Infection avec pop-ups sur IE7

par **fuzzystone** » **12 Juin 2008 21:03**

Bonsoir Ogu,

Installation de la console de récupération XP Pro faite sans problème, de même que le run de SDFix. Je suis maintenant prêt pour Combofix mais j'aimerais encore me rassurer, car tout ceci est un peu stressant. Le run de Combofix se fait bien en mode normal (et non en mode sans échec)?

Merci mille fois encore.
Fuzzy

par **Ogu** » **12 Juin 2008 21:17**

Le scan ComboFix se fait en Mode Normal, pas en sans échec.

Ne t'inquiète pas, tout se passera bien, et en cas d'improbable coup dur, ComboFix fait des sauvegardes poussées avant de se lancer, et la Console de Récup' permettra de tout arranger.

par **fuzzystone** » **12 Juin 2008 23:49**

Bonsoir Ogu,

Voilà, j'ai fait le ComboFix, mais je ne suis pas sûr que ça a fonctionné comme prévu. J'ai quitté un moment mon ordinateur pendant que Combofix travaillait et lorsque je suis revenu, il était en train de redémarrer, ce qui n'est pas mentionné dans le déroulement de la procédure. Le redémarrage de Windows ne s'est pas fait comme d'habitude, avec l'apparition spontanée durant 1-2 secondes d'un écran appartenant à la séquence qu'on voit lorsqu'on démarre sans échec (celui ou on peut choisir entre le démarrage de Windows ou celui de la console de récupération), avant un chargement normal. J'ai ensuite été bloque car ma souris et mon clavier bluetooth ne fonctionnaient plus. Après plusieurs redémarrages, j'ai rééussi à rétablir la connexion le problème. A noter que j'ai tenté un démarrage sans échec (F8), mais que ça ne fonctionne plus : il y a là aussi apparition très brève de la page décrite ci-dessus, puis passage au chargement normal de WIndows. Le log que j'ai trouvé dans le dossier Combofix (Combofix.txt) ne contient presque rien. Je poste ci-dessous les rapports de SDFix, de Combofix et un hijack fait après les 2 analyses :

SDFix :

SDFix: Version 1.190
Run by Christian on 12.06.2008 at 20:16

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

Checking Services :

Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting

Checking Files :

Trojan Files Found:

C:\WINDOWS\megavid.cdt - Deleted
C:\WINDOWS\muotr.so - Deleted

Removing Temp Files

ADS Check :

Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-12 20:38:02
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:3b,3b,ea,d4,a7,cc,39,42,10,60,aa,5b,6b,a8,14,3d,30,e4,1b,c1,20,..
"p0"="C:\Program Files\DAEMON Tools Lite\"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"khjeh"=hex:ff,4d,57,f5,fe,f9,f6,fe,12,02,71,32,81,20,d5,78,25,c1,e4,e1,48,..
"a0"=hex:20,01,00,00,7d,9c,d2,61,5b,b7,2c,bc,0d,22,1f,18,2b,14,8c,a3,83,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:3f,98,b2,8c,27,8c,6f,65,ba,d9,70,49,54,07,18,12,07,0a,3a,75,b3,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:0a,88,b8,d6,d1,d6,c6,63,9c,af,30,c2,52,19,d4,d1,7a,ba,4e,ad,7f,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42]
"khjeh"=hex:81,8d,17,9e,10,8f,19,c4,13,05,37,0f,51,86,9b,41,67,da,a5,db,eb,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43]
"khjeh"=hex:35,cf,6f,28,e4,9e,d7,cc,2f,8b,59,19,81,ca,76,35,e7,88,2a,53,86,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:749b21f8
"s2"=dword:d94c598b
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:3b,3b,ea,d4,a7,cc,39,42,10,60,aa,5b,6b,a8,14,3d,30,e4,1b,c1,20,..
"p0"="C:\Program Files\DAEMON Tools Lite\"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"khjeh"=hex:ff,4d,57,f5,fe,f9,f6,fe,12,02,71,32,81,20,d5,78,25,c1,e4,e1,48,..
"a0"=hex:20,01,00,00,7d,9c,d2,61,5b,b7,2c,bc,0d,22,1f,18,2b,14,8c,a3,83,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:67,92,65,08,0b,53,6a,c1,71,f9,c8,51,33,f3,30,cb,de,6d,84,cf,aa,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:0a,88,b8,d6,d1,d6,c6,63,9c,af,30,c2,52,19,d4,d1,7a,ba,4e,ad,7f,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42]
"khjeh"=hex:81,8d,17,9e,10,8f,19,c4,13,05,37,0f,51,86,9b,41,67,da,a5,db,eb,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43]
"khjeh"=hex:35,cf,6f,28,e4,9e,d7,cc,2f,8b,59,19,81,ca,76,35,e7,88,2a,53,86,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:b1,c9,22,a6,85,c1,3b,88,59,66,c5,42,88,ec,b4,b5,05,1d,3c,75,30,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,df,aa,a2,c8,64,4c,46,50,b3,74,fd,2e,61,4f,8d,35,01,..
"khjeh"=hex:e4,05,80,66,29,f2,4f,7c,4c,6f,c7,0b,44,28,0e,71,f1,55,2a,85,7a,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:18,b4,47,cf,08,02,fb,fa,37,e3,9b,90,a9,24,12,4f,3f,d6,2b,a3,1b,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:0a,88,b8,d6,d1,d6,c6,63,9c,af,30,c2,52,19,d4,d1,7a,ba,4e,ad,7f,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42]
"khjeh"=hex:81,8d,17,9e,10,8f,19,c4,13,05,37,0f,51,86,9b,41,67,da,a5,db,eb,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43]
"khjeh"=hex:35,cf,6f,28,e4,9e,d7,cc,2f,8b,59,19,81,ca,76,35,e7,88,2a,53,86,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:3b,3b,ea,d4,a7,cc,39,42,10,60,aa,5b,6b,a8,14,3d,30,e4,1b,c1,20,..
"p0"="C:\Program Files\DAEMON Tools Lite\"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"khjeh"=hex:ff,4d,57,f5,fe,f9,f6,fe,12,02,71,32,81,20,d5,78,25,c1,e4,e1,48,..
"a0"=hex:20,01,00,00,7d,9c,d2,61,5b,b7,2c,bc,0d,22,1f,18,2b,14,8c,a3,83,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:3f,98,b2,8c,27,8c,6f,65,ba,d9,70,49,54,07,18,12,07,0a,3a,75,b3,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:0a,88,b8,d6,d1,d6,c6,63,9c,af,30,c2,52,19,d4,d1,7a,ba,4e,ad,7f,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42]
"khjeh"=hex:81,8d,17,9e,10,8f,19,c4,13,05,37,0f,51,86,9b,41,67,da,a5,db,eb,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43]
"khjeh"=hex:35,cf,6f,28,e4,9e,d7,cc,2f,8b,59,19,81,ca,76,35,e7,88,2a,53,86,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:3b,3b,ea,d4,a7,cc,39,42,10,60,aa,5b,6b,a8,14,3d,30,e4,1b,c1,20,..
"p0"="C:\Program Files\DAEMON Tools Lite\"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"khjeh"=hex:ff,4d,57,f5,fe,f9,f6,fe,12,02,71,32,81,20,d5,78,25,c1,e4,e1,48,..
"a0"=hex:20,01,00,00,7d,9c,d2,61,5b,b7,2c,bc,0d,22,1f,18,2b,14,8c,a3,83,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:67,92,65,08,0b,53,6a,c1,71,f9,c8,51,33,f3,30,cb,de,6d,84,cf,aa,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:0a,88,b8,d6,d1,d6,c6,63,9c,af,30,c2,52,19,d4,d1,7a,ba,4e,ad,7f,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42]
"khjeh"=hex:81,8d,17,9e,10,8f,19,c4,13,05,37,0f,51,86,9b,41,67,da,a5,db,eb,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43]
"khjeh"=hex:35,cf,6f,28,e4,9e,d7,cc,2f,8b,59,19,81,ca,76,35,e7,88,2a,53,86,..

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\System]
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

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

Remaining Services :

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Dell Network Assistant\\ezi_hnm2.exe"="C:\\Program Files\\Dell Network Assistant\\ezi_hnm2.exe:*:Enabled:Dell Network Assistant"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\\Program Files\\Microsoft Games\\Flight Simulator 9\\fs9.exe"="C:\\Program Files\\Microsoft Games\\Flight Simulator 9\\fs9.exe:*:Enabled:Microsoft Flight Simulator"
"C:\\WINDOWS\\system32\\dpnsvr.exe"="C:\\WINDOWS\\system32\\dpnsvr.exe:*:Enabled:Microsoft DirectPlay8 Server"
"C:\\Program Files\\Azureus\\Azureus.exe"="C:\\Program Files\\Azureus\\Azureus.exe:*:Enabled:Azureus"
"D:\\MES DOCUMENTS\\Informatique\\Softs\\PROGRAMMES LIVE\\utorrent.exe"="D:\\MES DOCUMENTS\\Informatique\\Softs\\PROGRAMMES LIVE\\utorrent.exe:*:Enabled:utorrent.exe"
"D:\\MES DOCUMENTS\\Informatique\\Softs\\+++ PROGRAMMES LIVE +++\\utorrent.exe"="D:\\MES DOCUMENTS\\Informatique\\Softs\\+++ PROGRAMMES LIVE +++\\utorrent.exe:*:Enabled:æTorrent"
"F:\\MICROTORRENT\\UTORRENT.EXE"="F:\\MICROTORRENT\\UTORRENT.EXE:*:Enabled:æTorrent"
"C:\\Program Files\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"="C:\\Program Files\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe:*:Enabled:Call of Duty(R) 4 - Modern Warfare(TM)"
"C:\\Program Files\\Electronic Arts\\Crytek\\Crysis\\Bin32\\Crysis.exe"="C:\\Program Files\\Electronic Arts\\Crytek\\Crysis\\Bin32\\Crysis.exe:*:Enabled:Crysis_32"
"C:\\Program Files\\Electronic Arts\\Crytek\\Crysis\\Bin32\\CrysisDedicatedServer.exe"="C:\\Program Files\\Electronic Arts\\Crytek\\Crysis\\Bin32\\CrysisDedicatedServer.exe:*:Enabled:CrysisDedicatedServer_32"
"C:\\WINDOWS\\system32\\PnkBstrA.exe"="C:\\WINDOWS\\system32\\PnkBstrA.exe:*:Enabled:PnkBstrA"
"C:\\WINDOWS\\system32\\PnkBstrB.exe"="C:\\WINDOWS\\system32\\PnkBstrB.exe:*:Enabled:PnkBstrB"
"C:\\Program Files\\Sierra Entertainment\\World in Conflict\\wic.exe"="C:\\Program Files\\Sierra Entertainment\\World in Conflict\\wic.exe:*:Enabled:World in Conflict"
"C:\\Program Files\\Sierra Entertainment\\World in Conflict\\wic_online.exe"="C:\\Program Files\\Sierra Entertainment\\World in Conflict\\wic_online.exe:*:Enabled:World in Conflict - En ligne uniquement"
"C:\\Program Files\\Sierra Entertainment\\World in Conflict\\wic_ds.exe"="C:\\Program Files\\Sierra Entertainment\\World in Conflict\\wic_ds.exe:*:Enabled:World in Conflict - Serveur d‚di‚"
"C:\\Documents and Settings\\Christian\\Menu D‚marrer\\Programmes\\utorrent.exe"="C:\\Documents and Settings\\Christian\\Menu D‚marrer\\Programmes\\utorrent.exe:*:Enabled:æTorrent"
"C:\\Program Files\\Weezo\\Apache\\bin\\weezoHttpd.exe"="C:\\Program Files\\Weezo\\Apache\\bin\\weezoHttpd.exe:*:Enabled:Weezo HTTP Server"
"C:\\Program Files\\iTunes\\iTunes.exe"="C:\\Program Files\\iTunes\\iTunes.exe:*:Enabled:iTunes"
"C:\\Program Files\\Real Alternative\\Media Player Classic\\mplayerc.exe"="C:\\Program Files\\Real Alternative\\Media Player Classic\\mplayerc.exe:*:Enabled:Media Player Classic"
"C:\\kasperskyAV7.0\\french\\setup.exe"="C:\\kasperskyAV7.0\\french\\setup.exe:*:Enabled:Programme d'installation de Kaspersky Anti-Virus 7.0"
"C:\\Documents and Settings\\Christian\\Local Settings\\Temp\\WZSE0.TMP\\SymNRT.exe"="C:\\Documents and Settings\\Christian\\Local Settings\\Temp\\WZSE0.TMP\\SymNRT.exe:*:Enabled:Symantec Removal Utility"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

Remaining Files :

File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Sun 18 May 2008 6,104,632 A..H. --- "C:\Program Files\Picasa2\setup.exe"
Sat 3 Nov 2007 2,722 A.SH. --- "C:\WINDOWS\system32\KGyGaAvL.sys"
Fri 22 Dec 2006 4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Thu 4 Jan 2007 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"
Thu 1 May 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\02a4f2fd7d9c575c80786d5284ddaf44\BITF8.tmp"
Thu 15 May 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\27d4a83e15599dacf71be27edd0b072a\BITD4.tmp"
Sun 8 Jun 2008 9,588,800 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\6e9db3ae2149df3d0e191e2c3c62f2e0\BIT8B.tmp"
Thu 1 Sep 2005 141 A..H. --- "C:\Documents and Settings\Administrateur\Application Data\Microsoft\Internet Explorer\brndlog.bak"
Thu 12 Jun 2008 5,946 A.SH. --- "C:\Documents and Settings\All Users\Documents\TV enregistr‚e\TempRec\TempSBE\SBE4.tmp"

Finished!

