Ok, ça c'est vide (kaspersky).
Désactive AVG, provisoirement.

Ca c'est rapide:
Télécharge Blacklight (de F-Secure); clique sur "I ACCEPT" au bas de la page. Sauvegarde le sur ton Bureau.

Double-clique fsbl.exe et accepte la licence; clique Scan puis Next

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

Ne réactive pas AVg tout de suite.

Son point d'entrée n'apparaît pas clairement.

Il y a un nouveau virus rootkit très particulier, une solution logique potentielle serait que tu l'aies choppé (j'espère que non). Ca se désinfecte, mais je dois faire quelques vérifications d'abord.

Je reviens.

Il faut encore restaurer tes fichiers patchés, je n'oublie pas, ça peut venir de là, mais c'est à traiter en dernier car délicat.
Je vérifie la procédure avec des spécialistes.

ok,j'aimerais vraiment avoir la solution
c'est tellement prenant que j'aimerais formater,mais j'aimerais savoir la solution....

Ca serait vraiment dommage, et pafois on se réinfecte juste après. Sans parler du temps passé.

Identifié clairement, il y a ton problème de fichiers système, de toute façon. C'est probablement lié au rootkit.
Je ne fais pas souvent restaurer ça depuis le cd, donc je me renseigne pour ne pas risque de faire une fausse manip et ne pas prendre de risques inutiles sur ta machine. J'ai une règle simple : ne pas faire sur celles des autres ce que je ne ferais pas sur la mienne. Du coup je me renseigne d'abord.

On m'a donné de précieuses indications (merci à Lyonnais92 et Qc001).

Vérifie ceci.
Ouvre le menu démarrer, exécuter.
Entre services.msc

Vois-tu un service dans la liste nommé MemSweep, MemSweep2 ?

oui tu as raison,le probleme peut réapparaitre après formatage,tu veux reprendre demain?

non pas de Memsweep dans les services

On peut vérifier ça d'abord si tu es encore actif.

si tu as du mal à trier, je peux te passer un outil pour.

C'est bien une saleté. Voici un nouveau script (thx Qc001).

Crée un fichier texte nommé CFScript.txt
Double clique pour l'ouvrir, et copie colle ceci dedans :

File::
C:\WINDOWS\system32\4.tmp

Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture

• Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
• Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
• Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

voila le contenu

ComboFix 08-01-16.1 - XP 2008-01-17 23:44:31.3 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1484 [GMT 1:00]
Running from: C:\Documents and Settings\XP\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\XP\Bureau\CFScript.txt
* Created a new restore point

FILE
C:\WINDOWS\system32\4.tmp
.

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-12-17 to 2008-01-17 ))))))))))))))))))))))))))))))))))))
.

2008-01-17 22:07 . 2008-01-17 22:07 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-01-15 22:53 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-15 22:40 . 2008-01-15 22:43 <REP> d-------- C:\Program Files\Navilog1
2008-01-15 21:07 . 2008-01-15 21:07 589,893 --a------ C:\upload_moi_XPSP2-AB29DB624.tar.gz
2008-01-15 00:49 . 2007-10-16 17:16 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage r‚seau
2008-01-15 00:49 . 2007-10-16 17:16 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression
2008-01-15 00:49 . 2007-10-16 15:21 <REP> d--h----- C:\Documents and Settings\Administrateur\ModŠles
2008-01-15 00:49 . 2007-10-16 17:16 <REP> d-------- C:\Documents and Settings\Administrateur\Mes documents
2008-01-15 00:49 . 2007-10-16 17:16 <REP> dr------- C:\Documents and Settings\Administrateur\Menu D‚marrer
2008-01-15 00:49 . 2007-10-16 15:24 <REP> d-------- C:\Documents and Settings\Administrateur\Favoris
2008-01-15 00:49 . 2007-10-16 17:16 <REP> d-------- C:\Documents and Settings\Administrateur\Bureau
2008-01-15 00:49 . 2008-01-15 00:49 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\PC Tools
2008-01-15 00:20 . 2007-08-14 09:12 18,816 --------- C:\WINDOWS\system32\SAVRKBootTasks.sys
2008-01-14 23:18 . 2008-01-14 23:18 <REP> d-------- C:\Program Files\Sophos
2008-01-13 23:53 . 2007-01-18 13:00 3,968 --a------ C:\WINDOWS\system32\drivers\AvgArCln.sys
2008-01-13 23:47 . 2008-01-13 23:47 <REP> d-------- C:\Program Files\Avira GmbH
2008-01-13 22:33 . 2008-01-13 22:33 <REP> d-------- C:\Program Files\Teleport Pro
2008-01-13 12:42 . 2008-01-15 00:24 <REP> d-------- C:\Program Files\Error Repair Professional
2008-01-12 00:48 . 2008-01-12 00:48 <REP> d-------- C:\Program Files\MP3Producer
2008-01-12 00:48 . 2008-01-12 00:49 8 --a------ C:\WINDOWS\system32\ntP2.trk
2008-01-12 00:29 . 2008-01-12 00:53 <REP> d-------- C:\Program Files\FairStars Audio Converter
2008-01-12 00:18 . 2008-01-12 00:18 <REP> d-------- C:\Program Files\Xing
2008-01-12 00:18 . 1998-12-16 12:08 317,952 --a------ C:\WINDOWS\system32\Roboex32.dll
2008-01-04 20:09 . 2007-10-12 02:55 1,279,000 --a------ C:\WINDOWS\system32\drivers\LV302V32.SYS
2008-01-04 20:09 . 2007-10-12 03:00 490,008 --a------ C:\WINDOWS\system32\LVUI2.dll
2008-01-04 20:09 . 2007-10-12 03:00 465,432 --a------ C:\WINDOWS\system32\LVUI2RC.dll
2008-01-04 20:09 . 2007-10-12 02:57 416,280 --a------ C:\WINDOWS\system32\lvcodec2.dll
2008-01-04 20:09 . 2007-10-12 02:57 195,096 --a------ C:\WINDOWS\system32\lvci1150.dll
2008-01-04 20:09 . 2007-10-12 02:11 59,500 --a------ C:\WINDOWS\system32\lvcoinst.ini
2008-01-04 20:09 . 2007-10-12 03:00 41,752 --a------ C:\WINDOWS\system32\drivers\LVUSBSta.sys
2008-01-04 20:09 . 2007-10-12 02:18 21,138 --a------ C:\WINDOWS\system32\Repository.reg
2008-01-04 20:09 . 2007-10-12 02:55 13,848 --a------ C:\WINDOWS\system32\drivers\lv302af.sys
2008-01-04 20:08 . 2008-01-04 20:08 <REP> d-------- C:\Program Files\Logitech
2008-01-04 20:08 . 2008-01-04 20:08 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Logitech
2007-12-31 19:37 . 2007-12-31 19:39 <REP> d-------- C:\Documents and Settings\XP\Application Data\VoipDiscount
2007-12-31 19:33 . 2007-12-31 19:33 <REP> d-------- C:\Program Files\VoipDiscount.com
2007-12-30 05:02 . 2007-12-30 05:02 <REP> d-------- C:\WINDOWS\Sun

