsconfig.xml
2008-05-09 13:41 . 2008-05-15 14:06 <REP> d-------- C:\WINDOWS\Internet Logs
2008-05-09 13:35 . 2008-05-15 14:08 <REP> d-------- C:\Program Files\ItsLabel
2008-05-09 13:27 . 2008-05-09 13:27 <REP> d-------- C:\Program Files\Avira
2008-05-09 13:27 . 2008-05-09 13:27 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2008-05-09 11:46 . 2008-05-09 13:27 <REP> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP
2008-05-09 10:52 . 2008-05-15 12:03 13,502 --a------ C:\WINDOWS\system32\JambaIconFR.ico
2008-05-09 10:44 . 2008-05-09 10:44 133,632 --a------ C:\WINDOWS\system32\nilcilyh.dll
2008-05-09 10:44 . 2008-05-09 10:44 125,440 --a------ C:\WINDOWS\system32\kchwuwgu.dll
2008-05-09 10:44 . 2008-05-09 10:44 2,048 --a------ C:\WINDOWS\system32\sebxjjni.exe
2008-05-08 23:04 . 2008-05-09 11:21 <REP> d-------- C:\Program Files\dbar
2008-05-08 22:56 . 2008-05-08 22:56 298,310 --a------ C:\WINDOWS\system32\gside.exe
2008-05-08 16:52 . 2008-05-11 20:00 9,662 --a------ C:\WINDOWS\system32\ZoneAlarmIconFR.ico
2008-05-08 16:49 . 2008-05-08 16:49 2,048 --a------ C:\WINDOWS\system32\nbaiprae.exe
2008-05-08 16:48 . 2008-05-08 16:48 125,952 --a------ C:\WINDOWS\system32\eabvqduh.dll
2008-05-08 16:48 . 2008-05-08 16:48 116,736 --a------ C:\WINDOWS\system32\hyxgesbj.dll
2008-05-08 16:48 . 2008-05-15 14:12 109,807 --a------ C:\WINDOWS\BM038e6fd2.xml
2008-05-08 16:48 . 2008-05-08 16:48 52,736 --a------ C:\WINDOWS\system32\geBuUnop.dll
2008-05-08 16:45 . 2008-05-08 16:45 366,080 --a------ C:\WINDOWS\system32\ssqOHyax.dll
2008-05-08 16:41 . 2008-05-08 16:41 687,592 --a------ C:\WINDOWS\system32\atmtd.dll._
2008-05-08 16:41 . 2008-05-08 16:41 687,592 --a------ C:\WINDOWS\system32\atmtd.dll
2008-05-08 16:41 . 2008-05-08 16:41 401,976 --a------ C:\WINDOWS\system32\g88.exe
2008-05-08 16:41 . 2008-05-08 16:41 200,766 --a------ C:\WINDOWS\system32\ocntkkdm.exe
2008-05-08 16:41 . 2008-05-08 16:41 63,902 --a------ C:\WINDOWS\system32\{266b9523-6369-9aa3-34da-c9674a2f8eca}.dll-uninst.exe
2008-05-08 16:41 . 2008-05-08 16:41 37,376 --a------ C:\WINDOWS\mrofinu572.exe.tmp
2008-05-08 16:41 . 2006-01-03 17:45 1,989 --a------ C:\WINDOWS\uninstall_nmon.vbs
2008-05-08 16:41 . 2008-05-12 11:50 860 --a------ C:\WINDOWS\system32\winpfz33.sys
2008-05-08 16:40 . 2008-05-08 16:40 <REP> d-------- C:\WINDOWS\system32\sX1
2008-05-08 16:40 . 2008-05-08 16:40 <REP> d-------- C:\WINDOWS\system32\mBL
2008-05-08 16:40 . 2008-05-08 16:40 <REP> d-------- C:\WINDOWS\system32\bkEur01
2008-05-08 16:40 . 2008-05-08 16:40 <REP> d-------- C:\WINDOWS\system32\20467
2008-05-08 16:40 . 2008-05-08 16:40 <REP> d-------- C:\Temp\maxsv15
2008-05-08 16:40 . 2008-05-15 12:56 <REP> d-------- C:\Temp
2008-05-08 16:40 . 2008-05-08 16:40 52,736 --a------ C:\WINDOWS\system32\nnnnLbCr.dll
2008-05-08 16:40 . 2008-05-08 16:40 49,155 --a------ C:\WINDOWS\system32\rwwnw64d.exe
2008-05-08 16:35 . 2008-05-08 16:35 <REP> d-------- C:\WINDOWS\Sun
2008-04-27 01:32 . 2008-05-14 17:29 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-04-27 01:32 . 2008-04-27 01:32 1,409 --a------ C:\WINDOWS\QTFont.for
2008-04-26 14:03 . 2008-04-26 14:03 8,880 --ah----- C:\WINDOWS\system32\mlfcache.dat
2008-04-26 13:45 . 2008-04-26 13:45 <REP> d-------- C:\Program Files\Fichiers communs\xing shared
2008-04-26 13:44 . 2008-04-26 13:44 <REP> d-------- C:\Program Files\Real
2008-04-26 13:44 . 2008-04-26 13:45 <REP> d-------- C:\Program Files\Fichiers communs\Real
2008-04-26 13:32 . 2008-04-26 13:32 <REP> d-------- C:\Program Files\Picasa2
2008-04-26 13:32 . 2006-10-05 04:42 2,560 --------- C:\WINDOWS\system32\drivers\cdralw2k.sys
2008-04-26 13:32 . 2006-10-05 04:42 2,432 --------- C:\WINDOWS\system32\drivers\cdr4_xp.sys
2008-04-26 13:29 . 2008-05-15 12:02 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Google Updater
2008-04-19 20:32 . 2008-04-19 20:32 <REP> d-------- C:\Documents and Settings\Mon micro\Application Data\Apple Computer
2008-04-19 19:27 . 2001-08-17 21:56 7,552 --a------ C:\WINDOWS\system32\drivers\SONYPVU1.SYS
2008-04-19 19:27 . 2001-08-17 21:56 7,552 --a--c--- C:\WINDOWS\system32\dllcache\sonypvu1.sys
2008-04-19 19:21 . 2006-11-10 18:23 97,184 -ra------ C:\WINDOWS\system32\drivers\SE2Emdm.sys
2008-04-19 19:21 . 2006-11-10 18:24 90,800 -ra------ C:\WINDOWS\system32\drivers\se2Eunic.sys
2008-04-19 19:21 . 2006-11-10 18:23 88,688 -ra------ C:\WINDOWS\system32\drivers\SE2Emgmt.sys
2008-04-19 19:21 . 2006-11-10 18:23 86,560 -ra------ C:\WINDOWS\system32\drivers\SE2Eobex.sys
2008-04-19 19:21 . 2006-11-10 18:23 18,704 -ra------ C:\WINDOWS\system32\drivers\se2End5.sys
2008-04-19 19:21 . 2006-11-10 18:23 9,360 -ra------ C:\WINDOWS\system32\drivers\SE2Emdfl.sys
2008-04-19 19:21 . 2006-11-10 18:23 6,240 -ra------ C:\WINDOWS\system32\drivers\SE2Ecmnt.sys
2008-04-19 19:21 . 2006-11-10 18:23 6,240 -ra------ C:\WINDOWS\system32\drivers\SE2Ecm.sys
2008-04-19 19:21 . 2006-11-10 18:23 4,128 -ra------ C:\WINDOWS\system32\drivers\se2Ecr.sys
2008-04-18 22:39 . 2008-04-18 22:39 <REP> d-------- C:\Documents and Settings\Mon micro\Application Data\InterVideo
2008-04-16 14:36 . 2008-04-16 14:36 170 --a------ C:\WINDOWS\system32\spupdsvc.inf
2008-04-15 18:11 . 2008-04-15 18:11 9 --ah----- C:\WINDOWS\system32\wxmmin.dll
2008-04-15 18:10 . 2008-04-15 18:20 <REP> d-------- C:\Program Files\Music Mixer 4
2008-04-15 17:36 . 2008-04-15 17:36 <REP> d-------- C:\Program Files\VirtualDJ
2008-04-15 17:25 . 2008-04-15 17:25 <REP> d-------- C:\Downloads
2008-04-15 17:25 . 2008-04-15 17:29 <REP> d-------- C:\Documents and Settings\Mon micro\Application Data\GetRightToGo

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-15 12:13 --------- d-----w C:\Documents and Settings\Mon micro\Application Data\EoRezo
2008-05-15 12:06 833,498 ----a-w C:\WINDOWS\Internet Logs\tvDebug.zip
2008-05-15 12:05 479,232 ----a-w C:\WINDOWS\Internet Logs\xDB1.tmp
2008-05-09 11:34 --------- d-----w C:\Program Files\EoRezo
2008-05-09 09:45 --------- d-----w C:\Program Files\Google
2008-04-19 17:22 --------- d-----w C:\Documents and Settings\Mon micro\Application Data\Teleca
2008-04-14 12:23 --------- d-----w C:\Documents and Settings\All Users\Application Data\Messenger Plus!
2008-04-14 12:13 --------- d-----w C:\Program Files\Windows Live
2008-04-14 12:13 --------- d-----w C:\Program Files\MSN Messenger
2008-04-14 12:13 --------- d-----w C:\Program Files\Messenger Plus! Live
2008-04-13 17:04 --------- d-----w C:\Documents and Settings\Mon micro\Application Data\ItsLabel
2008-04-13 14:57 --------- d-----w C:\Program Files\Services en ligne
2008-04-13 14:47 --------- d-----w C:\Program Files\Fichiers communs\logishrd
2008-04-13 14:01 --------- d-----w C:\Documents and Settings\All Users\Application Data\Windows Live Toolbar
2008-04-13 13:11 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-04-13 13:11 --------- d-----w C:\Program Files\QuickTime
2008-04-13 13:08 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple Computer
2008-04-13 12:33 --------- d-----w C:\Documents and Settings\Mon micro\Application Data\Sony Ericsson
2008-04-13 12:29 --------- d-----w C:\Program Files\Fichiers communs\Teleca Shared
2008-04-13 12:29 --------- d-----w C:\Program Files\Fichiers communs\Sony Ericsson Shared
2008-04-13 12:29 --------- d-----w C:\Documents and Settings\All Users\Application Data\Teleca
2008-04-13 12:29 --------- d-----w C:\Documents and Settings\All Users\Application Data\Sony Ericsson
2008-04-13 12:27 --------- d-----w C:\Program Files\Sony Ericsson
2008-04-13 12:26 --------- d-----w C:\Program Files\Fichiers communs\InstallShield
2008-04-02 19:08 54,672 ----a-w C:\WINDOWS\system32\vsutil_loc040c.dll
2008-04-02 19:08 42,384 ----a-w C:\WINDOWS\zllsputility_loc040c.dll
2008-04-02 19:08 21,904 ----a-w C:\WINDOWS\system32\imsinstall_loc040c.dll
2008-04-02 19:08 17,808 ----a-w C:\WINDOWS\system32\imslsp_install_loc040c.dll
2008-04-02 19:07 75,248 ----a-w C:\WINDOWS\zllsputility.exe
2008-03-18 07:14 0 --sha-r C:\WINDOWS\system32\drivers\TOSHIBA_TECRA A2_02002000-FR_PTA20E-02T01.MRK
2008-03-18 07:12 --------- d-----w C:\Program Files\Intel
2008-03-18 07:11 14,037 ----a-w C:\WINDOWS\system32\drivers\mdc8021x.sys
2008-03-04 19:32 105,984 ----a-w C:\WINDOWS\b152.exe
.