ComboFix :

ComboFix 08-06-10.5 - Christian 2008-06-12 22:22:15.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.1359 [GMT 2:00]
Endroit: C:\Documents and Settings\Christian\Bureau\ComboFix.exe

Hijack :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:34, on 2008-06-12
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
C:\Program Files\Fichiers communs\Logitech\Bluetooth\LBTSERV.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\a-squared free\a2service.exe
C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Ashampoo\Ashampoo Magical Defrag 2\bin\aDefragService.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Program Files\Ashampoo\Ashampoo Magical Defrag 2\bin\defragActivityMonitor.exe
C:\Program Files\Fichiers communs\Creative Labs Shared\Service\CreativeLicensing.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\FolderSize\FolderSizeSvc.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\SatSrv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Acronis\Fomatik\TrueImageTryStartService.exe
C:\Program Files\Linksys Wireless-G PCI Wireless Network Monitor\WLService.exe
C:\Program Files\Linksys Wireless-G PCI Wireless Network Monitor\WMP54Gv4.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\stsystra.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe
C:\Program Files\SetPoint\LBTWiz.exe
C:\Program Files\Creative\SBAudigy\Surround Mixer\CTSysVol.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\Program Files\Ashampoo\Ashampoo Magical Defrag 2\bin\defragTaskBar.exe
C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe
C:\DOCUME~1\CHRIST~1\LOCALS~1\Temp\clclean.0001
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Atomic Alarm Clock\AtomicAlarmClock.exe
C:\Program Files\Steganos Security Suite 2006\SSS2006.exe
C:\Program Files\SetPoint\SetPoint.exe
C:\Program Files\Windows Desktop Search\WindowsSearch.exe
C:\Program Files\Fichiers communs\Logitech\KHAL\KHALMNPR.EXE
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Steganos Security Suite 2006\SSS2006.exe
C:\Program Files\Steganos Security Suite 2006\PasswordManagerIEAutoFill.exe
C:\Program Files\Opera\Opera.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
D:\Mes documents\Informatique\Softs\+++ PROGRAMMES LIVE +++\HiJackThis 2.0.2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://news.google.ch/nwshp?ie=UTF-8&oe ... &tab=wn&q=
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = www.google.ch/ig/dell?hl=fr&client=dell ... bd=4061128
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Program Files\TechSmith\SnagIt 8\SnagItBHO.dll
O2 - BHO: (no name) - {190A7440-C721-44B7-8FD1-EDED3942FBEE} - C:\WINDOWS\system32\jkkHbxxW.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: (no name) - {DED644F6-5F1A-4296-B6D6-3AD8EC1AB1B6} - C:\WINDOWS\system32\yayyXNHx.dll (file missing)
O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Program Files\TechSmith\SnagIt 8\SnagItIEAddin.dll
O3 - Toolbar: Copernic Desktop Search 2 - {968631B6-4729-440D-9BF4-251F5593EC9A} - C:\Program Files\Copernic Desktop Search 2\DesktopSearchBand201013011.dll
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [IAAnotif] "C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [Logitech BT Wizard] LBTWiz.exe -silent
O4 - HKLM\..\Run: [CTSysVol] "C:\Program Files\Creative\SBAudigy\Surround Mixer\CTSysVol.exe" /r
O4 - HKLM\..\Run: [MBMon] Rundll32 CTMBHA.DLL,MBMon
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [BuildBU] c:\dell\bldbubg.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [DefragTaskBar] "C:\Program Files\Ashampoo\Ashampoo Magical Defrag 2\bin\defragTaskBar.exe"
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Program Files\LogMeIn\x86\LogMeInSystray.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [combofix] C:\WINDOWS\system32\CF24281.exe /c C:\ComboFix\Combobatch.bat
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKCU\..\Run: [SetDefaultMIDI] MIDIDef.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SkinClock] C:\Program Files\Atomic Alarm Clock\AtomicAlarmClock.exe
O4 - HKCU\..\Run: [SSS2006] "C:\Program Files\Steganos Security Suite 2006\SSS2006.exe" -boot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [SSS2006] "C:\Program Files\Steganos Security Suite 2006\SSS2006.exe" -firstboot (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [SSS2006] "C:\Program Files\Steganos Security Suite 2006\SSS2006.exe" -firstboot (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [SSS2006] "C:\Program Files\Steganos Security Suite 2006\SSS2006.exe" -firstboot (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [SSS2006] "C:\Program Files\Steganos Security Suite 2006\SSS2006.exe" -firstboot (User 'Default user')
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Program Files\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: SetPoint.lnk = ?
O4 - Global Startup: Windows Desktop Search.lnk = C:\Program Files\Windows Desktop Search\WindowsSearch.exe
O8 - Extra context menu item: &Point&&Go - C:\Program Files\Fichiers communs\Expert System\PGPlatform\PGPlatform.htm
O8 - Extra context menu item: Ajouter à &Windows Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Envoyer au périphérique &Bluetooth... - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie_ctx.htm
O9 - Extra button: IE7pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Program Files\IE7Pro\IE7Pro.dll
O9 - Extra 'Tools' menuitem: IE7pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Program Files\IE7Pro\IE7Pro.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Barre de recherche Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {01A88BB1-1174-41EC-ACCB-963509EAE56B} (SysProWmi Class) - http://support.euro.dell.com/systemprofiler/SysPro.CAB
O16 - DPF: {03B39B10-9AB9-4DBB-8189-7F76E0CE5F3F} (FavImport Class) - https://favorites.live.com/cab/ImportAx ... ,0,1609,00
O16 - DPF: {051D0E35-F4E3-4C8D-B411-AB0875F4C683} - http://install.anark.com/client/version ... Client.cab
O16 - DPF: {0B79F48A-E8D6-11DB-9283-E25056D89593} (F-Secure Online Scanner 3.1) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {238F6F83-B8B4-11CF-8771-00A024541EE3} (Citrix ICA Client) - http://a516.g.akamai.net/f/516/25175/7d ... o-eula.cab
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan ... stubie.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Program Files\Yahoo!\Common\Yinsthelper.dll
O16 - DPF: {474F00F5-3853-492C-AC3A-476512BBC336} (UploadListView Class) - http://picasaweb.google.com/s/v/16.25/uploader2.cab
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/share ... insctl.cab
O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (TotalScan Installer Class) - http://www.nanoscan.com/as/cabs/ascstubie.cab
O16 - DPF: {5CE72DD0-4695-4D18-A4D3-3367ACD37578} (F-Secure Health Check 1.0) - http://support.f-secure.com/enu/home/on ... /fscax.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resourc ... oscan8.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - http://www.touslesdrivers.com/fichiers/ ... b?version=
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {D3166EE4-3E00-46CA-8F62-8E01D2314A7F} - http://www.cig.canon-europe.com/ph/fr_C ... 00901F.cab
O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://upload.mediamax.com/Upload/XUpload.ocx
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-l ... cfscan.cab
O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://secure.logmein.com/activex/RACtrl.cab
O20 - Winlogon Notify: fccdabBu - C:\WINDOWS\
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - c:\program files\a-squared free\a2service.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ashampoo Defrag Service (AshampooDefragService) - - C:\Program Files\Ashampoo\Ashampoo Magical Defrag 2\bin\aDefragService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: Creative Labs Licensing Service - Creative Labs - C:\Program Files\Fichiers communs\Creative Labs Shared\Service\CreativeLicensing.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Folder Size (FolderSize) - Brio - C:\Program Files\FolderSize\FolderSizeSvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech Inc. - C:\Program Files\Fichiers communs\Logitech\Bluetooth\LBTSERV.EXE
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: DiRT Drivers Auto Removal (pr2ah4nc) (pr2ah4nc) - CODEMASTERS - C:\WINDOWS\system32\pr2ah4nc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: Steganos AntiTheft (SatSrv) - Unknown owner - C:\WINDOWS\system32\SatSrv.exe
O23 - Service: ThreatFire - Unknown owner - C:\Program Files\ThreatFire\TFService.exe (file missing)
O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:\Program Files\Fichiers communs\Acronis\Fomatik\TrueImageTryStartService.exe
O23 - Service: Windows Defender (WinDefend) - Unknown owner - C:\Program Files\Windows Defender\MsMpEng.exe (file missing)
O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Program Files\Windows Live\installer\WLSetupSvc.exe
O23 - Service: WMP54Gv4SVC - GEMTEKS - C:\Program Files\Linksys Wireless-G PCI Wireless Network Monitor\WLService.exe

--
End of file - 17373 bytes

Voilà. J'espère qu'il n'y a pas trop de dégâts.

Merci d'avance pour ton analyse. Fuzzy

par **fuzzystone** » **13 Juin 2008 06:21**

Je rallume mon PC ce matin et j'apporte le complément suivant : j'arrive en fait à obtenir la séquence normale d'écrans pour le démarrage sans échec (mes F8 ne devaient pas tomber juste hier). Lors du chargement des icônes des programmes de démarrage dans la barre des tâches apparaît sur l'écran durant une petite fraction de secondes une fenêtre DOS qui semble vide. Autrement, pas de dysfonctionnement majeur de l'ordinateur (mais bien sûr, je n'ai pas testé qu'une petite partie des fonctions).
Bonne journée! Fuzzy

par **Ogu** » **13 Juin 2008 11:35**

Re.

T'es pas verni avec ComboFix, mais comme ce soft est chatouilleux, on va pas insister: hypothèse :idea:

: t'as un peu paniqué et tu n'as pas laissé le fix aller au bout, car il a inscrit un élément de démarrage dans XP, comme s'il devait se relancer pour terminer son job;) ! C'est cette fenêtre que tu vois au boot. Ou alors autre hypothèse, ComboFix a planté :plaf:

Aucun dégât à priori, rassure-toi.