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-17 22:53 5,315,104 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-01-17 22:47 269,344 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat
2008-01-17 22:47 --------- d-----w C:\Documents and Settings\All Users\Application Data\Kaspersky Lab
2008-01-17 22:46 72,212 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-01-17 22:46 26,300 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx
2008-01-14 23:28 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-01-14 22:43 2,920,960 ----a-w C:\WINDOWS\Internet Logs\xDB13.tmp
2008-01-14 22:43 2,747,392 ----a-w C:\WINDOWS\Internet Logs\xDB14.tmp
2008-01-13 16:49 --------- d-----w C:\Program Files\Winamp
2008-01-12 19:48 --------- d-----w C:\Documents and Settings\XP\Application Data\LimeWire
2008-01-11 00:58 2,830,848 ----a-w C:\WINDOWS\Internet Logs\xDB11.tmp
2008-01-11 00:58 2,668,032 ----a-w C:\WINDOWS\Internet Logs\xDB12.tmp
2008-01-04 19:10 --------- d-----w C:\Program Files\Fichiers communs\LogiShrd
2008-01-04 19:08 --------- d-----w C:\Documents and Settings\All Users\Application Data\Logishrd
2008-01-02 17:30 --------- d-----w C:\Program Files\Spyware Doctor
2008-01-01 12:04 2,580,992 ----a-w C:\WINDOWS\Internet Logs\xDB10.tmp
2007-12-28 14:06 91,492 ----a-w C:\WINDOWS\system32\drivers\klin.dat
2007-12-28 14:06 85,860 ----a-w C:\WINDOWS\system32\drivers\klick.dat
2007-11-25 01:53 3,186,176 ----a-w C:\WINDOWS\Internet Logs\xDBF.tmp
2007-11-23 09:07 2,478,080 ----a-w C:\WINDOWS\Internet Logs\xDBE.tmp
2007-11-23 00:32 --------- d-----w C:\Documents and Settings\XP\Application Data\Azureus
2007-11-23 00:31 --------- d-----w C:\Program Files\Nero
2007-11-23 00:31 --------- d-----w C:\Program Files\Fichiers communs\Nero
2007-11-23 00:31 --------- d-----w C:\Documents and Settings\XP\Application Data\Nero
2007-11-23 00:30 --------- d-----w C:\Documents and Settings\All Users\Application Data\Nero
2007-11-22 04:11 --------- d-----w C:\Program Files\DivX
2007-11-21 23:38 --------- d-----w C:\Program Files\Foxit Software
2007-11-21 19:50 --------- d-----w C:\Program Files\WinAVI Video Converter
2007-11-21 02:15 --------- d-----w C:\Program Files\Electronic Arts
2007-11-19 22:08 --------- d-----w C:\Program Files\ALA
2007-11-17 01:35 2,738,176 ----a-w C:\WINDOWS\Internet Logs\xDBC.tmp
2007-11-17 01:35 2,322,944 ----a-w C:\WINDOWS\Internet Logs\xDBD.tmp
2007-11-12 00:54 2,842,112 ----a-w C:\WINDOWS\Internet Logs\xDBA.tmp
2007-11-12 00:54 2,277,376 ----a-w C:\WINDOWS\Internet Logs\xDBB.tmp
2007-11-05 00:50 696,832 ----a-w C:\WINDOWS\Internet Logs\xDB8.tmp
2007-11-05 00:50 2,276,352 ----a-w C:\WINDOWS\Internet Logs\xDB9.tmp
2007-11-02 00:52 2,807,296 ----a-w C:\WINDOWS\Internet Logs\xDB7.tmp
2007-10-27 15:12 2,936,832 ----a-w C:\WINDOWS\Internet Logs\xDB5.tmp
2007-10-27 15:12 2,125,312 ----a-w C:\WINDOWS\Internet Logs\xDB6.tmp
2007-10-27 11:35 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2007-10-18 17:08 505,392 ----a-w C:\WINDOWS\system32\msvcp71.dll
2007-10-18 15:18 348,160 ----a-w C:\WINDOWS\system32\msvcr71.dll
2007-10-17 17:00 971,264 ----a-w C:\WINDOWS\Internet Logs\xDB3.tmp
2007-10-17 17:00 1,656,320 ----a-w C:\WINDOWS\Internet Logs\xDB4.tmp
2007-10-17 11:55 86,528 ----a-w C:\WINDOWS\Internet Logs\xDB1.tmp
2007-10-17 11:55 1,519,616 ----a-w C:\WINDOWS\Internet Logs\xDB2.tmp
2007-10-17 11:08 315,392 ----a-w C:\WINDOWS\HideWin.exe
.

((((((((((((((((((((((((((((( snapshot@2008-01-16_23.01.05.46 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-01-15 21:54:05 245,760 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000001\NTUSER.DAT
+ 2008-01-17 22:44:27 245,760 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000001\NTUSER.DAT
- 2008-01-15 21:54:06 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000002\UsrClass.dat
+ 2008-01-17 22:44:27 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000002\UsrClass.dat
- 2008-01-15 21:54:06 3,072,000 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000003\NTUSER.DAT
+ 2008-01-17 22:44:28 3,108,864 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000003\NTUSER.DAT
- 2008-01-15 21:54:06 864,256 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000004\UsrClass.dat
+ 2008-01-17 22:44:28 864,256 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000004\UsrClass.dat
- 2008-01-15 21:54:06 245,760 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000005\NTUSER.DAT
+ 2008-01-17 22:44:28 245,760 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000005\NTUSER.DAT
- 2008-01-15 21:54:06 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000006\UsrClass.dat
+ 2008-01-17 22:44:28 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000006\UsrClass.dat
+ 2005-05-16 18:34:48 213,048 ----a-w C:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner\kavss.dll
+ 2006-03-20 12:17:24 65,536 ----a-w C:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner\kavuninstall.exe
+ 2006-03-20 12:17:20 798,720 ----a-w C:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner\kavwebscan.dll
- 2008-01-16 21:59:05 4,212 ---h--w C:\WINDOWS\system32\zllictbl.dat
+ 2008-01-17 22:48:49 4,212 ---h--w C:\WINDOWS\system32\zllictbl.dat
- 2008-01-14 20:16:12 7,559,936 ----a-w C:\WINDOWS\system32\ZoneLabs\spyware.dat
+ 2008-01-17 19:31:15 7,533,084 ----a-w C:\WINDOWS\system32\ZoneLabs\spyware.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="C:\Program Files\MSN Messenger\msnmsgr.exe" [2007-01-19 11:55 5674352]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVP"="C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" [2007-03-09 18:50 200768]
"ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-03-08 23:02 919280]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-09-17 00:07 8491008]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Spyware Doctor"="" []