------- Sigcheck -------

2004-08-04 08:00 29056 4448006b6bc60e6c027932cfc38d6855 C:\WINDOWS\SoftwareDistribution\Download\70ccc3de7e94865059fbcf2f809c03b1\ip6fw.sys
.
((((((((((((((((((((((((((((( snapshot@2008-05-15_13.17.48.33 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-05-15 11:05:54 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-05-15 12:06:07 2,048 --s-a-w C:\WINDOWS\bootstat.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0F73D9BF-647C-43B5-8C62-9216C55F5BB1}]
2008-05-15 13:24 370688 --a------ C:\WINDOWS\System32\geBtRjHa.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B3CC7DCC-909F-4A7F-856B-059D05CC31FA}]
2008-05-08 16:45 366080 --a------ C:\WINDOWS\System32\ssqOHyax.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{eb6ff1d0-6202-4f9a-95f5-44c1ca115ec0}]
2008-05-15 13:31 132608 --a------ C:\WINDOWS\System32\ateycyfd.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F9DF827A-8FA7-48A3-B268-CA4DB563EA40}]
2008-05-08 16:40 52736 --a------ C:\WINDOWS\System32\nnnnLbCr.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2003-04-24 13:00 13312]
"TOSCDSPD"="C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe" [2003-09-15 17:19 65536]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:54 5674352]
"Dbab"="C:\PROGRA~1\SMBOLS~1\spool32.exe" [ ]
"WinUpdater"="C:\Program Files\winvi\update.exe" [ ]
"WebSUpdater"="C:\Program Files\winvi\wupda.exe" [ ]
"Thvvsljc"="C:\WINDOWS\?ssembly\??plorer.exe" [ ]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-04-26 13:29 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe" [2004-04-27 11:10 32881]
"IgfxTray"="C:\WINDOWS\System32\igfxtray.exe" [2004-01-26 18:03 155648]
"HotKeysCmds"="C:\WINDOWS\System32\hkcmd.exe" [2004-01-26 18:03 118784]
"00THotkey"="C:\WINDOWS\System32\00THotkey.exe" [2004-03-29 12:10 253952]
"000StTHK"="000StTHK.exe" [2001-06-23 20:28 24576 C:\WINDOWS\system32\000StTHK.exe]
"TFNF5"="TFNF5.exe" [2003-12-02 13:15 73728 C:\WINDOWS\system32\TFNF5.exe]
"SmoothView"="C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe" [2004-03-30 13:51 118784]
"SigmaTel StacMon"="C:\Program Files\SigmaTel\Pilotes Audio SigmaTel AC97\stacmon.exe" [2003-08-03 16:01 86073]
"Apoint"="C:\Program Files\Apoint2K\Apoint.exe" [2003-10-30 15:46 192512]
"TouchED"="C:\Program Files\TOSHIBA\TouchED\TouchED.Exe" [2003-03-11 13:58 122880]
"LTSMMSG"="LTSMMSG.exe" [2003-04-18 10:06 32768 C:\WINDOWS\ltsmmsg.exe]
"TPSMain"="TPSMain.exe" [2004-04-01 14:20 266240 C:\WINDOWS\system32\TPSMain.exe]
"TMESRV.EXE"="C:\Program Files\TOSHIBA\TME3\TMESRV31.exe" [2004-04-13 12:14 126976]
"TMERzCtl.EXE"="C:\Program Files\TOSHIBA\TME3\TMERzCtl.exe" [2003-10-29 12:12 81920]
"TFncKy"="TFncKy.exe" []
"PRONoMgr.exe"="c:\Program Files\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe" [2003-12-10 03:36 86016]
"Sony Ericsson PC Suite"="C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2006-11-24 01:06 487424]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2008-04-13 15:08 155648]
"EoEngine"="C:\Program Files\EoRezo\EoEngine.exe" [2008-04-16 12:01 565248]
"ItsTV"="C:\Program Files\ItsLabel\ItsTV.exe" [2007-04-26 16:19 2908160]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2008-04-26 13:44 185632]
"AntiSpywareMaster"="C:\Program Files\AntiSpywareMaster\asm.exe" [ ]
"dbar_starter"="C:\Documents and Settings\Mon micro\Application Data\Deskbar_{273FE36F-2BE2-453e-8EFF-E48EFCFA8216}\starter.exe" [ ]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]
"ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2008-04-02 21:07 919016]
"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 11:25 6731312]
"00bd5c4e"="C:\WINDOWS\System32\hpbgyfat.dll" [2008-05-15 13:28 114176]
"BM038e6fd2"="C:\WINDOWS\System32\brhrpiqm.dll" [2008-05-15 13:25 124416]
"ExploreUpdSched"="C:\WINDOWS\system32\ocntkkdm.exe" [2008-05-08 16:41 200766]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2003-04-24 13:00 13312]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{F9DF827A-8FA7-48A3-B268-CA4DB563EA40}"= C:\WINDOWS\System32\nnnnLbCr.dll [2008-05-08 16:40 52736]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\nnnnLbCr]
nnnnLbCr.dll 2008-05-08 16:40 52736 C:\WINDOWS\system32\nnnnLbCr.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\Sebring]
c:\WINDOWS\System32\LgNotify.dll 2003-12-16 17:49 110592 c:\WINDOWS\system32\LgNotify.dll

R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\DRIVERS\avgntmgr.sys [2008-01-21 18:11]
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2008-01-21 18:12]
R1 TMEI3E;TMEI3E;C:\WINDOWS\System32\Drivers\TMEI3E.SYS [2002-09-26 13:15]
R3 TOSHIBASoftModem;TOSHIBA Software Modem;C:\WINDOWS\System32\DRIVERS\LTSM.sys [2002-09-17 16:12]
S3 SE2Ebus;Sony Ericsson Device 046 Driver driver (WDM);C:\WINDOWS\System32\DRIVERS\SE2Ebus.sys [2006-11-10 18:23]
S3 SE2Emdfl;Sony Ericsson Device 046 USB WMC Modem Filter;C:\WINDOWS\System32\DRIVERS\SE2Emdfl.sys [2006-11-10 18:23]
S3 SE2Emdm;Sony Ericsson Device 046 USB WMC Modem Driver;C:\WINDOWS\System32\DRIVERS\SE2Emdm.sys [2006-11-10 18:23]
S3 SE2Emgmt;Sony Ericsson Device 046 USB WMC Device Management Drivers (WDM);C:\WINDOWS\System32\DRIVERS\SE2Emgmt.sys [2006-11-10 18:23]
S3 se2End5;Sony Ericsson Device 046 USB Ethernet Emulation SEMC46 (NDIS);C:\WINDOWS\System32\DRIVERS\se2End5.sys [2006-11-10 18:23]
S3 SE2Eobex;Sony Ericsson Device 046 USB WMC OBEX Interface;C:\WINDOWS\System32\DRIVERS\SE2Eobex.sys [2006-11-10 18:23]
S3 se2Eunic;Sony Ericsson Device 046 USB Ethernet Emulation SEMC46 (WDM);C:\WINDOWS\System32\DRIVERS\se2Eunic.sys [2006-11-10 18:24]

.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-15 14:10:12
Windows 5.1.2600 Service Pack 1 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************
.
--------------------- DLLs a charg‚ sous des processus courants ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\nnnnLbCr.dll

PROCESS: C:\WINDOWS\explorer.exe
-> C:\WINDOWS\System32\hpbgyfat.dll
-> C:\WINDOWS\System32\brhrpiqm.dll
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\S24EvMon.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Toshiba\Commandes TOSHIBA\TFncKy.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Program Files\Toshiba\ConfigFree\CFSvcs.exe
C:\Program Files\Apoint2K\ApntEx.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\WINDOWS\system32\RegSrvc.exe
C:\Program Files\Toshiba\TME3\TMEEJME.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\1XConfig.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-05-15 14:19:49 - machine was rebooted
ComboFix-quarantined-files.txt 2008-05-15 12:19:32
ComboFix2.txt 2008-05-15 11:18:59

Pre-Run: 21,550,911,488 octets libres
Post-Run: 21,544,738,816 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /fastdetect
C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

285 --- E O F --- 2008-05-11 18:37:29

** voila.... j'espère que ces soucis sont réparables ..?! ... que c'est en bonne voie... en tout cas, merci de ton aide.. Tiphaine

par **morrizz** » 15 Mai 2008 17:23

salut,

en attente de Ogu;

Télécharge VundoFix.exe (par Atribune) sur ton bureau :
http://www.atribune.org/ccount/click.php?id=4

* Double-clique VundoFix.exe pour le lancer.
* Clique sur le bouton Scan for Vundo.
* Lorsque le scan est terminé, clique sur le bouton Fix Vundo
* Une invite te demandera si tu veux supprimer les fichiers, clique YES
* Après, le bureau disparaîtra un moment, c'est normal.
* Tu verras une invite qui t'annonce que ton PC va redémarrer; clique sur OK.
* Copie/colle le contenu du rapport situé dans C:\vundofix.txt

Télécharge Malwarebytes Antimalware:
http://majorgeeks.com/downloadget.php?i ... 666f809b26
Installe-le puis lance-le
Dans l'onglet "mise à jour", cliquer sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
Une fois la mise à jour terminée, rend-toi dans l'onglet "Recherche"
Sélectionne "Exécuter un examen complet"
Clique sur "Rechercher"
Le scan se lance
A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur "OK" pour poursuivre.
Si des malwares ont été détectés, leur liste s'affiche.
En cliquant sur Suppression (ou équivalent) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
MBAM va ouvrir le bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le

par **Falkra** » 15 Mai 2008 17:26

Bonsoir, si on se met à plusieurs dessus, je crains que la personne ne sache pas qui suivre dans quel ordre, et les conseils vont se télescoper... :wink:

Pas forcément une bonne option.

par **Ogu** » 15 Mai 2008 17:57

Clair!