Supprimer ComboFix

Copie cette ligne:

combofix /u
Clique sur Démarrer puis sur Exécuter
dans l'invite qui s'ouvre, colle la ligne préalablement copiée
Valide avec ENTREE

HIJACKTHIS

Relance HijackThis
Sélectionne "Do a system scan only"
Coche les lignes suivantes si elles apparaissent:

O4 - HKLM\..\Run: [combofix] C:\WINDOWS\system32\CF24281.exe /c C:\ComboFix\Combobatch.bat

O2 - BHO: (no name) - {190A7440-C721-44B7-8FD1-EDED3942FBEE} - C:\WINDOWS\system32\jkkHbxxW.dll (file missing)

O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)

O2 - BHO: (no name) - {DED644F6-5F1A-4296-B6D6-3AD8EC1AB1B6} - C:\WINDOWS\system32\yayyXNHx.dll (file missing)

O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)

O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Program Files\Yahoo!\Common\Yinsthelper.dll

O20 - Winlogon Notify: fccdabBu - C:\WINDOWS\
Ferme tes navigateurs
Clique en bas sur "Fix checked"
Redémarre

uTORRENT, AZUREUS et PEER-TO-PEER

Je note que tu as deux logiciel de peer-to-peer: µTorrent et Azureus

Le peer-to-peer est un des principaux vecteurs de virus...Je te conseille de lire:

A toi de voir si tu veux continuer le peer-to-peer, mais sache que c'est à tes risques et périls!

DESINSTALLATION de la TOOLBAR

Désinstalle la toolbar Google avec le module "ajouter/supprimer des programmes" de ton Panneau de Configuration

Ouvre Firefox
Choisir Outils, puis Modules complémentaires
Chercher les modules Google Toolbaret cliquer sur Désinstaller
Redémarrer Firefox

MISE A JOUR de JAVA

Java est un élément essentiel pour la navigation, et il est souvent mis à jour pour corriger ses vulnérabilités. Ta version est obsolète:

Dans ton Panneau de Configuration, clique sur l'icône JAVA
Dans la fenêtre qui s'ouvre, clique sur l'onglet "Mise à jour"
Clique en bas sur "Mettre à jour maintenant" et laisse l'update s'installer

Je note aussi une anomalie dans la sécurisation de ta machine: tu as deux antivirus!

Pour rappel : un seul antivirus, un seul antispyware, un seul pare-feu par ordinateur

Empiler les protections ne te protège pas forcement mieux mais ce qui est certains c'est que ça te ralentit l'ordinateur, voire peut occasionner des plantages!

Plus d'infos : http://forum.malekal.com/viewtopic.php?f=45&t=4650

Opère un choix entre Kaspersky et NOD32: les deux sont équivalents, mais payants. Si tu souhaites un freeware, tourne-toi vers Antivir ou AVG.

Il reste aussi un service de ThreatFire.

Pour le supprimer (HijackThis n'en est pas capable):

Dans Démarrer > Exécuter et taper Services.msc puis OK
Choisir le mode "Etendu" (onglets inférieurs)
Grâce à la barre de défilement (à droite) rechercher le service suivant:

ThreatFire
Quand le service est trouvé, pointer dessus, double-cliquer (bouton gauche).
Dans la fenêtre suivante qui apparait, sous l'onglet Général cliquer sur le bouton Arrêter,
Dérouler le Type de Démarrage pour le modifier en Désactivé
Cliquer sur Appliquer puis OK
Redémarrer

par **fuzzystone** » **13 Juin 2008 14:10**

Merci pour tes conseils avisés et ton impressionnante disponibilité.

J'ai suivi tes instructions à la lettre et tout s'est bien passé. Pour Combofix, le programme a planté car je ne suis absolument pas intervenu jusqu'au moment du redémarrage automatique. Là, devant mon écrant figé, j'ai pensé qu'il pouvait s'agir d'un problème de bluetooth et j'ai branché une souris filaire pour rebooter (je ne pouvais pas entrer dans mon profil car je n'ai pas de clavier filaire et il fallait donner le mot de passe).

Question concernant les toolbars google : faut-il les installer parce qu'elles favorisent les infections?

Remarque concernant les 2 antivirus : je n'ai que Kaspersky 7 qui est fonctionnel et il y a certainement un reliquat de NOD32 sur le système. En fait, mes ennuis récents ont commencé lorsque j'ai changé Kaspersky 6, dont la licence arrivait en fin de vie, pour NOD32 à l'essai. J'ai du désinstaller Kap avant de d'installer NOD et NOD m'a aussi obligé à virer mon firewall ZoneAlarm. J'ai donc eu un moment de vulnérabilité. J'ai par la suite, j'ai voulu désinstaller NOD32 pour retourner sur Kaspersky 7 et remettre un firewall et la désinstallation a planté, ce qui fait qu'il doit rester quelque chose du programme. Est-ce un problème? Questions annexes : Que penses-tu de ZoneAlarm? Et que penses-tu de Malwarebyte's?

Dernière remarque : je suis conscient des dangers du P2P et je l'ai quasi abandonné. Mais je fais un peu d'Usenet, ce qui n'est probablement pas plus sûr ...

PS : je viens de voir qu'il y a quand même un problème résiduel :
Lorsque j'ouvre mon 2ème compte, qui est limité, je vois apparaître au chargement 4 fenêtres d'erreur RUNDLL qui disent : Erreur de chargement de C:\docume~1\anne~1.chu\locals~1\temp\fnmrxiue.dll. Le module spécifié est introuvable.
Idem avec les fichiers jbasljju.ddl, xauhxflc.ddl et efcYQHbb.ddl.
Qu’est-ce que ça signifie? Comment m'en débarasser?

Merci beaucoup encore une fois à toi (j'espère que je n'abuse pas) et à toutes les bonnes volontés de Libellules et des forums!!
Fuzzystone :-D

par **Ogu** » **13 Juin 2008 14:38**

Re.

On continue puis je réponds à tes interrogations:

HIJACKTHIS

Relance HijackThis
Sélectionne "Do a system scan only"
Coche la ligne suivante:

O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice
Ferme tes navigateurs
Clique en bas sur "Fix checked"
Redémarre
Supprime ce dossier à la main (en cas d'échec signale-le moi): C:\Program Files\ESET

EWIDO

Télécharge

Ewido Micro-Scanner sur ton bureau en cliquant sur cette image:

Double-clique sur le fichier ewido_micro.exe pour l'exécuter.
Le programme va demander dès son lancement un accès internet pour se mettre à jour, accepte.
Puis, un nouvel écran apparaît, assure toi que toutes les cases soient cochées.
Connecte tes clés USB et ton disque dur externe
Clique sur Start Scan et laisse l'outil travailler.
Quand l'outil à fini, clique sur save report et sauvegarde le rapport sur ton Bureau.
Poste le dans ta prochaine réponse.
Nb, ne clique pas tout de suite sur Remove infections; nous devons nous assurer que toutes les détections soient infectieuses car certains utilitaires légitimes pourraient apparaître dans le rapport.

MALWAREBYTES ANTI-MALWARE (MBAM)

Télécharge

Malwarebytes Antimalware en cliquant sur cette image:

Installe-le puis lance-le
Connecte tes clés USB et ton disque dur externe
Dans l'onglet "Mise à jour", cliquer sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
Une fois la mise à jour terminée, rend-toi dans l'onglet "Recherche"
Sélectionne "Exécuter un examen complet"
Clique sur "Rechercher"
Le scan se lance
A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur "OK" pour poursuivre.
Ferme tes navigateurs et clique en bas sur "Afficher les résultats"
Si des malwares ont été détectés, leur liste s'affiche.
En cliquant sur "Supprimer la sélection" , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
MBAM va ouvrir le bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le

RAPPORT KASPERSKY

Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

Fais redémarrer ton ordinateur
Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
Choisis ton compte habituel
Connecte tes clés USB et ton disque dur externe
Puis lance un scan KASPERSKY et supprime tout ce qu'il te trouve.
Poste le rapport que KASPERSKY va générer

HIJACKTHIS

Poste un nouveau rapport s'il te plaît!

fuzzystone a écrit:
Question concernant les toolbars google : faut-il les installer parce qu'elles favorisent les infections?

Tu veux dire les "DESinstaller"?

Certaines toolbars doivent favoriser les infections, mais pas la toolbar Google qui est saine: le problème, c'est que les toolbars agissent comme des espions qui envoient des infos sur ton "profil commercial" à leurs clients:

Pour tes antivirus multiples: on s'est débarrassé d'ESET NOD32. Je connais peu la suite Steganos: contient-elle un antivirus ou uniquement un antispy + d'autres outils divers? En tout cas cette suite prend de la place!!

Que penses-tu de ZoneAlarm? Et que penses-tu de Malwarebyte's?

ZA Pro est un excellent pare-feu, ZA Free bof bof. Si tu cherches un très bon firewall gratuit, tourne-toi vers Comodo Firewall.

Malwarebyte's est un produit de très haute qualité dans la détection/suppression de nombreux malwares et rogues. Je n'ai jamais testé son module payant de protection résidente, mais c'est le meilleur outil de scan gratuit, loin devant les autres, y compris devant ton A-Squared (qui lui est un produit médiocre qui ne progresse pas).

Dernière remarque : je suis conscient des dangers du P2P et je l'ai quasi abandonné. Mais je fais un peu d'Usenet, ce qui n'est probablement pas plus sûr ...

UseNet, je ne connais pas, je ne pourrai donc pas te dire. Le truc c'est surtout de ne jamais télécharger de cracks, keygens et logiciels sur les réseaux, car se sont souvent des backdoors, virus, infos stealer, rootkits etc...Les infections par mp3 ou Divx sont rarissimes.

Lorsque j'ouvre mon 2ème compte, qui est limité, je vois apparaître au chargement 4 fenêtres d'erreur RUNDLL qui disent : Erreur de chargement de C:\docume~1\anne~1.chu\locals~1\temp\fnmrxiue.dll. Le module spécifié est introuvable.
Idem avec les fichiers jbasljju.ddl, xauhxflc.ddl et efcYQHbb.ddl.
Qu’est-ce que ça signifie? Comment m'en débarasser?

Ce sont des restes des éléments de démarrage de ton infection. Envoie-moi un log HijackThis de ta session limitée (clic droit sur HijackThis, "exécuter en tant qu'administrateur").

Pas sûr qu'on arrive à se défaire de ces messages en session limitée, j'ai jamais fait.

par **fuzzystone** » **14 Juin 2008 19:26**

Bonsoir Ogu,
Voilà, j'ai appliqué le remède prescrit (remède de cheval!).

Reliquats d'ESET détruits (j'avais déjà viré le dossier ESET des programmes).