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"Config"="C:\WINDOWS\system32\run.cmd" [2006-02-14 10:24 248]
"tscuninstall"="C:\WINDOWS\system32\tscupgrd.exe" [2004-08-19 15:52 44544]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"MemCheckBoxInRunDlg"= 1 (0x1)
"NoSMBalloonTip"= 1 (0x1)
"NoDesktopCleanupWizard"= 1 (0x1)
"NoWelcomeScreen"= 1 (0x1)
"NoStrCmpLogical"= 0 (0x0)
"NoInstrumentation"= 0 (0x0)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"MemCheckBoxInRunDlg"= 1 (0x1)
"NoSMBalloonTip"= 1 (0x1)
"NoDesktopCleanupWizard"= 1 (0x1)
"NoWelcomeScreen"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]


[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LanguageShortcut]
--a------ 2007-02-07 15:21 54832 C:\Program Files\CyberLink\PowerDVD\Language\Language.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechCommunicationsManager]
--a------ 2007-10-25 16:33 563984 C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechQuickCamRibbon]
--a------ 2007-10-25 16:37 2178832 C:\Program Files\Logitech\QuickCam\Quickcam.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
--a------ 2007-09-17 00:07 8491008 C:\WINDOWS\system32\NvCpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
--a------ 2007-09-17 00:07 81920 C:\WINDOWS\system32\NvMcTray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2007-09-17 00:07 1626112 C:\WINDOWS\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
--------- 2007-02-07 15:24 71216 C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
--a------ 2007-09-11 15:54 16844800 C:\WINDOWS\RTHDCPL.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2007-05-02 03:15 75520 C:\Program Files\Java\jre1.5.0_12\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2007-10-18 16:18 185632 C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VoipDiscount]
--a------ 2006-12-14 15:18 7558720 C:\Program Files\VoipDiscount.com\VoipDiscount\VoipDiscount.exe

R0 mv61xx;mv61xx;C:\WINDOWS\system32\DRIVERS\mv61xx.sys [2007-05-25 04:35]
R1 SAVRKBootTasks;Boot Tasks Driver;C:\WINDOWS\system32\SAVRKBootTasks.sys [2007-08-14 09:12]
R2 {95808DC4-FA4A-4c74-92FE-5B863F82066B};{95808DC4-FA4A-4c74-92FE-5B863F82066B};C:\Program Files\CyberLink\PowerDVD\000.fcl [2006-11-02 15:51]
R3 AtcL001;NDIS Miniport Driver for Attansic L1 Gigabit Ethernet Controller;C:\WINDOWS\system32\DRIVERS\atl01_xp.sys [2007-03-15 07:12]
S3 libusb0;LibUsb-Win32 - Kernel Driver, Version 0.1.10.1;C:\WINDOWS\system32\drivers\libusb0.sys [2005-03-09 19:50]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1054a0c2-7c03-11dc-af6a-806d6172696f}]
\Shell\AutoRun\command - D:\.\Bin\Assetup.exe

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-18 00:18:44
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2008-01-18 0:19:29 - machine was rebooted
ComboFix-quarantined-files.txt 2008-01-17 23:19:24
ComboFix2.txt 2008-01-17 20:28:57
ComboFix3.txt 2008-01-16 22:01:27

On va s'occuper de tes fichiers système maintenant.
Ceci va être fait sans accès à internet, tu n'auras pas accès au net, imprime éventuellement cette partie, ou fais-toi un papier à la main, quelque chose pour l'avoir sous les yeux.

Démarre avec la console de récupération :
- (Si elle n'est pas installée) entre le cd d'installation de Windows (celui avec SP2) et redémarre le PC
- Presse n'importe quelle touche quand c'est demandé pour que le cd démarre.
- Après l'écran de bienvenue presse la touche "R" pour accéder à la console,
et suis les indications sur le choix de système, le mot de passe (pas de mot de passe, fais juste entrée).

Après ça tu as une invite de commande "C:\Windows>" et un curseur qui clignote.

On va renommer tes fichiers problématiques.

Tape ces commandes en valide avec entrée :

ren kernel32.dll kernel32.vir
cd system32
cd drivers
ren tcpip.sys tcpip.vir

((on a changé de dossier avec CD, on est dans system32\drivers, on a renommé les fichiers à problème, pour windows, c'est comme pas de fichiers, la phase suivante est indispensable))
Il faut trouver la lettre de ton lecteur CD. Ici on va prendre l'exemple où le lecteur CD est D:

dans ce mode de fonctionnement, cela peut ne pas être ta lettre habituelle
Je te donne l'exemple avec D: c'est à changer pour E: ou F: par exemple.
Voici les commandes, entrée pour valider. (c'est bien le tiret du bas que tu vois, sous la touche 8 habituellement).

EXPAND D:\I386\TCPIP.SY_ C:\WINDOWS\SYSTEM32\DRIVERS\TCPIP.SYS
EXPAND D:\I386\KERNEL32.DL_ C:\WINDOWS\SYSTEM32\KERNEL32.DLL

Il doit te confirmer "un fichier copié" à chaque fois.

Si tu n'arrives pas à taper les "\" enfonce ALT puis de taper 92 sur le pavé numérique. Lâche ALT.

bonsoir Falkra!! comment vas tu?
qu'est ce que tu entends par : "Démarre avec la console de récupération"?
une fenetre DOS?

Non non, c'est ce qu'il y a en dessous. La console de récupération est une invite de commandes, mais sans interface grahpique, on ne la lance pas depuis le système, mais depuis le CD d'installation de windows ou en l'installant.
On démarre avec le cd de windows dans le pc, et c'est un cd bootable, donc le cd démarre à la place de windows, et ça commence comme une installation de windows, mais à un moment on te propose la console de récupération, en appuyant sur la touche R, c'est ça en fait.

Ca lancera une invite type DOS, mais sans avoir lancé XP.

Attention pour les commandes "expand", il y a "d:\" dedans, comme je t'ai mis c'est un exemple, si ton cd n'est pas en D depuis la console (qui peut modifier les lettres habituelles), il faudra changer les lignes de commande commençant par expand et à la place de d:\ pour le fichier source mettre par exemple e:\ ou f:\ la lettre du lecteur cd. Ce n'est pas forcément celle que tu as l'habitude d'utiliser, car sous console de récupération, tout n'est pas dans le même ordre côté lettres.

Pour faire un test à l'invite de commandes tu peux entre
dir d: (si une liste s'affiche avec des dossiers, dont i386, tu as dans le cd, avec la bonne lettre)
sinon
dir e:
etc...

N'hésite pas, pose le max de questions avant.

j'en ai mit du temps mais c'est fait....

Ouf !