Morriz si tu veux prendre l'infection vas-y, mais perso je ne travaille pas en binôme sur les désinfections!

par **morrizz** » 15 Mai 2008 20:05

salut,
no no, tu as raison, vas-y...
désolé, je voulait juste lui faire gagné du temps :wink:

par **Ogu** » 15 Mai 2008 20:47

Pas de problème Morriz!!

Tiphaine:

UPLOAD D'INFECTION

Rend-toi sur cette page d'upload de fichiers infectieux:

http://www.bleepingcomputer.com/submit-malware.php?channel=12
Dans la case "Link to topic where this file was requested[/i]", colle ce lien:

des-tas-de-problemes-les-spywares-t28383.html
Dans la case [i]"Browse to the file you want to submit", copie-colle cette ligne rouge

C:\Program Files\AntiSpywareMaster\asm.exe
Clique maintenant sur "send file"
Recommence les opération à l'identique, mais en changeant cette fois la ligne en rouge (étape 3) par celle-ci , en vert:

C:\WINDOWS\system32\ocntkkdm.exe
Recommence une dernière fois avec, enfin, cette ligne en bleu:

C:\WINDOWS\system32\rwwnw64d.exe
La communauté antimalware te remercie de cet upload;-) !

Quelques vérifs avant d'attaquer sévèrement avec ComboFix:

VIRUSTOTAL

Va sur le site [url="http://www.virustotal.com/fr/"]VirusTotal[/url]

Copie cette ligne:

C:\WINDOWS\system32\gside.exe
Colle cette ligne dans la fenêtre suivante, sur la page VirusTotal, en faisant CTRL-V:
Clique sur le bouton "Envoyer le fichier" et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
Une nouvelle fenêtre de ton navigateur va apparaître
Clique alors sur cette image :
Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
Enfin colle le résultat dans ta prochaine réponse.

Note : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse.

VIRUSTOTAL #2

Même opération que précédemment , mais cette fois-ci copie-colle cette ligne en rouge sur la page VirusTotal, en faisant CTRL-V:

C:\WINDOWS\SoftwareDistribution\Download\70ccc3de7e94865059fbcf2f809c03b1\ip6fw.sys

par **tiph22** » 15 Mai 2008 20:48

:-S .... ioups les gars vous battez pas...

désolée marrizz ... j'ai commencé avec ugo je prefere continuer le truc oki ?! je m'y connais vraiment pas et Ugo me renseigne super bien donc j'vais continuer de suivre son prog' mais merci bcp..

... c'est reparti Ugo ;-)

...

par **tiph22** » 15 Mai 2008 21:10

Hey Ogu.... voilà les rapports !

VIRTUAL TOTAL 1 : ****

× Fichier gside.exe reçu le 2008.05.15 21:58:00 (CET)Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.5.10.0 2008.05.13 -
AntiVir 7.8.0.17 2008.05.13 -
Authentium 5.1.0.4 2008.05.14 W32/DNSChanger.BA
Avast 4.8.1169.0 2008.05.12 -
AVG 7.5.0.516 2008.05.13 -
BitDefender 7.2 2008.05.08 Adware.BHO.WRG
CAT-QuickHeal 9.50 2008.05.12 -
ClamAV 0.92.1 2008.05.13 -
DrWeb 4.44.0.09170 2008.05.13 -
eSafe 7.0.15.0 2008.05.12 -
eTrust-Vet 31.4.5784 2008.05.13 -
Ewido 4.0 2008.05.13 -
F-Prot 4.4.2.54 2008.05.13 -
F-Secure 6.70.13260.0 2008.05.13 -
Fortinet 3.14.0.0 2008.05.13 Adware/Mysidsrch
GData 2.0.7306.1023 2008.05.14 -
Ikarus T3.1.1.26.0 2008.05.13 -
Kaspersky 7.0.0.125 2008.05.13 -
McAfee 5293 2008.05.12 -
Microsoft 1.3408 2008.05.13 -
NOD32v2 3095 2008.05.13 -
Norman 5.80.02 2008.05.09 -
Panda 9.0.0.4 2008.05.12 -
Prevx1 V2 2008.05.15 Cloaked Malware
Rising 20.44.12.00 2008.05.13 -
Sophos 4.29.0 2008.05.13 -
Sunbelt 3.0.1114.0 2008.05.12 -
Symantec 10 2008.05.13 Trojan.Adclicker
TheHacker 6.2.92.309 2008.05.13 -
VBA32 3.12.6.6 2008.05.13 AdWare.Win32.Agent.bds
VirusBuster 4.3.26:9 2008.05.12 -
Webwasher-Gateway 6.6.2 2008.05.13 -

Information additionnelle
File size: 298310 bytes
MD5...: 19282f4bdaaccffa15e74096f8c93d4e
SHA1..: b2602c97844d807deecb1539716c75b1c661e227
SHA256: 8f5f297df296efa89cd92e7ba2ae5c47c3d676f81d09e0d4f252dde61aa249a7
SHA512: c0a12699b5fbd4bf66bfb64ee186354f1f4cbf77205e56697960580b96b21c5c ddfcc4640aab88dc8e442a64ab05dbee6c4659a09a69432f1579c1f57161f613
PEiD..: -
PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x403228 timedatestamp.....: 0x47acc8a9 (Fri Feb 08 21:24:57 2008) machinetype.......: 0x14c (I386) ( 5 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x5a7e 0x5c00 6.47 47641d572224078da00d12032a7bb9d7 .rdata 0x7000 0x1190 0x1200 5.18 db16645055619c0cc73276ff5c3adb75 .data 0x9000 0x3997d8 0x400 4.71 1043e85c0a23a45c2aa392431eeaf00d .ndata 0x3a3000 0x9000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e .rsrc 0x3ac000 0x6fb0 0x7000 5.73 2cc0c48de1479acffe0686dbc3a5c5e7 ( 8 imports ) > KERNEL32.dll: CompareFileTime, SearchPathA, GetShortPathNameA, GetFullPathNameA, MoveFileA, SetCurrentDirectoryA, GetFileAttributesA, GetLastError, CreateDirectoryA, SetFileAttributesA, Sleep, GetTickCount, CreateFileA, GetFileSize, GetModuleFileNameA, GetCurrentProcess, CopyFileA, ExitProcess, SetFileTime, GetTempPathA, GetCommandLineA, SetErrorMode, LoadLibraryA, lstrcpynA, GetDiskFreeSpaceA, GlobalUnlock, GlobalLock, CreateThread, CreateProcessA, RemoveDirectoryA, GetTempFileNameA, lstrlenA, lstrcatA, GetSystemDirectoryA, GetVersion, CloseHandle, lstrcmpiA, lstrcmpA, ExpandEnvironmentStringsA, GlobalFree, GlobalAlloc, WaitForSingleObject, GetExitCodeProcess, GetModuleHandleA, LoadLibraryExA, GetProcAddress, FreeLibrary, MultiByteToWideChar, WritePrivateProfileStringA, GetPrivateProfileStringA, WriteFile, ReadFile, MulDiv, SetFilePointer, FindClose, FindNextFileA, FindFirstFileA, DeleteFileA, GetWindowsDirectoryA > USER32.dll: EndDialog, ScreenToClient, GetWindowRect, EnableMenuItem, GetSystemMenu, SetClassLongA, IsWindowEnabled, SetWindowPos, GetSysColor, GetWindowLongA, SetCursor, LoadCursorA, CheckDlgButton, GetMessagePos, LoadBitmapA, CallWindowProcA, IsWindowVisible, CloseClipboard, SetClipboardData, EmptyClipboard, RegisterClassA, TrackPopupMenu, AppendMenuA, CreatePopupMenu, GetSystemMetrics, SetDlgItemTextA, GetDlgItemTextA, MessageBoxIndirectA, CharPrevA, DispatchMessageA, PeekMessageA, DestroyWindow, CreateDialogParamA, SetTimer, SetWindowTextA, PostQuitMessage, SetForegroundWindow, wsprintfA, SendMessageTimeoutA, FindWindowExA, SystemParametersInfoA, CreateWindowExA, GetClassInfoA, DialogBoxParamA, CharNextA, OpenClipboard, ExitWindowsEx, IsWindow, GetDlgItem, SetWindowLongA, LoadImageA, GetDC, EnableWindow, InvalidateRect, SendMessageA, DefWindowProcA, BeginPaint, GetClientRect, FillRect, DrawTextA, EndPaint, ShowWindow > GDI32.dll: SetBkColor, GetDeviceCaps, DeleteObject, CreateBrushIndirect, CreateFontIndirectA, SetBkMode, SetTextColor, SelectObject > SHELL32.dll: SHGetPathFromIDListA, SHBrowseForFolderA, SHGetFileInfoA, ShellExecuteA, SHFileOperationA, SHGetSpecialFolderLocation > ADVAPI32.dll: RegQueryValueExA, RegSetValueExA, RegEnumKeyA, RegEnumValueA, RegOpenKeyExA, RegDeleteKeyA, RegDeleteValueA, RegCloseKey, RegCreateKeyExA > COMCTL32.dll: ImageList_AddMasked, ImageList_Destroy, -, ImageList_Create > ole32.dll: CoTaskMemFree, OleInitialize, OleUninitialize, CoCreateInstance > VERSION.dll: GetFileVersionInfoSizeA, GetFileVersionInfoA, VerQueryValueA ( 0 exports ) 
Prevx info: http://info.prevx.com/aboutprogramtext. ... 00080DE6F7