Hijack :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 06:11, on 2008-06-14
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
C:\Program Files\Fichiers communs\Logitech\Bluetooth\LBTSERV.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\a-squared free\a2service.exe
C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Ashampoo\Ashampoo Magical Defrag 2\bin\aDefragService.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Program Files\Fichiers communs\Creative Labs Shared\Service\CreativeLicensing.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\FolderSize\FolderSizeSvc.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\SatSrv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Acronis\Fomatik\TrueImageTryStartService.exe
C:\Program Files\Linksys Wireless-G PCI Wireless Network Monitor\WLService.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Program Files\Linksys Wireless-G PCI Wireless Network Monitor\WMP54Gv4.exe
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\stsystra.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe
C:\Program Files\SetPoint\LBTWiz.exe
C:\PROGRA~1\Ashampoo\ASHAMP~1\bin\DEFRAG~3.EXE
C:\Program Files\Creative\SBAudigy\Surround Mixer\CTSysVol.exe
C:\PROGRA~1\Ashampoo\ASHAMP~1\bin\defragActivityMonitor.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\Program Files\Ashampoo\Ashampoo Magical Defrag 2\bin\defragTaskBar.exe
C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\DOCUME~1\CHRIST~1\LOCALS~1\Temp\clclean.0001
C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Atomic Alarm Clock\AtomicAlarmClock.exe
C:\Program Files\Steganos Security Suite 2006\SSS2006.exe
C:\Program Files\SetPoint\SetPoint.exe
C:\Program Files\Windows Desktop Search\WindowsSearch.exe
C:\Program Files\Fichiers communs\Logitech\KHAL\KHALMNPR.EXE
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Steganos Security Suite 2006\SSS2006.exe
C:\Program Files\Steganos Security Suite 2006\PasswordManagerIEAutoFill.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
D:\Mes documents\Informatique\Softs\+++ PROGRAMMES LIVE +++\HiJackThis 2.0.2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://news.google.ch/nwshp?ie=UTF-8&oe ... &tab=wn&q=
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = www.google.ch/ig/dell?hl=fr&client=dell ... bd=4061128
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Program Files\TechSmith\SnagIt 8\SnagItBHO.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Program Files\TechSmith\SnagIt 8\SnagItIEAddin.dll
O3 - Toolbar: Copernic Desktop Search 2 - {968631B6-4729-440D-9BF4-251F5593EC9A} - C:\Program Files\Copernic Desktop Search 2\DesktopSearchBand201013011.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [IAAnotif] "C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [Logitech BT Wizard] LBTWiz.exe -silent
O4 - HKLM\..\Run: [CTSysVol] "C:\Program Files\Creative\SBAudigy\Surround Mixer\CTSysVol.exe" /r
O4 - HKLM\..\Run: [MBMon] Rundll32 CTMBHA.DLL,MBMon
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [BuildBU] c:\dell\bldbubg.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [DefragTaskBar] "C:\Program Files\Ashampoo\Ashampoo Magical Defrag 2\bin\defragTaskBar.exe"
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Program Files\LogMeIn\x86\LogMeInSystray.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKCU\..\Run: [SetDefaultMIDI] MIDIDef.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SkinClock] C:\Program Files\Atomic Alarm Clock\AtomicAlarmClock.exe
O4 - HKCU\..\Run: [SSS2006] "C:\Program Files\Steganos Security Suite 2006\SSS2006.exe" -boot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [SSS2006] "C:\Program Files\Steganos Security Suite 2006\SSS2006.exe" -firstboot (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [SSS2006] "C:\Program Files\Steganos Security Suite 2006\SSS2006.exe" -firstboot (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [SSS2006] "C:\Program Files\Steganos Security Suite 2006\SSS2006.exe" -firstboot (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [SSS2006] "C:\Program Files\Steganos Security Suite 2006\SSS2006.exe" -firstboot (User 'Default user')
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Program Files\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: SetPoint.lnk = ?
O4 - Global Startup: Windows Desktop Search.lnk = C:\Program Files\Windows Desktop Search\WindowsSearch.exe
O8 - Extra context menu item: &Point&&Go - C:\Program Files\Fichiers communs\Expert System\PGPlatform\PGPlatform.htm
O8 - Extra context menu item: Ajouter à &Windows Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Envoyer au périphérique &Bluetooth... - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie_ctx.htm
O9 - Extra button: IE7pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Program Files\IE7Pro\IE7Pro.dll
O9 - Extra 'Tools' menuitem: IE7pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Program Files\IE7Pro\IE7Pro.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Barre de recherche Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {01A88BB1-1174-41EC-ACCB-963509EAE56B} (SysProWmi Class) - http://support.euro.dell.com/systemprofiler/SysPro.CAB
O16 - DPF: {03B39B10-9AB9-4DBB-8189-7F76E0CE5F3F} (FavImport Class) - https://favorites.live.com/cab/ImportAx ... ,0,1609,00
O16 - DPF: {051D0E35-F4E3-4C8D-B411-AB0875F4C683} - http://install.anark.com/client/version ... Client.cab
O16 - DPF: {0B79F48A-E8D6-11DB-9283-E25056D89593} (F-Secure Online Scanner 3.1) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {238F6F83-B8B4-11CF-8771-00A024541EE3} (Citrix ICA Client) - http://a516.g.akamai.net/f/516/25175/7d ... o-eula.cab
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan ... stubie.cab
O16 - DPF: {474F00F5-3853-492C-AC3A-476512BBC336} (UploadListView Class) - http://picasaweb.google.com/s/v/16.25/uploader2.cab
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/share ... insctl.cab
O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (TotalScan Installer Class) - http://www.nanoscan.com/as/cabs/ascstubie.cab
O16 - DPF: {5CE72DD0-4695-4D18-A4D3-3367ACD37578} (F-Secure Health Check 1.0) - http://support.f-secure.com/enu/home/on ... /fscax.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resourc ... oscan8.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - http://www.touslesdrivers.com/fichiers/ ... b?version=
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {D3166EE4-3E00-46CA-8F62-8E01D2314A7F} - http://www.cig.canon-europe.com/ph/fr_C ... 00901F.cab
O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://upload.mediamax.com/Upload/XUpload.ocx
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-l ... cfscan.cab
O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://secure.logmein.com/activex/RACtrl.cab
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - c:\program files\a-squared free\a2service.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ashampoo Defrag Service (AshampooDefragService) - - C:\Program Files\Ashampoo\Ashampoo Magical Defrag 2\bin\aDefragService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: Creative Labs Licensing Service - Creative Labs - C:\Program Files\Fichiers communs\Creative Labs Shared\Service\CreativeLicensing.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Folder Size (FolderSize) - Brio - C:\Program Files\FolderSize\FolderSizeSvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech Inc. - C:\Program Files\Fichiers communs\Logitech\Bluetooth\LBTSERV.EXE
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: DiRT Drivers Auto Removal (pr2ah4nc) (pr2ah4nc) - CODEMASTERS - C:\WINDOWS\system32\pr2ah4nc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: Steganos AntiTheft (SatSrv) - Unknown owner - C:\WINDOWS\system32\SatSrv.exe
O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:\Program Files\Fichiers communs\Acronis\Fomatik\TrueImageTryStartService.exe
O23 - Service: Windows Defender (WinDefend) - Unknown owner - C:\Program Files\Windows Defender\MsMpEng.exe (file missing)
O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Program Files\Windows Live\installer\WLSetupSvc.exe
O23 - Service: WMP54Gv4SVC - GEMTEKS - C:\Program Files\Linksys Wireless-G PCI Wireless Network Monitor\WLService.exe

--
End of file - 16449 bytes

EWIDO :

__________________________________________________
ewido anti-spyware online scanner
http://www.ewido.net
__________________________________________________

Name: Trojan.Agent.dx
Path: C:\Program Files\WMR11\PATCH.EXE
Risk: High

Name: Not-A-Virus.Adware.EShoper
Path: D:\MES DOCUMENTS\Informatique\Softs\Malewarebytes' Anti-malware\mbam-setup.exe
Risk: Low

Name: Not-A-Virus.Adware.EShoper
Path: D:\RECYCLER\S-1-5-21-3107541101-1520828958-68813769-1005\Dd75.zip/cxg1002a.rar/setup\mbam-setup.exe
Risk: Low

Name: Not-A-Virus.Adware.EShoper
Path: D:\RECYCLER\S-1-5-21-3107541101-1520828958-68813769-1005\Dd79.rar/setup\mbam-setup.exe
Risk: Low

Name: Not-A-Virus.Adware.EShoper
Path: D:\RECYCLER\S-1-5-21-3107541101-1520828958-68813769-1005\Dd80.zip/cxg1002a.rar/setup\mbam-setup.exe
Risk: Low

MBAM :

Malwarebytes' Anti-Malware 1.17
Version de la base de données: 853

23:49:37 2008-06-13
mbam-log-6-13-2008 (23-49-37).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 408161
Temps écoulé: 1 hour(s), 47 minute(s), 9 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyDocs (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

KASP :

Protection : en exécution
-------------------------
Total analysés : 29008
Détectés : 1
Non traités : 0
Lancement : 2008-06-14 05:54
Durée : 00:16:45

Détectés
--------
Etat Objet
---- -----
non trouvé : virus Heur.Invader (modification) Le fichier: D:\RECYCLER\S-1-5-21-3107541101-1520828958-68813769-1005\Dd115.exe/SDFix\catchme.exe