Poste un nouveau rapport DiagHelp stp.

désolé, voila


DiagHelp version v1.4 - http://www.malekal.com
excute le 18/01/2008 à 21:25:15,53


Liste des derniers fichies modifies/crees dans windir\system32 et prefetch
C:\WINDOWS\prefetch\CHCP.COM-18156052.pf -->18/01/2008 21:25:14
C:\WINDOWS\prefetch\EXPLORER.EXE-082F38A9.pf -->18/01/2008 21:25:03
C:\WINDOWS\prefetch\WUAUCLT.EXE-399A8E72.pf -->18/01/2008 21:24:34
C:\WINDOWS\prefetch\FIREFOX.EXE-28641590.pf -->18/01/2008 21:15:04
C:\WINDOWS\prefetch\FLASHGOT.EXE-2438BC43.pf -->18/01/2008 21:15:02
C:\WINDOWS\prefetch\HHUFAKTT.EXE-2DF89859.pf -->18/01/2008 21:14:22
C:\WINDOWS\prefetch\AVGARKT.EXE-2AC612CA.pf -->18/01/2008 21:14:22
C:\WINDOWS\prefetch\NTOSBOOT-B00DFAAD.pf -->18/01/2008 21:14:08
C:\WINDOWS\prefetch\MSNMSGR.EXE-366A1A81.pf -->18/01/2008 21:14:08
C:\WINDOWS\prefetch\WMPLAYER.EXE-18DDEFA5.pf -->18/01/2008 19:56:47

C:\WINDOWS\System32\drivers\fidbox.dat -->18/01/2008 21:22:18
C:\WINDOWS\System32\drivers\fidbox2.dat -->18/01/2008 21:13:12
C:\WINDOWS\System32\drivers\fidbox2.idx -->18/01/2008 20:12:06
C:\WINDOWS\System32\drivers\fidbox.idx -->18/01/2008 20:12:06
C:\WINDOWS\System32\drivers\klin.dat -->28/12/2007 15:06:18
C:\WINDOWS\System32\drivers\klif.sys -->28/12/2007 15:06:18
C:\WINDOWS\System32\drivers\klick.dat -->28/12/2007 15:06:18

C:\WINDOWS\System32\vsconfig.xml -->18/01/2008 21:13:18
C:\WINDOWS\System32\ikhcore.log -->18/01/2008 21:13:03
C:\WINDOWS\System32\zllictbl.dat -->18/01/2008 19:07:04
C:\WINDOWS\System32\wpa.dbl -->16/01/2008 22:58:58
C:\WINDOWS\System32\ntP2.trk -->12/01/2008 00:49:06
C:\WINDOWS\System32\lvcoinst.log -->04/01/2008 20:10:42
C:\WINDOWS\System32\BASSMOD.dll -->23/11/2007 04:11:53
C:\WINDOWS\System32\PerfStringBackup.INI -->28/10/2007 16:38:15
C:\WINDOWS\System32\perfh00C.dat -->28/10/2007 16:38:15
C:\WINDOWS\System32\perfh009.dat -->28/10/2007 16:38:15
C:\WINDOWS\System32\perfc00C.dat -->28/10/2007 16:38:15
C:\WINDOWS\System32\perfc009.dat -->28/10/2007 16:38:15
C:\WINDOWS\System32\CmdLineExt.dll -->27/10/2007 12:35:58
C:\WINDOWS\System32\FNTCACHE.DAT -->18/10/2007 21:23:52
C:\WINDOWS\System32\msvcp71.dll -->18/10/2007 18:08:17
C:\WINDOWS\System32\rmoc3260.dll -->18/10/2007 16:18:24
C:\WINDOWS\System32\pndx5032.dll -->18/10/2007 16:18:19
C:\WINDOWS\System32\pndx5016.dll -->18/10/2007 16:18:19
C:\WINDOWS\System32\pncrt.dll -->18/10/2007 16:18:19
C:\WINDOWS\System32\msvcr71.dll -->18/10/2007 16:18:19
C:\WINDOWS\System32\61xx.xml -->18/10/2007 13:43:07
C:\WINDOWS\System32\jupdate-1.5.0_12-b04.log -->17/10/2007 15:51:19
C:\WINDOWS\System32\LoopyMusic.wav -->17/10/2007 12:15:35
C:\WINDOWS\System32\BuzzingBee.wav -->17/10/2007 12:15:35
C:\WINDOWS\System32\nvapps.xml -->17/10/2007 12:15:27

C:\WINDOWS\WindowsUpdate.log -->18/01/2008 21:25:15
C:\WINDOWS\0.log -->18/01/2008 21:13:20
C:\WINDOWS\wiaservc.log -->18/01/2008 21:13:19
C:\WINDOWS\wiadebug.log -->18/01/2008 21:13:19
C:\WINDOWS\bootstat.dat -->18/01/2008 21:13:09
C:\WINDOWS\SchedLgU.Txt -->18/01/2008 20:12:03
C:\WINDOWS\system.ini -->18/01/2008 00:18:42
C:\WINDOWS\setupapi.log -->17/01/2008 22:07:27
C:\WINDOWS\winamp.ini -->17/01/2008 20:37:48
C:\WINDOWS\mozver.dat -->15/01/2008 20:50:29
C:\WINDOWS\win.ini -->15/01/2008 20:24:28
C:\WINDOWS\NeroDigital.ini -->25/11/2007 00:17:53
C:\WINDOWS\hpoins07.dat -->23/10/2007 21:04:54
C:\WINDOWS\ODBC.INI -->18/10/2007 13:54:06
C:\WINDOWS\Ascd_tmp.ini -->18/10/2007 13:18:55

winlogon.exe
Verified: Signed
svchost.exe
Verified: Signed
ws2_32.dll
Verified: Signed
user32.dll
Verified: Signed
tcpip.sys
Verified: Unsigned
ndis.sys
Verified: Signed
null.sys
Verified: Signed


ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - http://www.sysinternals.com

------------------------------------------------------------------------------
explorer.exe pid: 1500
Command line: C:\WINDOWS\Explorer.EXE