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.5.10.0 2008.05.13 -
AntiVir 7.8.0.17 2008.05.13 -
Authentium 5.1.0.4 2008.05.14 W32/DNSChanger.BA
Avast 4.8.1169.0 2008.05.12 -
AVG 7.5.0.516 2008.05.13 -
BitDefender 7.2 2008.05.08 Adware.BHO.WRG
CAT-QuickHeal 9.50 2008.05.12 -
ClamAV 0.92.1 2008.05.13 -
DrWeb 4.44.0.09170 2008.05.13 -
eSafe 7.0.15.0 2008.05.12 -
eTrust-Vet 31.4.5784 2008.05.13 -
Ewido 4.0 2008.05.13 -
F-Prot 4.4.2.54 2008.05.13 -
F-Secure 6.70.13260.0 2008.05.13 -
Fortinet 3.14.0.0 2008.05.13 Adware/Mysidsrch
GData 2.0.7306.1023 2008.05.14 -
Ikarus T3.1.1.26.0 2008.05.13 -
Kaspersky 7.0.0.125 2008.05.13 -
McAfee 5293 2008.05.12 -
Microsoft 1.3408 2008.05.13 -
NOD32v2 3095 2008.05.13 -
Norman 5.80.02 2008.05.09 -
Panda 9.0.0.4 2008.05.12 -
Prevx1 V2 2008.05.15 Cloaked Malware
Rising 20.44.12.00 2008.05.13 -
Sophos 4.29.0 2008.05.13 -
Sunbelt 3.0.1114.0 2008.05.12 -
Symantec 10 2008.05.13 Trojan.Adclicker
TheHacker 6.2.92.309 2008.05.13 -
VBA32 3.12.6.6 2008.05.13 AdWare.Win32.Agent.bds
VirusBuster 4.3.26:9 2008.05.12 -
Webwasher-Gateway 6.6.2 2008.05.13 -

Information additionnelle
File size: 298310 bytes
MD5...: 19282f4bdaaccffa15e74096f8c93d4e
SHA1..: b2602c97844d807deecb1539716c75b1c661e227
SHA256: 8f5f297df296efa89cd92e7ba2ae5c47c3d676f81d09e0d4f252dde61aa249a7
SHA512: c0a12699b5fbd4bf66bfb64ee186354f1f4cbf77205e56697960580b96b21c5c ddfcc4640aab88dc8e442a64ab05dbee6c4659a09a69432f1579c1f57161f613
PEiD..: -
PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x403228 timedatestamp.....: 0x47acc8a9 (Fri Feb 08 21:24:57 2008) machinetype.......: 0x14c (I386) ( 5 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x5a7e 0x5c00 6.47 47641d572224078da00d12032a7bb9d7 .rdata 0x7000 0x1190 0x1200 5.18 db16645055619c0cc73276ff5c3adb75 .data 0x9000 0x3997d8 0x400 4.71 1043e85c0a23a45c2aa392431eeaf00d .ndata 0x3a3000 0x9000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e .rsrc 0x3ac000 0x6fb0 0x7000 5.73 2cc0c48de1479acffe0686dbc3a5c5e7 ( 8 imports ) > KERNEL32.dll: CompareFileTime, SearchPathA, GetShortPathNameA, GetFullPathNameA, MoveFileA, SetCurrentDirectoryA, GetFileAttributesA, GetLastError, CreateDirectoryA, SetFileAttributesA, Sleep, GetTickCount, CreateFileA, GetFileSize, GetModuleFileNameA, GetCurrentProcess, CopyFileA, ExitProcess, SetFileTime, GetTempPathA, GetCommandLineA, SetErrorMode, LoadLibraryA, lstrcpynA, GetDiskFreeSpaceA, GlobalUnlock, GlobalLock, CreateThread, CreateProcessA, RemoveDirectoryA, GetTempFileNameA, lstrlenA, lstrcatA, GetSystemDirectoryA, GetVersion, CloseHandle, lstrcmpiA, lstrcmpA, ExpandEnvironmentStringsA, GlobalFree, GlobalAlloc, WaitForSingleObject, GetExitCodeProcess, GetModuleHandleA, LoadLibraryExA, GetProcAddress, FreeLibrary, MultiByteToWideChar, WritePrivateProfileStringA, GetPrivateProfileStringA, WriteFile, ReadFile, MulDiv, SetFilePointer, FindClose, FindNextFileA, FindFirstFileA, DeleteFileA, GetWindowsDirectoryA > USER32.dll: EndDialog, ScreenToClient, GetWindowRect, EnableMenuItem, GetSystemMenu, SetClassLongA, IsWindowEnabled, SetWindowPos, GetSysColor, GetWindowLongA, SetCursor, LoadCursorA, CheckDlgButton, GetMessagePos, LoadBitmapA, CallWindowProcA, IsWindowVisible, CloseClipboard, SetClipboardData, EmptyClipboard, RegisterClassA, TrackPopupMenu, AppendMenuA, CreatePopupMenu, GetSystemMetrics, SetDlgItemTextA, GetDlgItemTextA, MessageBoxIndirectA, CharPrevA, DispatchMessageA, PeekMessageA, DestroyWindow, CreateDialogParamA, SetTimer, SetWindowTextA, PostQuitMessage, SetForegroundWindow, wsprintfA, SendMessageTimeoutA, FindWindowExA, SystemParametersInfoA, CreateWindowExA, GetClassInfoA, DialogBoxParamA, CharNextA, OpenClipboard, ExitWindowsEx, IsWindow, GetDlgItem, SetWindowLongA, LoadImageA, GetDC, EnableWindow, InvalidateRect, SendMessageA, DefWindowProcA, BeginPaint, GetClientRect, FillRect, DrawTextA, EndPaint, ShowWindow > GDI32.dll: SetBkColor, GetDeviceCaps, DeleteObject, CreateBrushIndirect, CreateFontIndirectA, SetBkMode, SetTextColor, SelectObject > SHELL32.dll: SHGetPathFromIDListA, SHBrowseForFolderA, SHGetFileInfoA, ShellExecuteA, SHFileOperationA, SHGetSpecialFolderLocation > ADVAPI32.dll: RegQueryValueExA, RegSetValueExA, RegEnumKeyA, RegEnumValueA, RegOpenKeyExA, RegDeleteKeyA, RegDeleteValueA, RegCloseKey, RegCreateKeyExA > COMCTL32.dll: ImageList_AddMasked, ImageList_Destroy, -, ImageList_Create > ole32.dll: CoTaskMemFree, OleInitialize, OleUninitialize, CoCreateInstance > VERSION.dll: GetFileVersionInfoSizeA, GetFileVersionInfoA, VerQueryValueA ( 0 exports ) 
Prevx info: http://info.prevx.com/aboutprogramtext. ... 00080DE6F7

VIRTUAL TOTAL 2# *****

Fichier ip6fw.sys reçu le 2008.05.15 22:07:12 (CET)Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.5.15.0 2008.05.15 -
AntiVir 7.8.0.17 2008.05.15 -
Authentium 5.1.0.4 2008.05.15 -
Avast 4.8.1195.0 2008.05.14 -
AVG 7.5.0.516 2008.05.15 -
BitDefender 7.2 2008.05.15 -
CAT-QuickHeal 9.50 2008.05.15 -
ClamAV 0.92.1 2008.05.15 -
DrWeb 4.44.0.09170 2008.05.15 -
eSafe 7.0.15.0 2008.05.14 -
eTrust-Vet 31.4.5788 2008.05.14 -
Ewido 4.0 2008.05.14 -
F-Prot 4.4.2.54 2008.05.15 -
F-Secure 6.70.13260.0 2008.05.15 -
Fortinet 3.14.0.0 2008.05.15 -
GData 2.0.7306.1023 2008.05.15 -
Ikarus T3.1.1.26.0 2008.05.15 -
Kaspersky 7.0.0.125 2008.05.15 -
McAfee 5295 2008.05.14 -
Microsoft 1.3408 2008.05.13 -
NOD32v2 3102 2008.05.15 -
Norman 5.80.02 2008.05.14 -
Panda 9.0.0.4 2008.05.15 -
Prevx1 V2 2008.05.15 -
Rising 20.44.32.00 2008.05.15 -
Sophos 4.29.0 2008.05.15 -
Sunbelt 3.0.1114.0 2008.05.12 -
Symantec 10 2008.05.15 -
TheHacker 6.2.92.311 2008.05.15 -
VBA32 3.12.6.6 2008.05.15 -
VirusBuster 4.3.26:9 2008.05.15 -
Webwasher-Gateway 6.6.2 2008.05.15 -

Information additionnelle
File size: 29056 bytes
MD5...: 4448006b6bc60e6c027932cfc38d6855
SHA1..: 677304e575660642bced544266126131ff6ed75f
SHA256: c377235ebe475c281acb6a3267f12d8fe623433f05134a6ce50562414f94d7b1
SHA512: 2a064f12541fca6f7909160fb0bee46e13c0e099c695e61190c630c94c005d4b 3cb2acf575b2430ec6f5bde384040f4647c62e49c1b564d02b0e83ce0b4da963
PEiD..: -
PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x159c2 timedatestamp.....: 0x41107b64 (Wed Aug 04 06:00:04 2004) machinetype.......: 0x14c (I386) ( 7 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x300 0x41f0 0x4200 6.40 52a5b342d8ca33c3b7ff834dec70ff44 .rdata 0x4500 0x2d4 0x300 3.42 274f5394e9de53f478d2fd955c54c685 .data 0x4800 0x944 0x980 0.39 18a5a02194890ded98c09bed000178b4 PAGE 0x5180 0x17e 0x180 5.56 69f3fb6a3fe67d9c23dfbbe40a13ea53 INIT 0x5300 0xdda 0xe00 6.13 39bbe34f60ad1f2810966b4e05d1de50 .rsrc 0x6100 0xa30 0xa80 6.29 e318c0d1cc7d1e40ea5bb635fd4864db .reloc 0x6b80 0x5dc 0x600 6.07 6abd820c93b9aa575526436e852c30bf ( 4 imports ) > ntoskrnl.exe: KeInitializeSpinLock, RtlCopyUnicodeString, ZwQueryValueKey, ZwClose, RtlInitUnicodeString, ZwOpenKey, ObReleaseObjectSecurity, ObSetSecurityObjectByPointer, RtlSetDaclSecurityDescriptor, RtlCreateSecurityDescriptor, RtlDeleteAce, RtlEqualSid, SeExports, RtlGetAce, RtlGetDaclSecurityDescriptor, ObGetObjectSecurity, KeInitializeEvent, KeSetEvent, KeWaitForSingleObject, IoDeleteDevice, IoDeleteSymbolicLink, IoCreateSymbolicLink, _except_handler3, KefReleaseSpinLockFromDpcLevel, RtlSplay, KefAcquireSpinLockAtDpcLevel, KeTickCount, IoWMIRegistrationControl, IoWMIWriteEvent, KeQuerySystemTime, KeInsertQueueDpc, ExAllocatePoolWithTagPriority, InterlockedPopEntrySList, InterlockedPushEntrySList, ExDeleteNPagedLookasideList, RtlDelete, KeInitializeDpc, ExInitializeNPagedLookasideList, KeCancelTimer, KeSetTimerEx, _alldiv, KeInitializeTimer, KeQueryTimeIncrement, KeBugCheckEx, ExGetPreviousMode, MmUserProbeAddress, ExRaiseAccessViolation, ExAllocatePoolWithTag, ExFreePoolWithTag, PsGetCurrentProcessId, IoCreateDevice, IofCompleteRequest > HAL.dll: KfAcquireSpinLock, KfRaiseIrql, KfLowerIrql, KfReleaseSpinLock > WMILIB.SYS: WmiSystemControl, WmiCompleteRequest > tcpip6.sys: IPv6DisableFirewallHook, IPv6ObtainPacketData, IPv6GetBestRouteInfo, IPv6EnableFirewallHook ( 0 exports ) 