Evènements
----------
Heure Evènement
----- ---------

2008-06-13 23:51 Une tentative du processus avec le PID 4328 obtention de l'accès au processus Kaspersky Anti-Virus avec le PID 1260 a été bloquée. Cela est le résultat de l'auto-défense.
2008-06-13 23:51 La protection de votre ordinateur ne fonctionne pas. Il est conseillé de réactiver la protection.
2008-06-13 23:57 La validité de la licence d'évaluation expire dans 23 jour(s). Il est conseillé d'acheter une version complète.
2008-06-13 23:57 Le système fonctionne en mode sans échec. Certains composants de la protection seront désactivés.
2008-06-14 00:37 Le fichier C:\Documents and Settings\All Users\Application Data\MCA28.tmp\agentins.ui/agentins.ini : protégé par un mot de passe.
2008-06-14 00:37 Le fichier C:\Documents and Settings\All Users\Application Data\MCA28.tmp\agentins.ui/agntcons.vbs : protégé par un mot de passe.
2008-06-14 00:37 Le fichier C:\Documents and Settings\All Users\Application Data\MCA28.tmp\agentins.ui/agntinst.htm : protégé par un mot de passe.
2008-06-14 00:37 Le fichier C:\Documents and Settings\All Users\Application Data\MCA28.tmp\agentins.ui/agntinst.vbs : protégé par un mot de passe.
2008-06-14 00:37 Le fichier C:\Documents and Settings\All Users\Application Data\MCA28.tmp\agentins.ui/agntlang.vbs : protégé par un mot de passe.
2008-06-14 00:37 Le fichier C:\Documents and Settings\All Users\Application Data\MCA28.tmp\agentins.ui/default.htm : protégé par un mot de passe.
2008-06-14 00:37 Le fichier C:\Documents and Settings\All Users\Application Data\MCA28.tmp\agentins.ui/header.vbs : protégé par un mot de passe.
2008-06-14 00:37 Le fichier C:\Documents and Settings\All Users\Application Data\MCA28.tmp\agentins.ui/HtmlUtil.vbs : protégé par un mot de passe.
2008-06-14 00:37 Le fichier C:\Documents and Settings\All Users\Application Data\MCA28.tmp\agentins.ui/images/bg_left_1x314.gif : protégé par un mot de passe.
2008-06-14 00:37 Le fichier C:\Documents and Settings\All Users\Application Data\MCA28.tmp\agentins.ui/images/bg_left_MSC_165x314.gif : protégé par un mot de passe.
2008-06-14 00:37 Le fichier C:\Documents and Settings\All Users\Application Data\MCA28.tmp\agentins.ui/images/icon_info_16x16.gif : protégé par un mot de passe.
2008-06-14 00:37 Le fichier C:\Documents and Settings\All Users\Application Data\MCA28.tmp\agentins.ui/images/icon_mcafee_61x61.gif : protégé par un mot de passe.
2008-06-14 00:37 Le fichier C:\Documents and Settings\All Users\Application Data\MCA28.tmp\agentins.ui/images/icon_progress_checked_13x13.gif : protégé par un mot de passe.
2008-06-14 00:37 Le fichier C:\Documents and Settings\All Users\Application Data\MCA28.tmp\agentins.ui/images/icon_progress_hot_13x13.gif : protégé par un mot de passe.
2008-06-14 00:37 Le fichier C:\Documents and Settings\All Users\Application Data\MCA28.tmp\agentins.ui/images/icon_progress_unchecked_13x13.gif : protégé par un mot de passe.
2008-06-14 00:37 Le fichier C:\Documents and Settings\All Users\Application Data\MCA28.tmp\agentins.ui/InstUtil.vbs : protégé par un mot de passe.
2008-06-14 00:37 Le fichier C:\Documents and Settings\All Users\Application Data\MCA28.tmp\agentins.ui/instwiz.css : protégé par un mot de passe.
2008-06-14 00:37 Le fichier C:\Documents and Settings\All Users\Application Data\MCA28.tmp\agentins.ui/instxp.css : protégé par un mot de passe.
2008-06-14 00:37 Le fichier C:\Documents and Settings\All Users\Application Data\MCA28.tmp\agentins.ui/mcccom.lpk : protégé par un mot de passe.
2008-06-14 00:37 Le fichier C:\Documents and Settings\All Users\Application Data\MCA28.tmp\agentins.ui/pbar.vbs : protégé par un mot de passe.
2008-06-14 00:37 Le fichier C:\Documents and Settings\All Users\Application Data\MCA28.tmp\agentins.ui/setcss.vbs : protégé par un mot de passe.
2008-06-14 00:37 Le fichier C:\Documents and Settings\All Users\Application Data\MCA28.tmp\agentins.ui/SubInfoData.vbs : protégé par un mot de passe.
2008-06-14 00:37 Le fichier C:\Documents and Settings\All Users\Application Data\MCA28.tmp\vsoins.ui/common_utils.js : protégé par un mot de passe.
2008-06-14 00:37 Le fichier C:\Documents and Settings\All Users\Application Data\MCA28.tmp\vsoins.ui/countries.js : protégé par un mot de passe.
2008-06-14 00:37 Le fichier C:\Documents and Settings\All Users\Application Data\MCA28.tmp\vsoins.ui/default.htm : protégé par un mot de passe.
2008-06-14 00:37 Le fichier C:\Documents and Settings\All Users\Application Data\MCA28.tmp\vsoins.ui/default.vbs : protégé par un mot de passe.
2008-06-14 00:37 Le fichier C:\Documents and Settings\All Users\Application Data\MCA28.tmp\vsoins.ui/HtmlUtil.vbs : protégé par un mot de passe.
2008-06-14 00:37 Le fichier C:\Documents and Settings\All Users\Application Data\MCA28.tmp\vsoins.ui/install.htm : protégé par un mot de passe.
2008-06-14 00:37 Le fichier C:\Documents and Settings\All Users\Application Data\MCA28.tmp\vsoins.ui/install.vbs : protégé par un mot de passe.
2008-06-14 00:37 Le fichier C:\Documents and Settings\All Users\Application Data\MCA28.tmp\vsoins.ui/instwiz.css : protégé par un mot de passe.
2008-06-14 00:37 Le fichier C:\Documents and Settings\All Users\Application Data\MCA28.tmp\vsoins.ui/instxp.css : protégé par un mot de passe.
2008-06-14 00:37 Le fichier C:\Documents and Settings\All Users\Application Data\MCA28.tmp\vsoins.ui/lang_common.vbs : protégé par un mot de passe.
2008-06-14 00:37 Le fichier C:\Documents and Settings\All Users\Application Data\MCA28.tmp\vsoins.ui/mcccom.lpk : protégé par un mot de passe.
2008-06-14 00:37 Le fichier C:\Documents and Settings\All Users\Application Data\MCA28.tmp\vsoins.ui/pbar.vbs : protégé par un mot de passe.
2008-06-14 00:37 Le fichier C:\Documents and Settings\All Users\Application Data\MCA28.tmp\vsoins.ui/setcss.vbs : protégé par un mot de passe.
2008-06-14 00:37 Le fichier C:\Documents and Settings\All Users\Application Data\MCA28.tmp\vsoins.ui/strids_brandables.js : protégé par un mot de passe.
2008-06-14 00:37 Le fichier C:\Documents and Settings\All Users\Application Data\MCA28.tmp\vsoins.ui/strids_common.js : protégé par un mot de passe.
2008-06-14 00:37 Le fichier C:\Documents and Settings\All Users\Application Data\MCA28.tmp\vsoins.ui/strids_vsinstaller.js : protégé par un mot de passe.
2008-06-14 00:37 Le fichier C:\Documents and Settings\All Users\Application Data\MCA28.tmp\vsoins.ui/vmap_reporting.css : protégé par un mot de passe.
2008-06-14 00:37 Le fichier C:\Documents and Settings\All Users\Application Data\MCA28.tmp\vsoins.ui/VsoConst.vbs : protégé par un mot de passe.
2008-06-14 00:37 Le fichier C:\Documents and Settings\All Users\Application Data\MCA28.tmp\vsoins.ui/vsoins.ini : protégé par un mot de passe.
2008-06-14 00:37 Le fichier C:\Documents and Settings\All Users\Application Data\MCA28.tmp\vsoins.ui/VSOPropConst.vbs : protégé par un mot de passe.
2008-06-14 00:37 Le fichier C:\Documents and Settings\All Users\Application Data\MCA28.tmp\vsoins.ui/vssver.scc : protégé par un mot de passe.
2008-06-14 00:38 Le fichier C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\ElitumElitebarPokapoka.zip/bitcoll.dll : protégé par un mot de passe.
2008-06-14 00:38 Le fichier C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\ElitumElitebarPokapoka.zip/sbRecovery.ini : protégé par un mot de passe.
2008-06-14 00:38 Le fichier C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\ElitumElitebarPokapoka1.zip/shutdown.exe : protégé par un mot de passe.
2008-06-14 00:38 Le fichier C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\ElitumElitebarPokapoka1.zip/sbRecovery.ini : protégé par un mot de passe.
2008-06-14 00:38 Le fichier C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\ElitumElitebarPokapoka2.zip/bit2.exe : protégé par un mot de passe.
2008-06-14 00:38 Le fichier C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\ElitumElitebarPokapoka2.zip/sbRecovery.ini : protégé par un mot de passe.
2008-06-14 00:38 Le fichier C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\ElitumElitebarPokapoka3.zip/link2.lnk : protégé par un mot de passe.
2008-06-14 00:38 Le fichier C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\ElitumElitebarPokapoka3.zip/sbRecovery.ini : protégé par un mot de passe.
2008-06-14 00:38 Le fichier C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\ElitumElitebarPokapoka4.zip/link1.lnk : protégé par un mot de passe.
2008-06-14 00:38 Le fichier C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\ElitumElitebarPokapoka4.zip/sbRecovery.ini : protégé par un mot de passe.
2008-06-14 00:38 Le fichier C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\ElitumElitebarPokapoka5.zip/cmdo.exe : protégé par un mot de passe.
2008-06-14 00:38 Le fichier C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\ElitumElitebarPokapoka5.zip/sbRecovery.ini : protégé par un mot de passe.
2008-06-14 00:38 Le fichier C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Hotbar.zip/sbRecovery.reg : protégé par un mot de passe.
2008-06-14 00:38 Le fichier C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Hotbar.zip/sbRecovery.ini : protégé par un mot de passe.
2008-06-14 00:38 Le fichier C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Hotbar1.zip/sbRecovery.reg : protégé par un mot de passe.
2008-06-14 00:38 Le fichier C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Hotbar1.zip/sbRecovery.ini : protégé par un mot de passe.
2008-06-14 00:38 Le fichier C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\MicrosoftWindowsAppFirewallBypass.zip/sbRecovery.reg : protégé par un mot de passe.
2008-06-14 00:38 Le fichier C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\MicrosoftWindowsAppFirewallBypass.zip/sbRecovery.ini : protégé par un mot de passe.
2008-06-14 00:38 Le fichier C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\MicrosoftWindowsAppFirewallBypass1.zip/sbRecovery.reg : protégé par un mot de passe.
2008-06-14 00:38 Le fichier C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\MicrosoftWindowsAppFirewallBypass1.zip/sbRecovery.ini : protégé par un mot de passe.
2008-06-14 00:38 Le fichier C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\SilentGuard.zip/NMCdRipServer.exe : protégé par un mot de passe.
2008-06-14 00:38 Le fichier C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\SilentGuard.zip/sbRecovery.ini : protégé par un mot de passe.
2008-06-14 00:38 Le fichier C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\SilentGuard1.zip/sbRecovery.reg : protégé par un mot de passe.
2008-06-14 00:38 Le fichier C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\SilentGuard1.zip/sbRecovery.ini : protégé par un mot de passe.
2008-06-14 00:38 Le fichier C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Virtumonde.zip/sbRecovery.reg : protégé par un mot de passe.
2008-06-14 00:38 Le fichier C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Virtumonde.zip/sbRecovery.ini : protégé par un mot de passe.
2008-06-14 00:38 Le fichier C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Virtumonde1.zip/sbRecovery.reg : protégé par un mot de passe.
2008-06-14 00:38 Le fichier C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Virtumonde1.zip/sbRecovery.ini : protégé par un mot de passe.
2008-06-14 00:38 Le fichier C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Virtumonde2.zip/sbRecovery.reg : protégé par un mot de passe.
2008-06-14 00:38 Le fichier C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Virtumonde2.zip/sbRecovery.ini : protégé par un mot de passe.
2008-06-14 00:38 Le fichier C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Virtumonde3.zip/sbRecovery.reg : protégé par un mot de passe.
2008-06-14 00:38 Le fichier C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Virtumonde3.zip/sbRecovery.ini : protégé par un mot de passe.
2008-06-14 00:38 Le fichier C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Zango.zip/npclntax.xpt : protégé par un mot de passe.
2008-06-14 00:38 Le fichier C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Zango.zip/sbRecovery.ini : protégé par un mot de passe.
2008-06-14 00:38 Le fichier C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Zango1.zip/ZangoSAEULA.mht : protégé par un mot de passe.
2008-06-14 00:38 Le fichier C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Zango1.zip/sbRecovery.ini : protégé par un mot de passe.
2008-06-14 00:38 Le fichier C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Zango10.zip/sbRecovery.reg : protégé par un mot de passe.
2008-06-14 00:38 Le fichier C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Zango10.zip/sbRecovery.ini : protégé par un mot de passe.
2008-06-14 00:38 Le fichier C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Zango11.zip/sbRecovery.reg : protégé par un mot de passe.
2008-06-14 00:38 Le fichier C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Zango11.zip/sbRecovery.ini : protégé par un mot de passe.
2008-06-14 00:38 Le fichier C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Zango12.zip/sbRecovery.reg : protégé par un mot de passe.
2008-06-14 00:38 Le fichier C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Zango12.zip/sbRecovery.ini : protégé par un mot de passe.
2008-06-14 00:38 Le fichier C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Zango13.zip/sbRecovery.reg : protégé par un mot de passe.
2008-06-14 00:38 Le fichier C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Zango13.zip/sbRecovery.ini : protégé par un mot de passe.
2008-06-14 00:38 Le fichier C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Zango14.zip/sbRecovery.reg : protégé par un mot de passe.
2008-06-14 00:38 Le fichier C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Zango14.zip/sbRecovery.ini : protégé par un mot de passe.
2008-06-14 00:38 Le fichier C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Zango15.zip/sbRecovery.reg : protégé par un mot de passe.
2008-06-14 00:38 Le fichier C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Zango15.zip/sbRecovery.ini : protégé par un mot de passe.
2008-06-14 00:38 Le fichier C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Zango16.zip/sbRecovery.reg : protégé par un mot de passe.
2008-06-14 00:38 Le fichier C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Zango16.zip/sbRecovery.ini : protégé par un mot de passe.
2008-06-14 00:38 Le fichier C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Zango17.zip/sbRecovery.reg : protégé par un mot de passe.
2008-06-14 00:38 Le fichier C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Zango17.zip/sbRecovery.ini : protégé par un mot de passe.
2008-06-14 00:38 Le fichier C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Zango18.zip/sbRecovery.reg : protégé par un mot de passe.
2008-06-14 00:38 Le fichier C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Zango18.zip/sbRecovery.ini : protégé par un mot de passe.
2008-06-14 00:38 Le fichier C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Zango19.zip/sbRecovery.reg : protégé par un mot de passe.
2008-06-14 00:38 Le fichier C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Zango19.zip/sbRecovery.ini : protégé par un mot de passe.
2008-06-14 00:38 Le fichier C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Zango2.zip/ZangoSAAbout.mht : protégé par un mot de passe.
2008-06-14 00:38 Le fichier C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Zango2.zip/sbRecovery.ini : protégé par un mot de passe.
2008-06-14 00:38 Le fichier C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Zango20.zip/sbRecovery.reg : protégé par un mot de passe.
2008-06-14 00:38 Le fichier C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Zango20.zip/sbRecovery.ini : protégé par un mot de passe.
2008-06-14 00:38 Le fichier C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Zango21.zip/sbRecovery.reg : protégé par un mot de passe.
2008-06-14 00:38 Le fichier C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Zango21.zip/sbRecovery.ini : protégé par un mot de passe.
2008-06-14 00:38 Le fichier C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Zango22.zip/sbRecovery.reg : protégé par un mot de passe.
2008-06-14 00:38 Le fichier C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Zango22.zip/sbRecovery.ini : protégé par un mot de passe.
2008-06-14 00:38 Le fichier C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Zango23.zip/sbRecovery.reg : protégé par un mot de passe.
2008-06-14 00:38 Le fichier C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Zango23.zip/sbRecovery.ini : protégé par un mot de passe.
2008-06-14 00:38 Le fichier C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Zango24.zip/sbRecovery.reg : protégé par un mot de passe.
2008-06-14 00:38 Le fichier C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Zango24.zip/sbRecovery.ini : protégé par un mot de passe.
2008-06-14 00:38 Le fichier C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Zango25.zip/sbRecovery.reg : protégé par un mot de passe.
2008-06-14 00:38 Le fichier C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Zango25.zip/sbRecovery.ini : protégé par un mot de passe.
2008-06-14 00:38 Le fichier C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Zango26.zip/sbRecovery.reg : protégé par un mot de passe.
2008-06-14 00:38 Le fichier C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Zango26.zip/sbRecovery.ini : protégé par un mot de passe.
2008-06-14 00:38 Le fichier C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Zango27.zip/sbRecovery.reg : protégé par un mot de passe.
2008-06-14 00:38 Le fichier C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Zango27.zip/sbRecovery.ini : protégé par un mot de passe.
2008-06-14 00:38 Le fichier C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Zango28.zip/sbRecovery.reg : protégé par un mot de passe.
2008-06-14 00:38 Le fichier C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Zango28.zip/sbRecovery.ini : protégé par un mot de passe.
2008-06-14 00:38 Le fichier C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Zango29.zip/sbRecovery.reg : protégé par un mot de passe.
2008-06-14 00:38 Le fichier C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Zango29.zip/sbRecovery.ini : protégé par un mot de passe.
2008-06-14 00:38 Le fichier C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Zango3.zip/sbRecovery.reg : protégé par un mot de passe.
2008-06-14 00:38 Le fichier C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Zango3.zip/sbRecovery.ini : protégé par un mot de passe.
2008-06-14 00:38 Le fichier C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Zango30.zip/sbRecovery.reg : protégé par un mot de passe.
2008-06-14 00:38 Le fichier C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Zango30.zip/sbRecovery.ini : protégé par un mot de passe.
2008-06-14 00:38 Le fichier C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Zango31.zip/sbRecovery.reg : protégé par un mot de passe.
2008-06-14 00:38 Le fichier C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Zango31.zip/sbRecovery.ini : protégé par un mot de passe.
2008-06-14 00:38 Le fichier C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Zango32.zip/sbRecovery.reg : protégé par un mot de passe.
2008-06-14 00:38 Le fichier C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Zango32.zip/sbRecovery.ini : protégé par un mot de passe.
2008-06-14 00:38 Le fichier C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Zango33.zip/sbRecovery.reg : protégé par un mot de passe.
2008-06-14 00:38 Le fichier C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Zango33.zip/sbRecovery.ini : protégé par un mot de passe.
2008-06-14 00:38 Le fichier C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Zango4.zip/sbRecovery.ini : protégé par un mot de passe.
2008-06-14 00:38 Le fichier C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Zango5.zip/sbRecovery.ini : protégé par un mot de passe.
2008-06-14 00:38 Le fichier C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Zango6.zip/ZangoSA.dat : protégé par un mot de passe.
2008-06-14 00:38 Le fichier C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Zango6.zip/sbRecovery.ini : protégé par un mot de passe.
2008-06-14 00:38 Le fichier C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Zango7.zip/sbRecovery.reg : protégé par un mot de passe.
2008-06-14 00:38 Le fichier C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Zango7.zip/sbRecovery.ini : protégé par un mot de passe.
2008-06-14 00:38 Le fichier C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Zango8.zip/sbRecovery.reg : protégé par un mot de passe.
2008-06-14 00:38 Le fichier C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Zango8.zip/sbRecovery.ini : protégé par un mot de passe.
2008-06-14 00:38 Le fichier C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Zango9.zip/sbRecovery.reg : protégé par un mot de passe.
2008-06-14 00:38 Le fichier C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Zango9.zip/sbRecovery.ini : protégé par un mot de passe.
2008-06-14 03:09 Le fichier D:\RECYCLER\S-1-5-21-3107541101-1520828958-68813769-1005\Dd115.exe/SDFix\catchme.exe, découvert : virus 'Heur.Invader' (modification).
2008-06-14 03:09 Des objets dangereux ont été découverts. Il est conseillé de les neutraliser immédiatement.
2008-06-14 05:54 La protection de votre ordinateur fonctionne.
2008-06-14 05:54 Une tentative du processus avec le PID 3124 obtention de l'accès au processus Kaspersky Anti-Virus avec le PID 1340 a été bloquée. Cela est le résultat de l'auto-défense.
2008-06-14 05:54 Une tentative du processus avec le PID 1936 obtention de l'accès au processus Kaspersky Anti-Virus avec le PID 1340 a été bloquée. Cela est le résultat de l'auto-défense.
2008-06-14 05:54 Une tentative du processus avec le PID 1936 obtention de l'accès au processus Kaspersky Anti-Virus avec le PID 3484 a été bloquée. Cela est le résultat de l'auto-défense.
2008-06-14 05:55 La mise à jour a réussi