Base Size Version Path
*** Loaded C:\WINDOWS\system32\kernel32.dll differs from file image:
*** File timestamp: Fri Aug 20 01:09:14 2004
*** Loaded image timestamp: Fri Aug 20 01:09:15 2004
*** Loaded C:\WINDOWS\system32\SHDOCVW.dll differs from file image:
*** File timestamp: Thu Mar 30 11:29:26 2006
*** Loaded image timestamp: Thu Mar 30 11:31:40 2006
0x76f80000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL
0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll
0x5a000000 0x1a000 3.06.0000.2080 C:\Program Files\Spyware Doctor\tools\swpg.dat
0x10000000 0x25000 6.00.0002.0621 C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scrchpg.dll
0x76ac0000 0x11000 3.05.2284.0000 C:\WINDOWS\system32\ATL.DLL
0x745e0000 0x2c6000 3.01.4000.2435 C:\WINDOWS\system32\msi.dll
0x02830000 0x1b8000 3.01.0000.0008 C:\Program Files\Fichiers communs\Nero\Lib\NeroDigitalExt.dll
0x781d0000 0x10f000 8.00.50727.0762 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.MFC_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_3bf8fa05\MFC80.DLL
0x78130000 0x9b000 8.00.50727.0762 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_6b128700\MSVCR80.dll
0x7c420000 0x87000 8.00.50727.0762 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_6b128700\MSVCP80.dll
0x5d360000 0xf000 8.00.50727.0762 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.MFCLOC_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_91481303\MFC80FRA.DLL
0x41f00000 0x7000 1.00.0000.3845 C:\WINDOWS\system32\asfsipc.dll
0x60980000 0x7000 3.01.4000.1823 C:\WINDOWS\system32\MSISIP.DLL
0x74e10000 0x10000 5.06.0000.8820 C:\WINDOWS\system32\wshext.dll
0x73d20000 0xfe000 6.02.4131.0000 C:\WINDOWS\system32\MFC42.DLL
0x61d70000 0xe000 6.00.8665.0000 C:\WINDOWS\system32\MFC42LOC.DLL
0x59000000 0xe000 5.06.0000.6626 C:\WINDOWS\system32\wshFR.DLL
0x36d30000 0x19000 11.00.5510.0000 C:\PROGRA~1\MICROS~2\OFFICE11\MCPS.DLL

ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - http://www.sysinternals.com

------------------------------------------------------------------------------
winlogon.exe pid: 800
Command line: winlogon.exe

Base Size Version Path
0x01000000 0x81000 \??\C:\WINDOWS\system32\winlogon.exe
*** Loaded C:\WINDOWS\system32\kernel32.dll differs from file image:
*** File timestamp: Fri Aug 20 01:09:14 2004
*** Loaded image timestamp: Fri Aug 20 01:09:15 2004
0x74730000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll
0x20000000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll
0x10000000 0x33000 6.00.0002.0621 C:\WINDOWS\system32\klogon.dll
0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll
0x76f80000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL
0x5a000000 0x1a000 3.06.0000.2080 C:\Program Files\Spyware Doctor\tools\swpg.dat


Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est E024-22FA

Répertoire de C:\WINDOWS\system

10/09/1999 12:06 4 672 wowpost.exe
1 fichier(s) 4 672 octets
0 Rép(s) 150 107 308 032 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est E024-22FA

Répertoire de C:\WINDOWS\system32

19/08/2004 16:09 6 144 csrss.exe
1 fichier(s) 6 144 octets
0 Rép(s) 150 107 308 032 octets libres

Contenu de Downloaded Program Files
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est E024-22FA

Répertoire de C:\WINDOWS\Downloaded Program Files

17/01/2008 22:07 <REP> .
17/01/2008 22:07 <REP> ..
16/10/2007 15:23 65 desktop.ini
20/11/2007 16:04 1 523 536 FP_AX_CAB_INSTALLER.exe
08/08/2006 11:45 576 kavwebscan.inf
20/11/2007 15:50 247 swflash.inf
4 fichier(s) 1 524 424 octets

Total des fichiers listés :
4 fichier(s) 1 524 424 octets
2 Rép(s) 150 107 303 936 octets libres

Recherche de rootkit! (Merci S!Ri)

Recherche d'infections connues

Export des clefs sensibles..


Liste des fichiers en exception sur le pare-feu XP SP2



Export de la clef SharedTaskScheduler

[SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"



exports des policies
REGEDIT4

[system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001



Export des clefs sensibles..
Rechercher adresses sensibles dans le fichier HOSTS...
catchme 0.3.1319 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-18 21:25:31
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden services & system hive ...

IPC error: 2 Le fichier spécifié est introuvable.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:82,92,de,ac,ed,11,a8,f9,30,5c,af,4b,7e,c3,9a,e5,11,e6,ca,71,7e,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,ba,1a,7c,b3,a3,ed,e5,3a,4e,cd,8a,29,0a,d5,05,b2,fc,..
"khjeh"=hex:e7,c7,e3,ad,84,d8,31,d9,09,8f,b4,22,5f,c7,c7,ad,f8,fd,7c,d5,6e,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:4d,87,0b,6f,8f,e3,7d,bc,8b,81,58,25,2b,c7,71,a7,e8,d8,bd,83,33,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:2d,a9,38,70,74,29,fd,1d,2e,d2,14,6e,7c,e8,80,70,c5,1c,98,3d,63,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42]
"khjeh"=hex:98,69,2c,b9,b3,42,2d,4d,4e,4d,c6,19,5f,67,00,93,71,eb,8a,b5,39,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:82,92,de,ac,ed,11,a8,f9,30,5c,af,4b,7e,c3,9a,e5,11,e6,ca,71,7e,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,ba,1a,7c,b3,a3,ed,e5,3a,4e,cd,8a,29,0a,d5,05,b2,fc,..
"khjeh"=hex:e7,c7,e3,ad,84,d8,31,d9,09,8f,b4,22,5f,c7,c7,ad,f8,fd,7c,d5,6e,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:4d,87,0b,6f,8f,e3,7d,bc,8b,81,58,25,2b,c7,71,a7,e8,d8,bd,83,33,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:2d,a9,38,70,74,29,fd,1d,2e,d2,14,6e,7c,e8,80,70,c5,1c,98,3d,63,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42]
"khjeh"=hex:98,69,2c,b9,b3,42,2d,4d,4e,4d,c6,19,5f,67,00,93,71,eb,8a,b5,39,..

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden services: 0
hidden files: 0


KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (http://www.security.org.sg)

Process list by traversal of KiWaitListHead

4 - System
460 - cmd.exe
644 - csrss.exe
800 - winlogon.exe
844 - services.exe
856 - lsass.exe
1020 - svchost.exe
1188 - svchost.exe
1228 - svchost.exe
1320 - svchost.exe
1500 - explorer.exe
1644 - alg.exe
1856 - avp.exe
1896 - LVComSer.exe
1960 - avp.exe
1964 - nvsvc32.exe
2108 - svchost.exe
2228 - LVComSer.exe
3216 - firefox.exe

Total number of processes = 19
NOTE: Under WinXP, this will not show all processes.