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.5.15.0 2008.05.15 -
AntiVir 7.8.0.17 2008.05.15 -
Authentium 5.1.0.4 2008.05.15 -
Avast 4.8.1195.0 2008.05.14 -
AVG 7.5.0.516 2008.05.15 -
BitDefender 7.2 2008.05.15 -
CAT-QuickHeal 9.50 2008.05.15 -
ClamAV 0.92.1 2008.05.15 -
DrWeb 4.44.0.09170 2008.05.15 -
eSafe 7.0.15.0 2008.05.14 -
eTrust-Vet 31.4.5788 2008.05.14 -
Ewido 4.0 2008.05.14 -
F-Prot 4.4.2.54 2008.05.15 -
F-Secure 6.70.13260.0 2008.05.15 -
Fortinet 3.14.0.0 2008.05.15 -
GData 2.0.7306.1023 2008.05.15 -
Ikarus T3.1.1.26.0 2008.05.15 -
Kaspersky 7.0.0.125 2008.05.15 -
McAfee 5295 2008.05.14 -
Microsoft 1.3408 2008.05.13 -
NOD32v2 3102 2008.05.15 -
Norman 5.80.02 2008.05.14 -
Panda 9.0.0.4 2008.05.15 -
Prevx1 V2 2008.05.15 -
Rising 20.44.32.00 2008.05.15 -
Sophos 4.29.0 2008.05.15 -
Sunbelt 3.0.1114.0 2008.05.12 -
Symantec 10 2008.05.15 -
TheHacker 6.2.92.311 2008.05.15 -
VBA32 3.12.6.6 2008.05.15 -
VirusBuster 4.3.26:9 2008.05.15 -
Webwasher-Gateway 6.6.2 2008.05.15 -

Information additionnelle
File size: 29056 bytes
MD5...: 4448006b6bc60e6c027932cfc38d6855
SHA1..: 677304e575660642bced544266126131ff6ed75f
SHA256: c377235ebe475c281acb6a3267f12d8fe623433f05134a6ce50562414f94d7b1
SHA512: 2a064f12541fca6f7909160fb0bee46e13c0e099c695e61190c630c94c005d4b 3cb2acf575b2430ec6f5bde384040f4647c62e49c1b564d02b0e83ce0b4da963
PEiD..: -
PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x159c2 timedatestamp.....: 0x41107b64 (Wed Aug 04 06:00:04 2004) machinetype.......: 0x14c (I386) ( 7 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x300 0x41f0 0x4200 6.40 52a5b342d8ca33c3b7ff834dec70ff44 .rdata 0x4500 0x2d4 0x300 3.42 274f5394e9de53f478d2fd955c54c685 .data 0x4800 0x944 0x980 0.39 18a5a02194890ded98c09bed000178b4 PAGE 0x5180 0x17e 0x180 5.56 69f3fb6a3fe67d9c23dfbbe40a13ea53 INIT 0x5300 0xdda 0xe00 6.13 39bbe34f60ad1f2810966b4e05d1de50 .rsrc 0x6100 0xa30 0xa80 6.29 e318c0d1cc7d1e40ea5bb635fd4864db .reloc 0x6b80 0x5dc 0x600 6.07 6abd820c93b9aa575526436e852c30bf ( 4 imports ) > ntoskrnl.exe: KeInitializeSpinLock, RtlCopyUnicodeString, ZwQueryValueKey, ZwClose, RtlInitUnicodeString, ZwOpenKey, ObReleaseObjectSecurity, ObSetSecurityObjectByPointer, RtlSetDaclSecurityDescriptor, RtlCreateSecurityDescriptor, RtlDeleteAce, RtlEqualSid, SeExports, RtlGetAce, RtlGetDaclSecurityDescriptor, ObGetObjectSecurity, KeInitializeEvent, KeSetEvent, KeWaitForSingleObject, IoDeleteDevice, IoDeleteSymbolicLink, IoCreateSymbolicLink, _except_handler3, KefReleaseSpinLockFromDpcLevel, RtlSplay, KefAcquireSpinLockAtDpcLevel, KeTickCount, IoWMIRegistrationControl, IoWMIWriteEvent, KeQuerySystemTime, KeInsertQueueDpc, ExAllocatePoolWithTagPriority, InterlockedPopEntrySList, InterlockedPushEntrySList, ExDeleteNPagedLookasideList, RtlDelete, KeInitializeDpc, ExInitializeNPagedLookasideList, KeCancelTimer, KeSetTimerEx, _alldiv, KeInitializeTimer, KeQueryTimeIncrement, KeBugCheckEx, ExGetPreviousMode, MmUserProbeAddress, ExRaiseAccessViolation, ExAllocatePoolWithTag, ExFreePoolWithTag, PsGetCurrentProcessId, IoCreateDevice, IofCompleteRequest > HAL.dll: KfAcquireSpinLock, KfRaiseIrql, KfLowerIrql, KfReleaseSpinLock > WMILIB.SYS: WmiSystemControl, WmiCompleteRequest > tcpip6.sys: IPv6DisableFirewallHook, IPv6ObtainPacketData, IPv6GetBestRouteInfo, IPv6EnableFirewallHook ( 0 exports ) 

***** passer aux choses serieuses sur combo... aie ^^ j'espere que je pourrais y arriver ?!!

merci encore... :supers:

par **Ogu** » 15 Mai 2008 21:32

Merci!

T'en fais pas pour Combofix, ça se passera bien, et en cas de coup dur (très improbable), on rattrapera le coup avec les nombreuses sauvegardes faîtes au préalable par l'outil, sans parler de la sécurité liée à la Console de Récup'.

Tu as uploadé les fichiers C:\WINDOWS\system32\ocntkkdm.exe et C:\WINDOWS\system32\rwwnw64d.exe ??

A demain!

edit: orthographe

par **Ogu** » 16 Mai 2008 10:13

On continue!!

Merci à Falkra d'avoir validé mon script de son oeil expert!

CREATION/EXECUTION D'UN CFSCRIPT

Lis bien la procédure avant de te lancer. Tu peux même l'imprimer
éventuellement.

Ouvre un nouveau fichier du Bloc-notes
"Copie/Colle" tout le contenu de la boîte Code ci-dessous (mais n'inclus pas le mot "Code") dans le fichier texte du bloc-note :

Code: Tout sélectionner
KillAll:: File:: C:\WINDOWS\system32\zxdnt3d.cfg C:\WINDOWS\system32\ateycyfd.dll C:\WINDOWS\system32\lhwpmwcs.exe C:\WINDOWS\system32\hpbgyfat.dll C:\WINDOWS\system32\brhrpiqm.dll C:\WINDOWS\system32\geBtRjHa.dll C:\WINDOWS\system32\xgwsvwib.in C:\WINDOWS\system32\tmp.reg C:\WINDOWS\system32\fhvydvas.dll C:\WINDOWS\system32\awigqkwv.exe C:\WINDOWS\system32\oeuoueeq.dll C:\WINDOWS\system32\ufljaqtw.dll C:\WINDOWS\system32\bsfjjlux.exe C:\WINDOWS\system32\fsqmwmhf.dll C:\WINDOWS\system32\phpjgiko.dll C:\WINDOWS\system32\qnffjtjd.exe C:\WINDOWS\system32\ihmuqess.dll C:\WINDOWS\system32\jkfauxla.dll C:\WINDOWS\system32\nilcilyh.dll C:\WINDOWS\system32\kchwuwgu.dll C:\WINDOWS\system32\sebxjjni.exe C:\WINDOWS\system32\nbaiprae.exe C:\WINDOWS\system32\eabvqduh.dll C:\WINDOWS\system32\hyxgesbj.dll C:\WINDOWS\BM038e6fd2.xml C:\WINDOWS\system32\gside.exe C:\WINDOWS\system32\geBuUnop.dll C:\WINDOWS\system32\ssqOHyax.dll C:\WINDOWS\system32\atmtd.dll._ C:\WINDOWS\system32\atmtd.dll C:\WINDOWS\system32\ocntkkdm.exe C:\WINDOWS\system32\{266b9523-6369-9aa3-34da-c9674a2f8eca}.dll-uninst.exe C:\WINDOWS\mrofinu572.exe.tmp C:\WINDOWS\uninstall_nmon.vbs C:\WINDOWS\system32\winpfz33.sys C:\WINDOWS\system32\nnnnLbCr.dll C:\WINDOWS\system32\rwwnw64d.exe C:\WINDOWS\system32\mlfcache.dat C:\Documents and Settings\Mon micro\Application Data\EoRezo C:\WINDOWS\b152.exe C:\WINDOWS\System32\vvorwrkb.dll Folder:: C:\Program Files\dbar C:\WINDOWS\system32\sX1 C:\WINDOWS\system32\mBL C:\WINDOWS\system32\bkEur01 C:\WINDOWS\system32\20467 C:\Temp C:\Program Files\AntiSpywareMaster C:\Program Files\EoRezo C:\Program Files\winvi Registry:: [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0F73D9BF-647C-43B5-8C62-9216C55F5BB1}] [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B3CC7DCC-909F-4A7F-856B-059D05CC31FA}] [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{eb6ff1d0-6202-4f9a-95f5-44c1ca115ec0}] [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F9DF827A-8FA7-48A3-B268-CA4DB563EA40}] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "WinUpdater"=- "WebSUpdater"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "EoEngine"=- "AntiSpywareMaster"=- "ExploreUpdSched"=- "BM038e6fd2"=- "00bd5c4e"=- [hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks] "{F9DF827A-8FA7-48A3-B268-CA4DB563EA40}"=- [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\nnnnLbCr] DirLook:: C:\WINDOWS\system32\GroupPolicy
Sauvegarde ce fichier sur ton Bureau en l'appelant IMPERATIVEMENT CFScript.txt

ATTENTION: ce script a été conçu spécifiquement pour le cas de Tiphaine, ne pas l'utiliser pour votre propre machine!!
Désactive ton antivirus et ton antispyware
Te référant à l'image ci-dessous
déplace CFScript.txt sur ComboFix.exe
ComboFix sera lancé.
Une fenêtre bleue va apparaitre: patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
ComboFix peut exiger un redémarrage pour compléter son travail. Accepte.
Lorsque l'outil aura terminé
un rapport ComboFix.log apparaîtra à l'écran.
Soumet le fichier en cliquant "OK"
Enfin
poste les rapports suivant dans ta prochaine réponse :