Rapports
--------
Composant Etat Début Fin Taille
--------- ---- ----- --- ------
Défense Proactive en exécution 2008-06-14 05:54 0 octet(s)
Antivirus Fichiers en exécution 2008-06-14 05:54 7 Mo
Antivirus Courrier en exécution 2008-06-14 05:54 0 octet(s)
Antivirus Internet en exécution 2008-06-14 05:54 16.0 Ko
Mise à jour terminée 2008-06-14 05:54 2008-06-14 05:55 20.1 Ko

Quarantaine
-----------
Etat Objet Taille Ajouté
---- ----- ------ ------

Dossier de sauvegarde
---------------------
Etat Objet Taille
---- ----- ------

(SUITE DANS UN AUTRE POST CAR TAILLE LIMITEE A 60'000 CARCTERES)

Fuzzy

par **fuzzystone** » **14 Juin 2008 19:27**

(SUITE DU POST PRECEDENT)

Hijack du compte limité :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 06:13, on 2008-06-14
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
C:\Program Files\Fichiers communs\Logitech\Bluetooth\LBTSERV.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\a-squared free\a2service.exe
C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Ashampoo\Ashampoo Magical Defrag 2\bin\aDefragService.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Program Files\Fichiers communs\Creative Labs Shared\Service\CreativeLicensing.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\FolderSize\FolderSizeSvc.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\SatSrv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Acronis\Fomatik\TrueImageTryStartService.exe
C:\Program Files\Linksys Wireless-G PCI Wireless Network Monitor\WLService.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Program Files\Linksys Wireless-G PCI Wireless Network Monitor\WMP54Gv4.exe
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\stsystra.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe
C:\Program Files\SetPoint\LBTWiz.exe
C:\PROGRA~1\Ashampoo\ASHAMP~1\bin\DEFRAG~3.EXE
C:\Program Files\Creative\SBAudigy\Surround Mixer\CTSysVol.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\Program Files\Ashampoo\Ashampoo Magical Defrag 2\bin\defragTaskBar.exe
C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\DOCUME~1\CHRIST~1\LOCALS~1\Temp\clclean.0001
C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Atomic Alarm Clock\AtomicAlarmClock.exe
C:\Program Files\Steganos Security Suite 2006\SSS2006.exe
C:\Program Files\SetPoint\SetPoint.exe
C:\Program Files\Windows Desktop Search\WindowsSearch.exe
C:\Program Files\Fichiers communs\Logitech\KHAL\KHALMNPR.EXE
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Steganos Security Suite 2006\SSS2006.exe
C:\Program Files\Steganos Security Suite 2006\PasswordManagerIEAutoFill.exe
C:\WINDOWS\system32\winlogon.exe
C:\PROGRA~1\Ashampoo\ASHAMP~1\bin\defragActivityMonitor.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Documents and Settings\All Users\Documents\HiJackThis 2.0.2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://news.google.ch/nwshp?ie=UTF-8&oe ... &tab=wn&q=
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = www.google.ch/ig/dell?hl=fr&client=dell ... bd=4061128
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Program Files\TechSmith\SnagIt 8\SnagItBHO.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Program Files\TechSmith\SnagIt 8\SnagItIEAddin.dll
O3 - Toolbar: Copernic Desktop Search 2 - {968631B6-4729-440D-9BF4-251F5593EC9A} - C:\Program Files\Copernic Desktop Search 2\DesktopSearchBand201013011.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [IAAnotif] "C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [Logitech BT Wizard] LBTWiz.exe -silent
O4 - HKLM\..\Run: [CTSysVol] "C:\Program Files\Creative\SBAudigy\Surround Mixer\CTSysVol.exe" /r
O4 - HKLM\..\Run: [MBMon] Rundll32 CTMBHA.DLL,MBMon
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [BuildBU] c:\dell\bldbubg.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [DefragTaskBar] "C:\Program Files\Ashampoo\Ashampoo Magical Defrag 2\bin\defragTaskBar.exe"
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Program Files\LogMeIn\x86\LogMeInSystray.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKCU\..\Run: [SetDefaultMIDI] MIDIDef.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SkinClock] C:\Program Files\Atomic Alarm Clock\AtomicAlarmClock.exe
O4 - HKCU\..\Run: [SSS2006] "C:\Program Files\Steganos Security Suite 2006\SSS2006.exe" -boot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [SSS2006] "C:\Program Files\Steganos Security Suite 2006\SSS2006.exe" -firstboot (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [SSS2006] "C:\Program Files\Steganos Security Suite 2006\SSS2006.exe" -firstboot (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-21-3107541101-1520828958-68813769-1006\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Anne')
O4 - HKUS\S-1-5-21-3107541101-1520828958-68813769-1006\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime (User 'Anne')
O4 - HKUS\S-1-5-21-3107541101-1520828958-68813769-1006\..\Run: [BM53e8120d] Rundll32.exe "C:\DOCUME~1\ANNE~1.CHU\LOCALS~1\Temp\yauhxflc.dll",s (User 'Anne')
O4 - HKUS\S-1-5-21-3107541101-1520828958-68813769-1006\..\Run: [MS Juan] rundll32 "C:\DOCUME~1\ANNE~1.CHU\LOCALS~1\Temp\jbasljju.dll",run (User 'Anne')
O4 - HKUS\S-1-5-21-3107541101-1520828958-68813769-1006\..\Run: [50db2191] rundll32.exe "C:\DOCUME~1\ANNE~1.CHU\LOCALS~1\Temp\fnmrxiue.dll",b (User 'Anne')
O4 - HKUS\S-1-5-21-3107541101-1520828958-68813769-1006\..\Run: [cmds] rundll32.exe C:\DOCUME~1\ANNE~1.CHU\LOCALS~1\Temp\efcYQHbb.dll,c (User 'Anne')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [SSS2006] "C:\Program Files\Steganos Security Suite 2006\SSS2006.exe" -firstboot (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [SSS2006] "C:\Program Files\Steganos Security Suite 2006\SSS2006.exe" -firstboot (User 'Default user')
O4 - S-1-5-21-3107541101-1520828958-68813769-1006 Startup: Yahoo! Widgets.lnk = C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe (User 'Anne')
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Program Files\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: SetPoint.lnk = ?
O4 - Global Startup: Windows Desktop Search.lnk = C:\Program Files\Windows Desktop Search\WindowsSearch.exe
O8 - Extra context menu item: &Point&&Go - C:\Program Files\Fichiers communs\Expert System\PGPlatform\PGPlatform.htm
O8 - Extra context menu item: Ajouter à &Windows Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Envoyer au périphérique &Bluetooth... - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie_ctx.htm
O9 - Extra button: IE7pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Program Files\IE7Pro\IE7Pro.dll
O9 - Extra 'Tools' menuitem: IE7pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Program Files\IE7Pro\IE7Pro.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Barre de recherche Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {01A88BB1-1174-41EC-ACCB-963509EAE56B} (SysProWmi Class) - http://support.euro.dell.com/systemprofiler/SysPro.CAB
O16 - DPF: {03B39B10-9AB9-4DBB-8189-7F76E0CE5F3F} (FavImport Class) - https://favorites.live.com/cab/ImportAx ... ,0,1609,00
O16 - DPF: {051D0E35-F4E3-4C8D-B411-AB0875F4C683} - http://install.anark.com/client/version ... Client.cab
O16 - DPF: {0B79F48A-E8D6-11DB-9283-E25056D89593} (F-Secure Online Scanner 3.1) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {238F6F83-B8B4-11CF-8771-00A024541EE3} (Citrix ICA Client) - http://a516.g.akamai.net/f/516/25175/7d ... o-eula.cab
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan ... stubie.cab
O16 - DPF: {474F00F5-3853-492C-AC3A-476512BBC336} (UploadListView Class) - http://picasaweb.google.com/s/v/16.25/uploader2.cab
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/share ... insctl.cab
O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (TotalScan Installer Class) - http://www.nanoscan.com/as/cabs/ascstubie.cab
O16 - DPF: {5CE72DD0-4695-4D18-A4D3-3367ACD37578} (F-Secure Health Check 1.0) - http://support.f-secure.com/enu/home/on ... /fscax.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resourc ... oscan8.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - http://www.touslesdrivers.com/fichiers/ ... b?version=
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {D3166EE4-3E00-46CA-8F62-8E01D2314A7F} - http://www.cig.canon-europe.com/ph/fr_C ... 00901F.cab
O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://upload.mediamax.com/Upload/XUpload.ocx
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-l ... cfscan.cab
O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://secure.logmein.com/activex/RACtrl.cab
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - c:\program files\a-squared free\a2service.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ashampoo Defrag Service (AshampooDefragService) - - C:\Program Files\Ashampoo\Ashampoo Magical Defrag 2\bin\aDefragService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: Creative Labs Licensing Service - Creative Labs - C:\Program Files\Fichiers communs\Creative Labs Shared\Service\CreativeLicensing.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Folder Size (FolderSize) - Brio - C:\Program Files\FolderSize\FolderSizeSvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech Inc. - C:\Program Files\Fichiers communs\Logitech\Bluetooth\LBTSERV.EXE
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: DiRT Drivers Auto Removal (pr2ah4nc) (pr2ah4nc) - CODEMASTERS - C:\WINDOWS\system32\pr2ah4nc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: Steganos AntiTheft (SatSrv) - Unknown owner - C:\WINDOWS\system32\SatSrv.exe
O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:\Program Files\Fichiers communs\Acronis\Fomatik\TrueImageTryStartService.exe
O23 - Service: Windows Defender (WinDefend) - Unknown owner - C:\Program Files\Windows Defender\MsMpEng.exe (file missing)
O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Program Files\Windows Live\installer\WLSetupSvc.exe
O23 - Service: WMP54Gv4SVC - GEMTEKS - C:\Program Files\Linksys Wireless-G PCI Wireless Network Monitor\WLService.exe