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (http://www.security.org.sg)

Driver/Module list by traversal of PsLoadedModuleList

804D7000 - \WINDOWS\system32\ntkrnlpa.exe
806E2000 - \WINDOWS\system32\hal.dll
BADA8000 - \WINDOWS\system32\KDCOM.DLL
BACB8000 - \WINDOWS\system32\BOOTVID.dll
BA6BD000 - sptd.sys
BADAA000 - \WINDOWS\System32\Drivers\WMILIB.SYS
BA6A5000 - \WINDOWS\System32\Drivers\SCSIPORT.SYS
BA676000 - ACPI.sys
BA665000 - pci.sys
BA8A8000 - isapnp.sys
BADAC000 - avgarkt.sys
BAE70000 - pciide.sys
BAB28000 - \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
BA8B8000 - MountMgr.sys
BA646000 - ftdisk.sys
BADAE000 - dmload.sys
BA620000 - dmio.sys
BAB30000 - PartMgr.sys
BA8C8000 - VolSnap.sys
BA608000 - atapi.sys
BA5D5000 - mv61xx.sys
BA8D8000 - disk.sys
BA8E8000 - \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
BA5B6000 - fltMgr.sys
BA5A4000 - sr.sys
BA58D000 - KSecDD.sys
BA500000 - Ntfs.sys
BA4D3000 - NDIS.sys
BA4BF000 - srescan.sys
BA4A5000 - Mup.sys
BA489000 - kl1.sys
BAB38000 - \WINDOWS\system32\drivers\TDI.SYS
BA9B8000 - \SystemRoot\system32\DRIVERS\intelppm.sys
B9D4C000 - \SystemRoot\system32\DRIVERS\nv4_mini.sys
B9D38000 - \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
BABA8000 - \SystemRoot\system32\DRIVERS\usbuhci.sys
B9D15000 - \SystemRoot\system32\DRIVERS\USBPORT.SYS
BABB0000 - \SystemRoot\system32\DRIVERS\usbehci.sys
B9CF0000 - \SystemRoot\system32\DRIVERS\HDAudBus.sys
BA9C8000 - \SystemRoot\system32\DRIVERS\imapi.sys
BA9D8000 - \SystemRoot\system32\DRIVERS\cdrom.sys
BA9E8000 - \SystemRoot\system32\DRIVERS\redbook.sys
B9CCD000 - \SystemRoot\system32\DRIVERS\ks.sys
BA9F8000 - \SystemRoot\system32\DRIVERS\atl01_xp.sys
BABB8000 - \SystemRoot\system32\DRIVERS\fdc.sys
BADBA000 - \SystemRoot\system32\DRIVERS\ASACPI.sys
B9CBC000 - \SystemRoot\system32\DRIVERS\serial.sys
BA451000 - \SystemRoot\system32\DRIVERS\serenum.sys
BAA08000 - \SystemRoot\system32\DRIVERS\i8042prt.sys
BABC0000 - \SystemRoot\system32\DRIVERS\kbdclass.sys
B9C55000 - \SystemRoot\System32\Drivers\atx2yt2n.SYS
BAFB0000 - \SystemRoot\system32\DRIVERS\audstub.sys
BAA68000 - \SystemRoot\system32\DRIVERS\rasl2tp.sys
BA41D000 - \SystemRoot\system32\DRIVERS\ndistapi.sys
B9C2C000 - \SystemRoot\system32\DRIVERS\ndiswan.sys
BAA78000 - \SystemRoot\system32\DRIVERS\raspppoe.sys
BAA88000 - \SystemRoot\system32\DRIVERS\raspptp.sys
B9BF3000 - \SystemRoot\system32\DRIVERS\psched.sys
BAA98000 - \SystemRoot\system32\DRIVERS\msgpc.sys
BAC20000 - \SystemRoot\system32\DRIVERS\ptilink.sys
BAC28000 - \SystemRoot\system32\DRIVERS\raspti.sys
B9BC2000 - \SystemRoot\system32\DRIVERS\rdpdr.sys
BAAA8000 - \SystemRoot\system32\DRIVERS\termdd.sys
BAC30000 - \SystemRoot\system32\DRIVERS\mouclass.sys
BADD4000 - \SystemRoot\system32\DRIVERS\swenum.sys
B9B8E000 - \SystemRoot\system32\DRIVERS\update.sys
BA405000 - \SystemRoot\system32\DRIVERS\mssmbios.sys
BAAB8000 - \SystemRoot\System32\Drivers\NDProxy.SYS
BAAC8000 - \SystemRoot\system32\DRIVERS\usbhub.sys
BADDE000 - \SystemRoot\system32\DRIVERS\USBD.SYS
B753B000 - \SystemRoot\system32\drivers\RtkHDAud.sys
B7519000 - \SystemRoot\system32\drivers\portcls.sys
BAAE8000 - \SystemRoot\system32\drivers\drmk.sys
BAC40000 - \SystemRoot\system32\DRIVERS\flpydisk.sys
BADE2000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS
BAF69000 - \SystemRoot\System32\Drivers\Null.SYS
BADE4000 - \SystemRoot\System32\Drivers\Beep.SYS
BAF6A000 - \SystemRoot\System32\DRIVERS\AvgArCln.sys
BAC50000 - \SystemRoot\System32\drivers\vga.sys
BADE6000 - \SystemRoot\System32\DRIVERS\RDPCDD.sys
BAC58000 - \SystemRoot\System32\Drivers\Msfs.SYS
BAC60000 - \SystemRoot\System32\Drivers\Npfs.SYS
B9C08000 - \SystemRoot\system32\DRIVERS\rasacd.sys
B7456000 - \SystemRoot\system32\DRIVERS\ipsec.sys
B73FE000 - \SystemRoot\system32\DRIVERS\tcpip.sys
B73B5000 - \SystemRoot\system32\DRIVERS\ipnat.sys
B738D000 - \SystemRoot\system32\DRIVERS\netbt.sys
B732E000 - \SystemRoot\System32\vsdatant.sys
B730C000 - \SystemRoot\System32\drivers\afd.sys
BAB08000 - \SystemRoot\system32\DRIVERS\netbios.sys
BAC68000 - \??\C:\WINDOWS\system32\SAVRKBootTasks.sys
BAC70000 - \SystemRoot\system32\DRIVERS\usbccgp.sys
B9B76000 - \SystemRoot\system32\DRIVERS\hidusb.sys
BAB18000 - \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
BAC78000 - \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
B72E1000 - \SystemRoot\system32\DRIVERS\rdbss.sys
B7272000 - \SystemRoot\system32\DRIVERS\mrxsmb.sys
B7242000 - \??\C:\WINDOWS\system32\drivers\klif.sys
BA938000 - \??\C:\WINDOWS\system32\drivers\ikhlayer.sys
BAC80000 - \??\C:\WINDOWS\system32\drivers\ikhfile.sys
BA948000 - \SystemRoot\System32\Drivers\Fips.SYS
BA968000 - \SystemRoot\system32\drivers\LVUSBSta.sys
B750D000 - \SystemRoot\system32\DRIVERS\usbscan.sys
BAC90000 - \SystemRoot\system32\DRIVERS\usbprint.sys
BAC98000 - \SystemRoot\system32\DRIVERS\HPZius12.sys
B7505000 - \SystemRoot\system32\DRIVERS\mouhid.sys
BA978000 - \SystemRoot\system32\DRIVERS\HPZid412.sys
B7501000 - \SystemRoot\system32\DRIVERS\HPZipr12.sys
BAA28000 - \SystemRoot\System32\Drivers\Cdfs.SYS
B6F08000 - \SystemRoot\System32\Drivers\dump_atapi.sys
BAE2C000 - \SystemRoot\System32\Drivers\dump_WMILIB.SYS
BF800000 - \SystemRoot\System32\win32k.sys
B74DD000 - \SystemRoot\System32\drivers\Dxapi.sys
BACA8000 - \SystemRoot\System32\watchdog.sys
BF9C3000 - \SystemRoot\System32\drivers\dxg.sys
BAF30000 - \SystemRoot\System32\drivers\dxgthk.sys
BF9D5000 - \SystemRoot\System32\nv4_disp.dll
B6F80000 - \SystemRoot\system32\DRIVERS\wanarp.sys
B6B93000 - \SystemRoot\system32\DRIVERS\ndisuio.sys
B693C000 - \SystemRoot\System32\Drivers\Fastfat.SYS
B6A37000 - \SystemRoot\System32\Drivers\Aspi32.SYS
B670A000 - \SystemRoot\system32\DRIVERS\srv.sys
B6655000 - \SystemRoot\system32\drivers\wdmaud.sys
BA928000 - \SystemRoot\system32\drivers\sysaudio.sys
BAFCF000 - \??\C:\WINDOWS\TEMP\mc21.tmp
BADFC000 - \??\C:\Program Files\CyberLink\PowerDVD\000.fcl
B627F000 - \SystemRoot\System32\Drivers\HTTP.sys
B5FD5000 - \SystemRoot\system32\drivers\kmixer.sys
BAF38000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys

Total number of drivers = 129

Liste des programmes installes

Archiveur WinRAR
Attansic L1 Gigabit Ethernet Driver
AudioCatalyst
AVG Anti-Rootkit Free
Azureus
BSPlayer
Coffret de pilotes Logitech QuickCam
FairStars Audio Converter 1.55
Foxit Reader
High Definition Audio Driver Package - KB888111
HijackThis 2.0.2
J2SE Runtime Environment 5.0 Update 12
Kaspersky Anti-Virus 6.0
Kaspersky Anti-Virus 6.0
Kaspersky Online Scanner
Kingdia Video to AVI DIVX WMV DVD MOV ASF MPEG FLV Converter V1
Logitech QuickCam
Microsoft Office Professional Edition 2003
Microsoft Visual C++ 2005 Redistributable
Mise à jour de sécurité pour Windows XP (KB923689)
Mozilla Firefox (2.0.0.11)
MP3Producer
Navilog1 3.4.0
Nero 8 Lite 8.1.1.0
NVIDIA Drivers
PowerDVD
PowerDVD
RealPlayer
Realtek High Definition Audio Driver
RegSupreme Pro 1.4
Remove DivX Codec
Sophos Anti-Rootkit 1.3.1
Spyware Doctor 4.0
Teleport Pro
TOEIC Mastery version 1.2
VoipDiscount
WebFldrs XP
WellGet
Winamp (remove only)
WinAVI Video Converter
Window Washer
Windows Live Messenger
ZoneAlarm Pro



Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est E024-22FA

Répertoire de C:\Program Files

15/01/2008 22:40 <REP> .
15/01/2008 22:40 <REP> ..
19/11/2007 23:08 <REP> ALA
13/01/2008 23:47 <REP> Avira GmbH
27/10/2007 00:09 <REP> Azureus
16/10/2007 15:21 <REP> ComPlus Applications
18/10/2007 18:09 <REP> CyberLink
21/10/2007 19:25 <REP> DAEMON Tools
22/11/2007 05:11 <REP> DivX
26/10/2007 23:16 <REP> Download Direct
21/11/2007 03:15 <REP> Electronic Arts
15/01/2008 00:24 <REP> Error Repair Professional
12/01/2008 00:53 <REP> FairStars Audio Converter
23/11/2007 01:30 <REP> Fichiers communs
22/11/2007 00:38 <REP> Foxit Software
13/01/2008 23:53 <REP> GRISOFT
26/10/2007 21:57 <REP> Intel
16/10/2007 15:25 <REP> Internet Explorer
17/10/2007 15:51 <REP> Java
17/10/2007 12:23 <REP> Kaspersky Lab
16/11/2007 01:54 <REP> Kingdia Software
04/01/2008 20:08 <REP> Logitech
18/10/2007 13:43 <REP> Marvell
16/10/2007 15:24 <REP> microsoft frontpage
18/10/2007 13:53 <REP> Microsoft Office
21/10/2007 19:28 <REP> Midway Home Entertainment
16/10/2007 15:22 <REP> Movie Maker
18/01/2008 21:15 <REP> Mozilla Firefox
12/01/2008 00:48 <REP> MP3Producer
16/10/2007 15:24 <REP> msn gaming zone
17/10/2007 15:56 <REP> MSN Messenger
15/01/2008 22:43 <REP> Navilog1
23/11/2007 01:31 <REP> Nero
16/10/2007 15:24 <REP> netmeeting
16/10/2007 15:22 <REP> Outlook Express
18/10/2007 16:18 <REP> Real
17/10/2007 12:08 <REP> Realtek
18/10/2007 13:43 <REP> RegSupreme Pro
16/10/2007 15:23 <REP> Services en ligne
14/01/2008 23:18 <REP> Sophos
02/01/2008 18:30 <REP> Spyware Doctor
13/01/2008 22:33 <REP> Teleport Pro
31/12/2007 19:33 <REP> VoipDiscount.com
17/10/2007 16:00 <REP> Webroot
17/10/2007 15:52 <REP> Webteh
26/10/2007 22:31 <REP> WellGet
13/01/2008 17:49 <REP> Winamp
21/11/2007 20:50 <REP> WinAVI Video Converter
16/10/2007 15:25 <REP> Windows Media Player
16/10/2007 15:24 <REP> Windows NT
27/10/2007 14:12 <REP> WinRAR
16/10/2007 15:24 <REP> xerox
12/01/2008 00:18 <REP> Xing
17/10/2007 12:32 <REP> Zone Labs
0 fichier(s) 0 octets
54 Rép(s) 150 107 103 232 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est E024-22FA

Répertoire de C:\Program Files\fichiers communs

23/11/2007 01:30 <REP> .
23/11/2007 01:30 <REP> ..
18/10/2007 13:53 <REP> DESIGNER
15/11/2007 00:54 <REP> InstallShield
17/10/2007 15:50 <REP> Java
04/01/2008 20:10 <REP> LogiShrd
21/10/2007 19:28 <REP> Microsoft Shared
16/10/2007 15:22 <REP> MSSoap
23/11/2007 01:31 <REP> Nero
16/10/2007 17:17 <REP> ODBC
18/10/2007 16:18 <REP> Real
16/10/2007 15:22 <REP> Services
16/10/2007 17:17 <REP> SpeechEngines
16/10/2007 15:22 <REP> System
17/10/2007 16:00 <REP> Webroot Shared
18/10/2007 16:18 <REP> xing shared
0 fichier(s) 0 octets
16 Rép(s) 150 107 103 232 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est E024-22FA