- Combofix.txt (il est stocké ici: > C:\ComboFix.txt)
- Un nouveau rapport HijackThis

par **tiph22** » 16 Mai 2008 21:46

Waou Ogu je tiens à te dire que t'es vraiment un génie !! au fur et à mesure des manip's je retrouve trop mon ordi c'est extra !!! je te fais suivre les rapports

! ... 1000mercis

****AVEC COMBO:
ComboFix 08-05-12.1 - Mon micro 2008-05-16 22:26:52.3 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.1.1252.1.1036.18.253 [GMT 2:00]
Endroit: C:\Documents and Settings\Mon micro\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\Mon micro\Bureau\CFScript.txt
* Création d'un nouveau point de restauration

FILE ::
C:\Documents and Settings\Mon micro\Application Data\EoRezo
C:\WINDOWS\b152.exe
C:\WINDOWS\BM038e6fd2.xml
C:\WINDOWS\mrofinu572.exe.tmp
C:\WINDOWS\system32\{266b9523-6369-9aa3-34da-c9674a2f8eca}.dll-uninst.exe
C:\WINDOWS\system32\ateycyfd.dll
C:\WINDOWS\system32\atmtd.dll
C:\WINDOWS\system32\atmtd.dll._
C:\WINDOWS\system32\awigqkwv.exe
C:\WINDOWS\system32\brhrpiqm.dll
C:\WINDOWS\system32\bsfjjlux.exe
C:\WINDOWS\system32\eabvqduh.dll
C:\WINDOWS\system32\fhvydvas.dll
C:\WINDOWS\system32\fsqmwmhf.dll
C:\WINDOWS\system32\geBtRjHa.dll
C:\WINDOWS\system32\geBuUnop.dll
C:\WINDOWS\system32\gside.exe
C:\WINDOWS\system32\hpbgyfat.dll
C:\WINDOWS\system32\hyxgesbj.dll
C:\WINDOWS\system32\ihmuqess.dll
C:\WINDOWS\system32\jkfauxla.dll
C:\WINDOWS\system32\kchwuwgu.dll
C:\WINDOWS\system32\lhwpmwcs.exe
C:\WINDOWS\system32\mlfcache.dat
C:\WINDOWS\system32\nbaiprae.exe
C:\WINDOWS\system32\nilcilyh.dll
C:\WINDOWS\system32\nnnnLbCr.dll
C:\WINDOWS\system32\ocntkkdm.exe
C:\WINDOWS\system32\oeuoueeq.dll
C:\WINDOWS\system32\phpjgiko.dll
C:\WINDOWS\system32\qnffjtjd.exe
C:\WINDOWS\system32\rwwnw64d.exe
C:\WINDOWS\system32\sebxjjni.exe
C:\WINDOWS\system32\ssqOHyax.dll
C:\WINDOWS\system32\tmp.reg
C:\WINDOWS\system32\ufljaqtw.dll
C:\WINDOWS\System32\vvorwrkb.dll
C:\WINDOWS\system32\winpfz33.sys
C:\WINDOWS\system32\xgwsvwib.in
C:\WINDOWS\system32\zxdnt3d.cfg
C:\WINDOWS\uninstall_nmon.vbs
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\Mon micro\Menu Démarrer\Programmes\Démarrage\Deewoo.lnk
C:\Documents and Settings\Mon micro\Menu Démarrer\Programmes\Démarrage\DW_Start.lnk
C:\Program Files\dbar
C:\Program Files\dbar\dbaruninst.exe
C:\Program Files\dbar\deskbar.dll
C:\Program Files\EoRezo
C:\Program Files\EoRezo\ConfMedia.cyp
C:\Program Files\EoRezo\EoAdv\EoAdv.dll
C:\Program Files\EoRezo\EoAdv\eoAdv.url
C:\Program Files\EoRezo\EoAdv\tmp\eoRezoBho.dll.1823
C:\Program Files\EoRezo\EoAdv\tmp\eoRezoBho.dll.4007
C:\Program Files\EoRezo\EoAdv\tmp\eoRezoBho.dll.5045
C:\Program Files\EoRezo\EoEngine.exe
C:\Program Files\EoRezo\eoEngine.url
C:\Program Files\EoRezo\EoMultiLanguage.dll
C:\Program Files\EoRezo\EoRezoComm.dll
C:\Program Files\EoRezo\EoRezoImg_15.dll
C:\Program Files\EoRezo\EoRezoImg_16.dll
C:\Program Files\EoRezo\EoRezoImg_17.dll
C:\Program Files\EoRezo\EoRezoImg_18.dll
C:\Program Files\EoRezo\EoRezoImg_19.dll
C:\Program Files\EoRezo\EoRezoImg_20.dll
C:\Program Files\EoRezo\EoRezoImg_21.dll
C:\Program Files\EoRezo\EoRezoImg_22.dll
C:\Program Files\EoRezo\EoRezoImg_23.dll
C:\Program Files\EoRezo\EoRezoImg_24.dll
C:\Program Files\EoRezo\EoRezoTools_15.dll
C:\Program Files\EoRezo\EoRezoTools_16.dll
C:\Program Files\EoRezo\EoRezoTools_17.dll
C:\Program Files\EoRezo\EoRezoTools_18.dll
C:\Program Files\EoRezo\EoRezoTools_19.dll
C:\Program Files\EoRezo\EoRezoTools_20.dll
C:\Program Files\EoRezo\EoRezoTools_21.dll
C:\Program Files\EoRezo\EoRezoTools_22.dll
C:\Program Files\EoRezo\EoRezoTools_23.dll
C:\Program Files\EoRezo\EoRezoTools_24.dll
C:\Program Files\EoRezo\EoRezoTools_25.dll
C:\Program Files\EoRezo\FreeImage.dll
C:\Program Files\EoRezo\Host.cyp
C:\Program Files\EoRezo\icon_eo.st.ico
C:\Program Files\EoRezo\lang\ihm_eoclock.xml
C:\Program Files\EoRezo\lang\ihm_eoengine.xml
C:\Program Files\EoRezo\lang\ihm_eonet.xml
C:\Program Files\EoRezo\lang\ihm_eorezotools.xml
C:\Program Files\EoRezo\lang\ihm_eosudoku.xml
C:\Program Files\EoRezo\lang\ihm_eoweather.xml
C:\Program Files\EoRezo\lang\lang_en.xml
C:\Program Files\EoRezo\lang\lang_es.xml
C:\Program Files\EoRezo\lang\lang_fr.xml
C:\Program Files\EoRezo\lang\lang_it.xml
C:\Program Files\EoRezo\MngInstaller.dll
C:\Program Files\EoRezo\unins000.dat
C:\Program Files\EoRezo\unins000.exe
C:\Program Files\EoRezo\user.cyp
C:\Temp
C:\Temp\maxsv15\rLCubd.log
C:\WINDOWS\b152.exe
C:\WINDOWS\BM038e6fd2.xml
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\{266b9523-6369-9aa3-34da-c9674a2f8eca}.dll-uninst.exe
C:\WINDOWS\system32\20467
C:\WINDOWS\system32\20467\bvre32.exe
C:\WINDOWS\system32\aHjRtBeg.ini
C:\WINDOWS\system32\aHjRtBeg.ini2
C:\WINDOWS\system32\ateycyfd.dll
C:\WINDOWS\system32\atmtd.dll
C:\WINDOWS\system32\atmtd.dll._
C:\WINDOWS\system32\bkEur01
C:\WINDOWS\system32\brhrpiqm.dll
C:\WINDOWS\system32\eabvqduh.dll
C:\WINDOWS\system32\fhvydvas.dll
C:\WINDOWS\system32\fsqmwmhf.dll
C:\WINDOWS\system32\geBtRjHa.dll
C:\WINDOWS\system32\geBuUnop.dll
C:\WINDOWS\system32\gside.exe
C:\WINDOWS\system32\hyxgesbj.dll
C:\WINDOWS\system32\ihmuqess.dll
C:\WINDOWS\system32\jkfauxla.dll
C:\WINDOWS\system32\kchwuwgu.dll
C:\WINDOWS\system32\mBL
C:\WINDOWS\system32\mlfcache.dat
C:\WINDOWS\system32\nilcilyh.dll
C:\WINDOWS\system32\nnnnLbCr.dll
C:\WINDOWS\system32\ocntkkdm.exe
C:\WINDOWS\system32\oeuoueeq.dll
C:\WINDOWS\system32\pcrjgtsc.ini
C:\WINDOWS\system32\phpjgiko.dll
C:\WINDOWS\system32\rwwnw64d.exe
C:\WINDOWS\system32\ssqOHyax.dll
C:\WINDOWS\system32\sX1
C:\WINDOWS\system32\tmp.reg
C:\WINDOWS\system32\uayennbg.ini
C:\WINDOWS\system32\ufljaqtw.dll
C:\WINDOWS\system32\winpfz33.sys
C:\WINDOWS\system32\wxmmin.dll
C:\WINDOWS\system32\xayHOqss.ini
C:\WINDOWS\system32\xayHOqss.ini2
C:\WINDOWS\system32\zxdnt3d.cfg

.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-04-16 to 2008-05-16 ))))))))))))))))))))))))))))))))))))
.