--
End of file - 17489 bytes

Et merci pour les réponses à mes questions.
Bonne soirée. Fuzzy

par **Ogu** » **14 Juin 2008 20:56**

Ok, merci. On termine!

Primo, supprime ce fichier infectieux (crack?):

C:\Program Files\WMR11\PATCH.EXE

Secundo: sais-tu à quoi correspond ce dossier:

C:\Documents and Settings\All Users\Application Data\MCA28.tmp\vsoinsui/vssver.scc

??

Il n'a pas l'air méchant néanmoins.

HIJACKTHIS

Relance HijackThis
Sélectionne "Do a system scan only"
Coche les lignes suivantes:

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
Ferme tes navigateurs
Clique en bas sur "Fix checked"
Redémarre

Pour ton compte Limité cette fois-ci:

CCLEANER SLIM

Lance CCleaner
Clique sur l'onglet "Registre"
Clique sur "Rechercher des erreurs" puis "Corriger les erreurs"
Répond "oui" à la demande de sauvegarde proposée et enregistre-la dans tes documents
Clique sur l'onglet "nettoyeur" puis "lancer le nettoyage"
Pas de rapport à fournir ce coup-ci !

HIJACKTHIS

Relance HijackThis avec un clic droit: "exécuter en tant qu'administrateur" sur l'exécutable C:\Documents and Settings\All Users\Documents\HiJackThis 2.0.2.exe
Sélectionne "Do a system scan only"
Coche les lignes suivantes si elles apparaissent:

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKUS\S-1-5-21-3107541101-1520828958-68813769-1006\..\Run: [BM53e8120d] Rundll32.exe "C:\DOCUME~1\ANNE~1.CHU\LOCALS~1\Temp\yauhxflc.dll",s (User 'Anne')

O4 - HKUS\S-1-5-21-3107541101-1520828958-68813769-1006\..\Run: [MS Juan] rundll32 "C:\DOCUME~1\ANNE~1.CHU\LOCALS~1\Temp\jbasljju.dll",run (User 'Anne')

O4 - HKUS\S-1-5-21-3107541101-1520828958-68813769-1006\..\Run: [50db2191] rundll32.exe "C:\DOCUME~1\ANNE~1.CHU\LOCALS~1\Temp\fnmrxiue.dll",b (User 'Anne')

O4 - HKUS\S-1-5-21-3107541101-1520828958-68813769-1006\..\Run: [cmds] rundll32.exe C:\DOCUME~1\ANNE~1.CHU\LOCALS~1\Temp\efcYQHbb.dll,c (User 'Anne')
Ferme tes navigateurs
Clique en bas sur "Fix checked"
Redémarre

Dis-moi si tu as encore des messages d'erreur en te connectant sur ton compte limité.

Enfin, si tu le souhaites, je peux te fournir une procédure de sécurisation simple de ton PC. A toi de voir.

Bon travail, A+ !

par **fuzzystone** » **14 Juin 2008 22:31**

Magnifique! :supers:

Le compte limité est propre et tout semble bien fonctionner (et même mieux puisque je pense avoir gagné en vitesse de démarrage, mais c'est très subjectif).

J'ai éliminé WMR11, il s'agissait d'un petit soft pour le streaming audio à partir de Real Player. J'ai aussi viré MCA28, un relicat de McAfee Installer.

Je suis preneur pour un nouveau système de sécurisation, bien entendu. J'ai actuellement Kaspersky 7 à l'essai, mais je le trouve lourd et j'ai un problème de vitesse avec mes downloads en Usenet (ce n'était pas le cas avec Kasp 6). Je me suis un peu promené à travers les posts de Libellules sur la sécurité et il semble que la configuration la plus appréciée et conseillée soit Avira Antivir + Comodo firewall Pro (dont tu m'as déjà parlé). J'ai aussi été assez impressionné par Malwarebyte's. Mais je suis bien sûr impatient de connaître tes propositions.

J'ai aussi pris conscience que le surf et les downloads sauvages que j'ai pratiqués à l'occasion font entrer beaucoup de chose dans un ordinateur que j'estimais pourtant honnêtement sécurisé (Kasp +ZA Pro + routeur) et bien entretenu (mises à jour régulières et scans divers réguliers). Je fais aussi une image de mon disque chaque mois avec Acronis.

Mais c'est difficile de se retenir d'expériementer lorssqu'on surf (il y a même probablement un petit plaisir lié à la prise de risque...!). Cependant quand on voit ce qu'il faut faire pour nettoyer tout ça! (et encore, j'ai eu de la chance de n'avoir jamais fait de plantée irrécupérable).

A+. Fuzzy

par **Ogu** » **15 Juin 2008 01:22**

Yo!!

Une machine non-infectée est effectivement bien plus rapide, au démarrage comme en utilisation, et surtout lors du surf.

Effectivement, le duo Comodo-Antivir est l'un des plus efficaces en freeware, je te le conseille. Mais une doublette PC Tools Firewall-AVG Antivirus est quasi aussi bon.

L'avantage de Comodo (ou de Online Armor), c'est qu'il dispose d'un HIPS qui le rend très efficace: si tu arrives à te dépatouiller avec les alertes qu'il envoie et avec sa configuration (pas toujours facile, mais il faut bien commencer un jour!), alors tu seras très bien protégé...à condition, comme tu le dis, de ne pas faire n'importe quoi !

L'image-disque régulière, c'est un excellent réflexe, en cas de coup dur.

En complément de Comodo/Antivir:

SUPPRESSION DES LOGICIELS DE DESINFECTION et des Backups

Explications:Les logiciels que je t'ai fait utiliser ne doivent pas être utilisés sans connaissances sur leurs fonctions et leurs rôles (mis à part Ewido et Malwarebytes qu'il faut conserver et utiliser à l'occasion, une fois par mois): mal utilisés, ils peuvent faire plus de mal que de bien. Nous allons donc les désinstaller.

Télécharge Tools Cleaner de A.Rothstein sur ton bureau
Clique sur "rechercher"
Clique sur "suppression"
Ferme Tools Cleaner et efface-le

J'ai essayé de regrouper tout ce qui me paraîssait simple et efficace.

Quelques règles de base à respecter en sécurité:

je mets à jour mon XP avec Windows Update

j'abandonne le peer-to-peer, qui draîne fakes, infections et virus déguisés en cracks.

ne jamais télécharger n'importe quoi sans se renseigner

ne jamais installer n'importe quoi sans se renseigner:: attention aux faux logiciels, les rogues, dont Assite tient une liste à jour:

La Crapthèque

j'ai un doute sur un fichier, un programme, un exécutable? Je le scanne avec [url="http://www.virustotal.com/fr"]VirusTota[/url]l

je me méfie des sites X (et des sites de cracks et warez), très souvent piégés.

je me méfie des sites de jeux en lignes (surtout de type Casino et Poker), très souvent piégés.

ne pas faire une confiance aveugle aux logiciels de protection: ils sont tous faillibles.

je me méfie des mails que je reçois

je ne connecte pas mes clés USB n'importe où

je me méfie de MSN, Windows live Messenger etc..., cibles d'infections quotidiennes

je sauvegarde les données perso régulièrement, sur DVD ou disque externe

la première cause d'infection est le manque de prudence et de discernement de l'internaute

je ne clique pas sur n'importe quoi et je me méfie du Net, qui est autant un espace de loisir qu'un espace de profits, où certains sont sans foi ni loi.

INSTALLER UN HOSTS

Explications: Un hosts est un simple fichier texte recensant les sites à risque (contenant des exploits, des failles de sécurité, des virus etc...); ce fichier va INTERDIRE à ta machine de s'y connecter. Simple et redoutable! On va utiliser un logiciel qui automatise la création d'un hosts: HpHosts

Télécharge le logiciel HpHosts
Installe-le en cliquant successivement sur "next" puis "install"
Avant la fin de l'installation une fenêtre apparaît: cocher "Disable Windows DNS Client (recommended)"
Redémarre
Supprime HpHosts

FERMER LES PORTS

Explications: par défaut, XP comporte de nombreux ports ouverts, qui sont autant de cibles pour les pirates et les infections, qui profitent de ces failles.Nous allons donc verrouiller les ports inutiles (mais dangereux!) avec ZebProtect, créé par des membres de Zebulon !

Télécharge le logiciel ZebProtect
Suis le tuto de Tesgaz

RENFORCER LE REGISTRE

NOTA: le site de Zigstack est down en ce moment...réessayer plus tard?

Explications: par défaut, le regsitre de Windows n'est pas optimisé pour combattre certains risques sécuritaires: en renforçant le registre avec un peu de "hardening" (= création et modifications de clés), on sécurise le système contre certaines attaques ciblées. Un logiciel automatise ces modifications (qui sont dangereuses et difficiles à faire à la main): ZigStack

Télécharge le logiciel ZigStack
Décompresse l'archive sur ton bureau et ouvre le dossier "bin".
Clique sur l'executable Zigstack.
Clique en bas sur "select all" puis sur " set hardening".
Redémarre.
Pour voir si cela a fonctionné ouvre à nouveau Zigstack et assure-toi que chaque élément soit "enabled" (colonne à droite).
Si oui tu peux supprimer Zigstack de ton PC.

UTILISER ET SECURISER FIREFOX

Explications: Firefox est un navigateur mieux protégé que Internet Explorer, et qui permet via des extensions de le rendre encore plus sécuritaire.
Utilise exclusivement FIREFOX et Sécurise-le avec les extensions suivantes:

installe l'extension AdBlock Plus contre les publicités.
avec AdBlock Plus, installe les filtres antipub FR + EASY LIST en cliquant, en milieu de page, sur cette image
extension Customize Google:disparation des pubs Google et anonymisation des cookies Google[/b]
extension FlashBlock

SECURISER TA BOX

Explications: les routeurs sont équipés de pare-feu qui complètent très efficacement le firewall de ton PC: jette un oeil sur ce tuto, en espérant que ta Box y soit détaillée.