Répertoire de C:\Program Files\fichiers communs\Microsoft Shared\Web Folders

18/10/2007 13:53 <REP> .
18/10/2007 13:53 <REP> ..
18/10/2007 13:53 <REP> 1033
18/10/2007 13:53 <REP> 1036
11/07/2003 09:15 1 292 872 MSONSEXT.DLL
15/07/2003 05:52 35 896 MSOSV.DLL
03/06/1999 11:09 122 937 MSOWS409.DLL
07/03/2001 06:00 127 033 MSOWS40c.DLL
11/07/2003 01:25 80 448 PKMWS.DLL
5 fichier(s) 1 659 186 octets
4 Rép(s) 150 107 103 232 octets libres


Attention : C:\autorun.inf existe


c:\Documents and Settings\XP\Application Data\LimeWire\.NetworkShare\LimeWireWin4.16.2.exe
c:\Documents and Settings\XP\Application Data\Mozilla\Firefox\Profiles\77grefef.default\FlashGot.exe
c:\Documents and Settings\XP\Application Data\Mozilla\Firefox\Profiles\77grefef.default\extensions\{bb628310-0ab7-11db-9cd8-0800200c9a66}\maconfsetup.exe
c:\Documents and Settings\XP\Bureau\ComboFix.exe
c:\Documents and Settings\XP\Bureau\Flash_Disinfector.exe
c:\Documents and Settings\XP\Bureau\Navilog1.exe
c:\Documents and Settings\XP\Bureau\vundofix_vundofix_6.5.4_anglais_25107.exe
c:\Documents and Settings\XP\Bureau\WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
c:\Documents and Settings\XP\Bureau\DiagHelp\DiagHelp\catchme.exe
c:\Documents and Settings\XP\Bureau\DiagHelp\DiagHelp\diff.exe
c:\Documents and Settings\XP\Bureau\DiagHelp\DiagHelp\dumphive.exe
c:\Documents and Settings\XP\Bureau\DiagHelp\DiagHelp\FilesInfoCmd.exe
c:\Documents and Settings\XP\Bureau\DiagHelp\DiagHelp\find2.exe
c:\Documents and Settings\XP\Bureau\DiagHelp\DiagHelp\Fport.exe
c:\Documents and Settings\XP\Bureau\DiagHelp\DiagHelp\grep.exe
c:\Documents and Settings\XP\Bureau\DiagHelp\DiagHelp\gzip.exe
c:\Documents and Settings\XP\Bureau\DiagHelp\DiagHelp\KProcCheck.exe
c:\Documents and Settings\XP\Bureau\DiagHelp\DiagHelp\LFiles.exe
c:\Documents and Settings\XP\Bureau\DiagHelp\DiagHelp\LISTDLLS.exe
c:\Documents and Settings\XP\Bureau\DiagHelp\DiagHelp\md5sums.exe
c:\Documents and Settings\XP\Bureau\DiagHelp\DiagHelp\pslist.exe
c:\Documents and Settings\XP\Bureau\DiagHelp\DiagHelp\sigcheck.exe
c:\Documents and Settings\XP\Bureau\DiagHelp\DiagHelp\streams.exe
c:\Documents and Settings\XP\Bureau\DiagHelp\DiagHelp\swreg.exe
c:\Documents and Settings\XP\Bureau\DiagHelp\DiagHelp\tar.exe
c:\Documents and Settings\XP\Bureau\Error Repair Professional 3.7.7\erpsetup.exe
c:\Documents and Settings\XP\Mes documents\Nouveau dossier\HHHH.exe
c:\Documents and Settings\XP\Mes documents\Nouveau dossier\sarsfx.exe
c:\Documents and Settings\XP\Mes documents\Nouveau dossier\VirtualDub-1.7.7\auxsetup.exe
c:\Documents and Settings\XP\Mes documents\Nouveau dossier\VirtualDub-1.7.7\vdub.exe
c:\Documents and Settings\XP\Mes documents\Nouveau dossier\VirtualDub-1.7.7\VirtualDub.exe
c:\Documents and Settings\XP\Mes documents\Nouveau dossier\voip vers fixe gratuit\setupvoipdiscount.exe
c:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP6\Bases\avcmhk4.dll
c:\Documents and Settings\All Users\Application Data\Logishrd\LQCVFX\Filters\MMSEF.dll
c:\Documents and Settings\All Users\Application Data\Logishrd\LQCVFX\Filters\VMSEF.dll
c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\production\ppcrlconfig.dll
c:\Documents and Settings\XP\Application Data\Mozilla\Firefox\Profiles\77grefef.default\extensions\{bb628310-0ab7-11db-9cd8-0800200c9a66}\plugins\nphardwaredetection.dll

****** Fin du rapport DiagHelp

Pourquoi "désolé" ? Je ne râlais pas sur les délais, je disais "ouf" en fait parce que ce sont des manips délicates et risquées, et je suis soulagé de voir que ça c'est bien passé.
Après pour les délais, il y a une vie en dehors du pc, des obligations, pas de problème.

Je regarde ça.

Argh, même chose, et un fichier de plus (pas normal) !
Je me renseigne un moment. Ca cloche ça.

Edit : c'est curieux, un fichier de plus, mais tcpip.sys ne m'affiche pas la même chose, même s'il reste "unsigned".
Ce n'est pas entièrement logique tout ça.

tu pourrais me donner quelques explications stp?
et quel est ce fichier de plus? c'est certainement moi qui aie fait une erreur

Tu n'y es pour rien, rassure toi, au contraire !

Le fichier tpcip.sys reste "unsigned" dans le diagnostic, donc pas forcément sain. (pas cool).
Kernel32.dll pose le même problème.

Et ça c'est nouveau, mais pas forcément critique :
*** Loaded C:\WINDOWS\system32\SHDOCVW.dll differs from file image:
*** File timestamp: Thu Mar 30 11:29:26 2006
*** Loaded image timestamp: Thu Mar 30 11:31:40 2006

Je suis en train de vérifier ça, ce n'est pas habituel.

Télécharge Gmer.
Dézippe le dans un dossier ou sur ton bureau.

Double-clique sur Gmer.exe.
NB : Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse le s'exécuter.

Clique sur l'onglet rootkit.
A droite, coche Files et Services uniquement.
Clique maintenant sur Scan.

Lorsque le scan est terminé, clique sur Copy.

Ouvre le Bloc-notes puis clique sur le Menu Edition / Coller.
Le rapport doit alors apparaître.
Enregistre le fichier sur ton bureau et copie/colle son contenu dans ta prochaine réponse.