2008-05-16 21:54 . 2008-05-16 21:54 133,632 --a------ C:\WINDOWS\system32\osbpwghg.dll
2008-05-16 21:52 . 2008-05-16 21:52 115,712 --------- C:\WINDOWS\system32\cstgjrcp.dll
2008-05-16 21:49 . 2008-05-16 21:49 2,048 --a------ C:\WINDOWS\system32\qtijbqxv.exe
2008-05-15 14:36 . 2008-05-15 14:36 134,656 --a------ C:\WINDOWS\system32\vtfmlmpm.dll
2008-05-15 14:28 . 2008-05-15 14:28 125,952 --a------ C:\WINDOWS\system32\fogynklm.dll
2008-05-15 14:19 . 2008-05-15 14:19 294 ---hs---- C:\WINDOWS\system32\tafygbph.ini
2008-05-15 13:18 . 2008-05-15 13:18 294 ---hs---- C:\WINDOWS\system32\xgwsvwib.ini
2008-05-15 12:47 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-05-15 12:47 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-05-15 12:47 . 2008-04-24 08:10 86,528 --a------ C:\WINDOWS\system32\VACFix.exe
2008-05-15 12:47 . 2008-04-28 08:03 82,944 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-05-15 12:47 . 2008-04-28 08:03 82,944 --a------ C:\WINDOWS\system32\404Fix.exe
2008-05-15 12:47 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-05-15 12:47 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-05-15 12:47 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-05-14 20:31 . 2008-05-14 20:31 <REP> d-------- C:\Program Files\Trend Micro
2008-05-14 18:20 . 2008-05-14 18:20 <REP> d--h----- C:\WINDOWS\system32\GroupPolicy
2008-05-09 13:52 . 2008-05-09 13:52 <REP> d-------- C:\Documents and Settings\Mon micro\Application Data\Grisoft
2008-05-09 13:52 . 2007-05-30 14:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2008-05-09 13:51 . 2008-05-09 13:51 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
2008-05-09 13:43 . 2008-05-09 13:43 <REP> d-------- C:\Documents and Settings\All Users\Application Data\MailFrontier
2008-05-09 13:42 . 2008-05-09 13:43 <REP> d-------- C:\WINDOWS\system32\ZoneLabs
2008-05-09 13:42 . 2008-05-09 13:42 <REP> d-------- C:\Program Files\Zone Labs
2008-05-09 13:42 . 2008-04-02 21:07 1,086,952 --a------ C:\WINDOWS\system32\zpeng24.dll
2008-05-09 13:42 . 2008-05-16 22:32 358,382 --a------ C:\WINDOWS\system32\vsconfig.xml
2008-05-09 13:41 . 2008-05-16 22:35 <REP> d-------- C:\WINDOWS\Internet Logs
2008-05-09 13:35 . 2008-05-16 22:33 <REP> d-------- C:\Program Files\ItsLabel
2008-05-09 13:27 . 2008-05-09 13:27 <REP> d-------- C:\Program Files\Avira
2008-05-09 13:27 . 2008-05-09 13:27 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2008-05-09 11:46 . 2008-05-09 13:27 <REP> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP
2008-05-09 10:52 . 2008-05-15 12:03 13,502 --a------ C:\WINDOWS\system32\JambaIconFR.ico
2008-05-08 16:52 . 2008-05-11 20:00 9,662 --a------ C:\WINDOWS\system32\ZoneAlarmIconFR.ico
2008-05-08 16:41 . 2008-05-08 16:41 401,976 --a------ C:\WINDOWS\system32\g88.exe
2008-05-08 16:35 . 2008-05-08 16:35 <REP> d-------- C:\WINDOWS\Sun
2008-04-27 01:32 . 2008-05-14 17:29 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-04-27 01:32 . 2008-04-27 01:32 1,409 --a------ C:\WINDOWS\QTFont.for
2008-04-26 13:45 . 2008-04-26 13:45 <REP> d-------- C:\Program Files\Fichiers communs\xing shared
2008-04-26 13:44 . 2008-04-26 13:44 <REP> d-------- C:\Program Files\Real
2008-04-26 13:44 . 2008-04-26 13:45 <REP> d-------- C:\Program Files\Fichiers communs\Real
2008-04-26 13:32 . 2008-04-26 13:32 <REP> d-------- C:\Program Files\Picasa2
2008-04-26 13:32 . 2006-10-05 04:42 2,560 --------- C:\WINDOWS\system32\drivers\cdralw2k.sys
2008-04-26 13:32 . 2006-10-05 04:42 2,432 --------- C:\WINDOWS\system32\drivers\cdr4_xp.sys
2008-04-26 13:29 . 2008-05-16 21:45 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Google Updater
2008-04-19 20:32 . 2008-04-19 20:32 <REP> d-------- C:\Documents and Settings\Mon micro\Application Data\Apple Computer
2008-04-19 19:27 . 2001-08-17 21:56 7,552 --a------ C:\WINDOWS\system32\drivers\SONYPVU1.SYS
2008-04-19 19:27 . 2001-08-17 21:56 7,552 --a--c--- C:\WINDOWS\system32\dllcache\sonypvu1.sys
2008-04-19 19:21 . 2006-11-10 18:23 97,184 -ra------ C:\WINDOWS\system32\drivers\SE2Emdm.sys
2008-04-19 19:21 . 2006-11-10 18:24 90,800 -ra------ C:\WINDOWS\system32\drivers\se2Eunic.sys
2008-04-19 19:21 . 2006-11-10 18:23 88,688 -ra------ C:\WINDOWS\system32\drivers\SE2Emgmt.sys
2008-04-19 19:21 . 2006-11-10 18:23 86,560 -ra------ C:\WINDOWS\system32\drivers\SE2Eobex.sys
2008-04-19 19:21 . 2006-11-10 18:23 18,704 -ra------ C:\WINDOWS\system32\drivers\se2End5.sys
2008-04-19 19:21 . 2006-11-10 18:23 9,360 -ra------ C:\WINDOWS\system32\drivers\SE2Emdfl.sys
2008-04-19 19:21 . 2006-11-10 18:23 6,240 -ra------ C:\WINDOWS\system32\drivers\SE2Ecmnt.sys
2008-04-19 19:21 . 2006-11-10 18:23 6,240 -ra------ C:\WINDOWS\system32\drivers\SE2Ecm.sys
2008-04-19 19:21 . 2006-11-10 18:23 4,128 -ra------ C:\WINDOWS\system32\drivers\se2Ecr.sys
2008-04-18 22:39 . 2008-04-18 22:39 <REP> d-------- C:\Documents and Settings\Mon micro\Application Data\InterVideo
2008-04-16 14:36 . 2008-04-16 14:36 170 --a------ C:\WINDOWS\system32\spupdsvc.inf

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-16 20:15 --------- d-----w C:\Documents and Settings\Mon micro\Application Data\EoRezo
2008-05-16 20:07 71,168 ----a-w C:\WINDOWS\Internet Logs\xDB2.tmp
2008-05-15 12:06 833,498 ----a-w C:\WINDOWS\Internet Logs\tvDebug.zip
2008-05-15 12:05 479,232 ----a-w C:\WINDOWS\Internet Logs\xDB1.tmp
2008-05-09 09:45 --------- d-----w C:\Program Files\Google
2008-04-19 17:22 --------- d-----w C:\Documents and Settings\Mon micro\Application Data\Teleca
2008-04-15 16:20 --------- d-----w C:\Program Files\Music Mixer 4
2008-04-15 15:36 --------- d-----w C:\Program Files\VirtualDJ
2008-04-15 15:29 --------- d-----w C:\Documents and Settings\Mon micro\Application Data\GetRightToGo
2008-04-14 12:23 --------- d-----w C:\Documents and Settings\All Users\Application Data\Messenger Plus!
2008-04-14 12:13 --------- d-----w C:\Program Files\Windows Live
2008-04-14 12:13 --------- d-----w C:\Program Files\MSN Messenger
2008-04-14 12:13 --------- d-----w C:\Program Files\Messenger Plus! Live
2008-04-13 17:04 --------- d-----w C:\Documents and Settings\Mon micro\Application Data\ItsLabel
2008-04-13 14:57 --------- d-----w C:\Program Files\Services en ligne
2008-04-13 14:47 --------- d-----w C:\Program Files\Fichiers communs\logishrd
2008-04-13 14:01 --------- d-----w C:\Documents and Settings\All Users\Application Data\Windows Live Toolbar
2008-04-13 13:11 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-04-13 13:11 --------- d-----w C:\Program Files\QuickTime
2008-04-13 13:08 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple Computer
2008-04-13 12:33 --------- d-----w C:\Documents and Settings\Mon micro\Application Data\Sony Ericsson
2008-04-13 12:29 --------- d-----w C:\Program Files\Fichiers communs\Teleca Shared
2008-04-13 12:29 --------- d-----w C:\Program Files\Fichiers communs\Sony Ericsson Shared
2008-04-13 12:29 --------- d-----w C:\Documents and Settings\All Users\Application Data\Teleca
2008-04-13 12:29 --------- d-----w C:\Documents and Settings\All Users\Application Data\Sony Ericsson
2008-04-13 12:27 --------- d-----w C:\Program Files\Sony Ericsson
2008-04-13 12:26 --------- d-----w C:\Program Files\Fichiers communs\InstallShield
2008-04-02 19:08 54,672 ----a-w C:\WINDOWS\system32\vsutil_loc040c.dll
2008-04-02 19:08 42,384 ----a-w C:\WINDOWS\zllsputility_loc040c.dll
2008-04-02 19:08 21,904 ----a-w C:\WINDOWS\system32\imsinstall_loc040c.dll
2008-04-02 19:08 17,808 ----a-w C:\WINDOWS\system32\imslsp_install_loc040c.dll
2008-04-02 19:07 75,248 ----a-w C:\WINDOWS\zllsputility.exe
2008-03-18 07:14 0 --sha-r C:\WINDOWS\system32\drivers\TOSHIBA_TECRA A2_02002000-FR_PTA20E-02T01.MRK
2008-03-18 07:12 --------- d-----w C:\Program Files\Intel
2008-03-18 07:11 14,037 ----a-w C:\WINDOWS\system32\drivers\mdc8021x.sys
.

(((((((((((((((((((((((((((((((((((((((((((( Look )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.