PROTEGER LE NAVIGATEUR, LA MESSAGERIE et ton logiciel de TCHAT

Explications: ces 3 catégories de logiciels sont les premiers pourvoyeurs de virus car ils se conncetent au net: en restreignant leurs droits, tu limite drastiquement les risques que des virus se faufilent par ton navigateur ou tes mails ;-)

. Un logiciel permet de restreindre les droits: StripMyRights

Suis mon petit tuto sur Libellules.

NETTOYER LES FICHIERS TEMPORAIRES

Explications: les fichiers temporaires, en plus d'avoir une utilité limitée dans le temps, sont un emplacement privilégié pour les droppers et virus. Il faut donc les supprimer de temsp à autres avec CCleaner.

Télécharge CCleaner SLIM en cliquant sur l'image:
LanceCCleaner Slim régulièrement:
Clique sur l'onglet "Nettoyeur"
Clique sur le bouton "Lancer le nettoyage"
Clique sur l'onglet : "Registre"
Clique sur "Rechercher des erreurs" puis "Corriger les erreurs"
Répond "oui" à la demande de sauvegarde proposée par le logiciel et enregistre-là dans tes documents

EWIDO & MALWAREBYTES ANTIMALWARE

Garde ces deux antispywares gratuits et lance un scan tous les mois: si le rapport est positif, poste un message d'aide sur le forum en joignant le rapport.

VACCINER SON PC CONTRE LES INFECTIONS de CLES USB

Explications: on trouve de plus en plus de virus spécialement conçus pour s'installer sur une clé USB, et qui, une fois connecteé sur ton PC, reproduit le virus sur ton système (et comme on connecte parfois ses clés sur des PC dont on ne connaît pas la santé, au boulot, au Web café, chez des amis etc..., mieux vaut se prémunir!). Un logiciel automatise cette vaccination: VaccinUSB[/color]

Télécharge VaccinUSB de Gof

ATTENTION:certains antivirus réagissent à son téléchargement: ignore l'alerte, ou bien désactive l'antivirus: VaccinUSB est un logiciel sain!!

Colle VaccinUSB sur ton disque C:\ (et pas ailleurs!) de manière à obtenir ceci: C:\VaccinUSB
Double-clique dessus

-----------------> VaccinUSB, à l'image d'un vaccin, va créer sur ta clé de faux virus inoffensifs portant le nom des vrais virus: ainsi si un virus USB tente de s'installer sur ton PC, il ne le fera pas car il aura l'impression d'être déjà installé ! Par ailleurs il va protéger ton autorun en empêchant sa modification par un virus.

Tu peux faire la même opération sur tes clés USB et sur ton disque dur externe, en collant VaccinUSB sur chaque support amovible et en l'exécutant.

ANTIVIR

Paramètre Antivir en suivant ce tuto si ce n'est déjà fait:

Tuto by Falkra

Prend soin de bien paramétrer au maximum les modules suivants:

Clique droit sur le parapluie
Choisis Configure
Clique sur Expert mode puis Scan: là, configure Antivir comme suit:

Cocher: All files

Additionnal Settings:tout cocher

Clic sur scan +

Action for concerning files:Cocher:

copie file to quarantine before action
Primary action...................: repair => au cas ou ce serait un fichier système corrompu
Secondary action.................: delete => s'il y a détection, autant supprimer. Une sauvegarde sera dans la quarantaine

XP ANTISPY

Télécharge et installe XP Antispy

Lance-le, clique en haut sur "Profil: recommandé" puis sur "Appliquer les changements".

DEFRAGMENTATION

Si tu ne disposes pas de ton propre défragmenteur (autre que celui de Windows, qui est peu efficace):

Télécharge et installe JKDefrag

Lance-le et laisse-le défragmenter ta machine (cela peut prendre du temps)

CONSOLE DE RECUP'

Installe-la en suivant ce tuto de l'inévitable Falkra:

http://www.libellules.ch/dotclear/index.ph...e-de-rcupration

La Console de récup' peut être l'ultime solution en cas de très gros plantage o ude grave infection.

par **fuzzystone** » **15 Juin 2008 09:23**

Bonjour Ogu,

Jolie liste, ça va m'occuper un moment... Je vais le faire petit à petit, car autrement lorsque quelque chose ne tourne plus rond, je ne sais pas avec quelle intervention le mettre (possiblement) en rapport et je ne me souviens parfois même plus exactement de ce que j'ai fait!

Tu sembles m'annoncer des difficultés de configuration et de gestion d'alertes avec Comodo. A mon niveau, les pare-feu sont en effet les softs les plus difficiles à maîtriser. Pour la config, il y a les tutos. Mais pour les alertes... plus délicat.

Tools Cleaner n'a semble-t-il rien trouvé (en tout cas il n'a rien affiché) : est-ce normal? A noter que tu m'as déjà fait enlever Combofix et que j'avais de ma propre initiative effacé SDFix (par un simple delete). Le logiciel sert ausssi à supprimer les backups : quels backups?

Dans la liste de mes points de restauration, je ne trouve maintenant plus rien au-delà des dernières 48h. Est-ce l'effet de CCleaner? (j'ai en tout cas assez de mémoire allouée à ces archives).

Concernant Zebprotect, son forum n'est pas très actif. En cas de problèmes, est-il désinstallable facilement?

Anti-nuisibles divers : Je pense que je peux virer Spybot S&D, a-squared, Microsoft Antimalware... Et Windows Defender, est-ce qu'il vaut quelque chose?

Firefox : une version 3 arrivant dans 2 jours, je vais à nouveau m'intéresser à ce navigateur. Je ne sais pas si les extensions de sécurité que tu mentionnes seront toujours valide et nécessaires? Mais comme je l'ai déjà dit plus haut, j'aime beaucoup Opera qui est aussi très évolutif (version 9.5 toute neuve). Le seul défaut que je lui trouve est son défaut de compabilité avec certains sites webs interactifs (sites commericiaux notamment). Je ne sais pas ce que donne le match FF 3 - Opera 9.5 concernant la sécurité...

Merci pour ta disponibilité impressionnante (y a-t-il des internautes qui arrivent à te pousser à bout?)

Bon dimanche, :merci

Fuzzy

par **Ogu** » **15 Juin 2008 15:35**

Salut!

Prends ton temps pour tout faire, de toute façon ta machine est saine, le temps ne presse plus comme lors de la désinfection.

Tous les pare-feux de qualité (et de facto tous les HIPS) nécessitent des alertes gérées par le user: c'est le problème, mais c'est ce qui fait leur force! Essaie, tu apprendras comme tout le monde, et on est là en cas de doute ou de coup dur. Si vraiment tu ne t'en sors pas -mais il n'y a pas de raison- alors reviens au firewall XP, qui agit tout seul mais uniquement dans le filtrage entrant (le filtrage sortant, il ne s'en occupe même pas!)

Tools Cleaner n'a rien trouvé car tu avais déjà supprimé SDFix (faut pas le faire tant qu'on ne le préconise pas

): il supprime aussi les backups faits par les logiciels, et qui auraient permis de revenir en arrière en cas de pépin avec les outils de désinfection.

Nous n'avons pas touché à tes points de restau, j'ignore ce qui les a supprimés, mais de toute façon ils étaient infectés, donc...

Concernant Zebprotect, son forum n'est pas très actif. En cas de problèmes, est-il désinstallable facilement?

ZebProtect, de mémoire, fait un point de restauration avant de s'exécuter, ou conseille d'en faire un. Normalement c'est suffisant en cas de pépin (je n'ai jamais vu de souci avec ce soft). Si ça peut te rassurer, on va faire une backup de ton Registre que tu pourras restaurer en cas de plantage tout à fait improbable (en général, on ne fait prendre aucun risque à vos machines lors de nos interventions!):

SAUVEGARDE DE LA BASE DE REGISTRE

Télécharger RDILLY BACKUP en cliquant sur cette image:
Décompresse le contenu de l'archive dans un dossier à nommer Rdilly (et à placer dans C:\Program Files)
Ouvres le dossier Rdilly
Double-clique sur l'exécutable Rdilly puis patiente
Ton Registre est maintenant sauvegardé.

Anti-nuisibles divers : Je pense que je peux virer Spybot S&D, a-squared, Microsoft Antimalware... Et Windows Defender, est-ce qu'il vaut quelque chose?

Oui, vire Spybot, A-Squared et Microsoft Antimalware, qui sont peu efficaces. WinDefender, c'est pas le top, mais il propose gratuitement une protection résidente, c'est un atout majeur. Conserve-le.

Je ne sais pas si les extensions de sécurité que tu mentionnes seront toujours valide et nécessaires?

Si, a priori elles seront nécessaires. Si ce n'est pas le cas, alors on le saura vite! Opéra est un excellent navigateur, je ne m'y suis jamais intéressé de près, mais si tu l'aimes bien, garde-le à la place de Firefox, pas de problème.

y a-t-il des internautes qui arrivent à te pousser à bout?

Oui, mais je n'en montre rien (ou en tout cas j'essaie!): mon métier m'apprend la patience et l'indulgence tous les jours!

A+ Fuzzy, n'hésite pas à poser d'autres questions, sur ce topic même.

par **fuzzystone** » **15 Juin 2008 17:24**

Damned!
Je viens d'installer Comodo Firewall et il me présente une liste de 27 fichiers aux noms totalement absconds pour plusieurs d'entre-eux (du genre WINDOWS\Installer\MSI28.tmp ou WINDOWS\system32\vmm32\windrvr.vxd) en me demandant ce que je veux en faire (move to safe files ou move to quarantined files). Je suppose que je peux les faire basculer du bon côté puisque le computer est reluisant ...?
Fuzzy :crazy:

par **Ogu** » **15 Juin 2008 19:31**

Oui, s'il y avait des fichiers malsains actifs au point que Comodo s'en aperçoive, on les aurait repérés.

Comodo ne dispose-t-il pas d'un Mode Learning pour son HIPS intégré?

Visiblement non après vérif' !!

Tuto de Malekal

Leur forum est je crois très actif, n'hésite pas à y aller. De plus de nombreux membres de Zebulon connaissent bien ce pare-feu, n'hésite pas à aller grapiller des infos là-bas.

par **fuzzystone** » **15 Juin 2008 20:48**

OK, je aller y faire un tour. Mais d'abord, je crois que je vais faire relâche pendant quelques jours.

Merci encore pour tout, Ogu, tu n'as pas économisé ta peine pour m'aider et j'ai appris beaucoup de choses avec toi. J'apprécie ton engagement.

Comme lorsqu'on sort de chez le médecin, on hésite à dire à bientôt ou au revoir. Je te dis donc simplement bon vent!

Fuzzy :-D

par **Ogu** » **15 Juin 2008 20:56**

Repasse quand tu veux! Ne mords pas trop à l'hameçon de la sécurité informatique, c'est assez addictif comme discipline!

A+.

Infection avec pop-ups sur IE7

Re: Infection avec pop-ups sur IE7

Re: Infection avec pop-ups sur IE7

Re: Infection avec pop-ups sur IE7

Re: Infection avec pop-ups sur IE7

Re: Infection avec pop-ups sur IE7

Re: Infection avec pop-ups sur IE7

Re: Infection avec pop-ups sur IE7

Re: Infection avec pop-ups sur IE7

Re: Infection avec pop-ups sur IE7

Re: Infection avec pop-ups sur IE7

Re: Infection avec pop-ups sur IE7

Re: Infection avec pop-ups sur IE7

Re: Infection avec pop-ups sur IE7

Re: Infection avec pop-ups sur IE7

Re: Infection avec pop-ups sur IE7

Re: Infection avec pop-ups sur IE7

Re: Infection avec pop-ups sur IE7

Re: Infection avec pop-ups sur IE7

Qui est en ligne