---- Directory of C:\WINDOWS\system32\GroupPolicy ----

2008-05-14 18:22 8 --a------ C:\WINDOWS\system32\GroupPolicy\User\Registry.pol
2008-05-14 18:22 79 --a------ C:\WINDOWS\system32\GroupPolicy\gpt.ini
2008-05-14 18:20 69 ---h----- C:\WINDOWS\system32\GroupPolicy\Adm\admfiles.ini
2003-04-24 13:00 43054 --a------ C:\WINDOWS\system32\GroupPolicy\Adm\conf.adm
2003-04-24 13:00 38894 --a------ C:\WINDOWS\system32\GroupPolicy\Adm\wmplayer.adm
2003-04-24 13:00 285558 --a------ C:\WINDOWS\system32\GroupPolicy\Adm\inetres.adm
2003-04-24 13:00 1585714 --a------ C:\WINDOWS\system32\GroupPolicy\Adm\system.adm

------- Sigcheck -------

2004-08-04 08:00 29056 4448006b6bc60e6c027932cfc38d6855 C:\WINDOWS\SoftwareDistribution\Download\70ccc3de7e94865059fbcf2f809c03b1\ip6fw.sys
.
((((((((((((((((((((((((((((( snapshot@2008-05-15_13.17.48.33 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-05-15 11:05:54 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-05-16 20:32:46 2,048 --s-a-w C:\WINDOWS\bootstat.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0ab4c9b8-9f1f-491b-a51a-b8ec1a14a8d7}]
2008-05-16 21:54 133632 --a------ C:\WINDOWS\System32\osbpwghg.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2003-04-24 13:00 13312]
"TOSCDSPD"="C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe" [2003-09-15 17:19 65536]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:54 5674352]
"Dbab"="C:\PROGRA~1\SMBOLS~1\spool32.exe" [ ]
"Thvvsljc"="C:\WINDOWS\?ssembly\??plorer.exe" [ ]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-04-26 13:29 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe" [2004-04-27 11:10 32881]
"IgfxTray"="C:\WINDOWS\System32\igfxtray.exe" [2004-01-26 18:03 155648]
"HotKeysCmds"="C:\WINDOWS\System32\hkcmd.exe" [2004-01-26 18:03 118784]
"00THotkey"="C:\WINDOWS\System32\00THotkey.exe" [2004-03-29 12:10 253952]
"000StTHK"="000StTHK.exe" [2001-06-23 20:28 24576 C:\WINDOWS\system32\000StTHK.exe]
"TFNF5"="TFNF5.exe" [2003-12-02 13:15 73728 C:\WINDOWS\system32\TFNF5.exe]
"SmoothView"="C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe" [2004-03-30 13:51 118784]
"SigmaTel StacMon"="C:\Program Files\SigmaTel\Pilotes Audio SigmaTel AC97\stacmon.exe" [2003-08-03 16:01 86073]
"Apoint"="C:\Program Files\Apoint2K\Apoint.exe" [2003-10-30 15:46 192512]
"TouchED"="C:\Program Files\TOSHIBA\TouchED\TouchED.Exe" [2003-03-11 13:58 122880]
"LTSMMSG"="LTSMMSG.exe" [2003-04-18 10:06 32768 C:\WINDOWS\ltsmmsg.exe]
"TPSMain"="TPSMain.exe" [2004-04-01 14:20 266240 C:\WINDOWS\system32\TPSMain.exe]
"TMESRV.EXE"="C:\Program Files\TOSHIBA\TME3\TMESRV31.exe" [2004-04-13 12:14 126976]
"TMERzCtl.EXE"="C:\Program Files\TOSHIBA\TME3\TMERzCtl.exe" [2003-10-29 12:12 81920]
"TFncKy"="TFncKy.exe" []
"PRONoMgr.exe"="c:\Program Files\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe" [2003-12-10 03:36 86016]
"Sony Ericsson PC Suite"="C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2006-11-24 01:06 487424]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2008-04-13 15:08 155648]
"ItsTV"="C:\Program Files\ItsLabel\ItsTV.exe" [2007-04-26 16:19 2908160]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2008-04-26 13:44 185632]
"dbar_starter"="C:\Documents and Settings\Mon micro\Application Data\Deskbar_{273FE36F-2BE2-453e-8EFF-E48EFCFA8216}\starter.exe" [ ]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]
"ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2008-04-02 21:07 919016]
"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 11:25 6731312]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2003-04-24 13:00 13312]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\Sebring]
c:\WINDOWS\System32\LgNotify.dll 2003-12-16 17:49 110592 c:\WINDOWS\system32\LgNotify.dll

R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\DRIVERS\avgntmgr.sys [2008-01-21 18:11]
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2008-01-21 18:12]
R1 TMEI3E;TMEI3E;C:\WINDOWS\System32\Drivers\TMEI3E.SYS [2002-09-26 13:15]
R3 TOSHIBASoftModem;TOSHIBA Software Modem;C:\WINDOWS\System32\DRIVERS\LTSM.sys [2002-09-17 16:12]
S3 SE2Ebus;Sony Ericsson Device 046 Driver driver (WDM);C:\WINDOWS\System32\DRIVERS\SE2Ebus.sys [2006-11-10 18:23]
S3 SE2Emdfl;Sony Ericsson Device 046 USB WMC Modem Filter;C:\WINDOWS\System32\DRIVERS\SE2Emdfl.sys [2006-11-10 18:23]
S3 SE2Emdm;Sony Ericsson Device 046 USB WMC Modem Driver;C:\WINDOWS\System32\DRIVERS\SE2Emdm.sys [2006-11-10 18:23]
S3 SE2Emgmt;Sony Ericsson Device 046 USB WMC Device Management Drivers (WDM);C:\WINDOWS\System32\DRIVERS\SE2Emgmt.sys [2006-11-10 18:23]
S3 se2End5;Sony Ericsson Device 046 USB Ethernet Emulation SEMC46 (NDIS);C:\WINDOWS\System32\DRIVERS\se2End5.sys [2006-11-10 18:23]
S3 SE2Eobex;Sony Ericsson Device 046 USB WMC OBEX Interface;C:\WINDOWS\System32\DRIVERS\SE2Eobex.sys [2006-11-10 18:23]
S3 se2Eunic;Sony Ericsson Device 046 USB Ethernet Emulation SEMC46 (WDM);C:\WINDOWS\System32\DRIVERS\se2Eunic.sys [2006-11-10 18:24]

.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-16 22:34:04
Windows 5.1.2600 Service Pack 1 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\S24EvMon.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Toshiba\Commandes TOSHIBA\TFncKy.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Toshiba\ConfigFree\CFSvcs.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\RegSrvc.exe
C:\Program Files\Apoint2K\ApntEx.exe
C:\Program Files\Toshiba\TME3\TMEEJME.exe
C:\WINDOWS\system32\1XConfig.exe
C:\Program Files\Fichiers communs\Teleca Shared\Generic.exe
C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-05-16 22:40:07 - machine was rebooted
ComboFix-quarantined-files.txt 2008-05-16 20:39:58
ComboFix2.txt 2008-05-15 12:19:56
ComboFix3.txt 2008-05-15 11:18:59

Pre-Run: 21,663,567,872 octets libres
Post-Run: 21,646,860,288 octets libres

359 --- E O F --- 2008-05-11 18:37:29

*****AVEC HIKACKTHIS :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:42:47, on 16/05/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\00THotkey.exe
C:\WINDOWS\System32\TFNF5.exe
C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe
C:\Program Files\SigmaTel\Pilotes Audio SigmaTel AC97\stacmon.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\TOSHIBA\TouchED\TouchED.Exe
C:\WINDOWS\LTSMMSG.exe
C:\WINDOWS\System32\TPSMain.exe
C:\Program Files\TOSHIBA\TME3\TMERzCtl.EXE
C:\Program Files\TOSHIBA\Commandes TOSHIBA\TFncKy.exe
C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\TPSBattM.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\System32\RegSrvc.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TOSHIBA\TME3\Tmesrv31.exe
C:\Program Files\TOSHIBA\TME3\TMEEJME.EXE
C:\WINDOWS\System32\1XConfig.exe
C:\Program Files\Fichiers communs\Teleca Shared\Generic.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://lo.st
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ads.eorezo.com/cgi-bin/advert/ge ... &x_dp_id=9
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://orange.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: {7d8a41a1-ce8b-a15a-b194-f1f98b9c4ba0} - {0ab4c9b8-9f1f-491b-a51a-b8ec1a14a8d7} - C:\WINDOWS\System32\osbpwghg.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [SmoothView] C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe
O4 - HKLM\..\Run: [SigmaTel StacMon] C:\Program Files\SigmaTel\Pilotes Audio SigmaTel AC97\stacmon.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [TouchED] C:\Program Files\TOSHIBA\TouchED\TouchED.Exe
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [TMESRV.EXE] C:\Program Files\TOSHIBA\TME3\TMESRV31.EXE /Logon
O4 - HKLM\..\Run: [TMERzCtl.EXE] C:\Program Files\TOSHIBA\TME3\TMERzCtl.EXE /Service
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] c:\Program Files\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ItsTV] "C:\Program Files\ItsLabel\ItsTV.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [dbar_starter] C:\Documents and Settings\Mon micro\Application Data\Deskbar_{273FE36F-2BE2-453e-8EFF-E48EFCFA8216}\starter.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Dbab] "C:\PROGRA~1\SMBOLS~1\spool32.exe" -vt ndrv
O4 - HKCU\..\Run: [Thvvsljc] C:\WINDOWS\?ssembly\??plorer.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing)
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing)
O14 - IERESET.INF: START_PAGE_URL=file:///C:\Program Files\TOSHIBA\Free Update Service\splash.html
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microso ... 8098724230
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe
O23 - Service: Tmesrv3 (Tmesrv) - TOSHIBA - C:\Program Files\TOSHIBA\TME3\Tmesrv31.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 9323 bytes

par **olive86** » 17 Mai 2008 10:03

Salut ,
Excuse-moi Tiph juste une petite parenthèse qui n'a rien a voir avec ton msg; Ugo ,Falkra...amis libelulliens c'est que vous avez fais des études sup en informatique ou simplement autodidacte?
car quand je vois les réponses j'allucinemais surtout ne vous arrêtez pas on a trop besoin de vous........Merci

par **Ogu** » 17 Mai 2008 10:34

Non j'ai fait des études d'histoire et je suis prof de lettres, donc j'ai appris en grande partie tout seul, et le reste sur l'Espace Sécurité de Zebulon.

Idem pour Falkra je crois, qui est également issu de la matrice littéraire et a depuis développé des capacités impressionantes en informatique, mais il en parlera mieux que moi!

A+ pour la suite de la désinfection (j'ai d'autres sujets en parallèle !)

par **tiph22** » 17 Mai 2008 12:38

C'est clair... impressionnant ! ... merci....

Des tas de problèmes ! les spywares ?!

Des tas de problèmes ! les spywares ?!

Re: des tas de problemes ! les spywares ?!

Re: des tas de problemes ! les spywares ?!

Re: des tas de problemes ! les spywares ?!

Re: des tas de problemes ! les spywares ?!

Re: Des tas de problèmes ! les spywares ?!

Re: Des tas de problèmes ! les spywares ?!

Re: Des tas de problèmes ! les spywares ?!

Re: Des tas de problèmes ! les spywares ?!

Re: Des tas de problèmes ! les spywares ?!

Re: Des tas de problèmes ! les spywares ?!

Re: Des tas de problèmes ! les spywares ?!

Re: Des tas de problèmes ! les spywares ?!

Re: Des tas de problèmes ! les spywares ?!

Re: Des tas de problèmes ! les spywares ?!

Re: Des tas de problèmes ! les spywares ?!

Re: Des tas de problèmes ! les spywares ?!

Re: Des tas de problèmes ! les spywares ?!

Re: Des tas de problèmes ! les spywares ?!

Re: Des tas de problèmes ! les spywares ?!

Qui est en ligne