Libellules.ch - forum d'informatique • rapport DiagHelp et log Hijackthis : Désinfections et demandes d'analyse

par **Choupinou** » 12 Jan 2008 22:03

Bonjour a tous!

Voila en attendant ma new machine ^^ mes parents mon refiler leurs pc portable (bien plus puissant que celui dont je disposer avant

) , mais voila comme defense mon pere avait mis Avast j'ai donc installer antivir et jetico mais je suis presque sur qu'il y ait des virus ^^ (juste a l'ouverture du disque dur il y a vait 2 fichier sous word quiq n'avait rien a fair ici j'en ai selectionner 1 et antivir ma sonner un trojan ^^)

voici les rapport :

DiagHelp version v1.4 - http://www.malekal.com
excute le 12/01/2008 à 21:42:01,39

Liste des derniers fichies modifies/crees dans windir\system32 et prefetch
C:\WINDOWS\prefetch\SLRUNDLL.EXE-0A50E51B.pf -->12/01/2008 21:23:20
C:\WINDOWS\prefetch\POLLINGMODULE.EXE-2C738EAB.pf -->12/01/2008 21:23:06
C:\WINDOWS\prefetch\ALERTM~1.EXE-1C0AE839.pf -->12/01/2008 21:23:06
C:\WINDOWS\prefetch\TOASTER.EXE-1CBF7015.pf -->12/01/2008 21:23:05
C:\WINDOWS\prefetch\INACTIVITY.EXE-054B684A.pf -->12/01/2008 21:23:05
C:\WINDOWS\prefetch\SHELL.EXE-3189A993.pf -->12/01/2008 21:22:58
C:\WINDOWS\prefetch\NET.EXE-171DB0D9.pf -->12/01/2008 21:22:58
C:\WINDOWS\prefetch\GESTMAJ.EXE-2B68B2D2.pf -->12/01/2008 21:22:49
C:\WINDOWS\prefetch\WMIPRVSE.EXE-28F301A9.pf -->12/01/2008 21:22:21
C:\WINDOWS\prefetch\ALG.EXE-0F138680.pf -->12/01/2008 21:21:50

C:\WINDOWS\System32\drivers\avipbb.sys -->12/01/2008 20:21:30
C:\WINDOWS\System32\drivers\Adtc56.sys -->05/12/2007 11:08:08
C:\WINDOWS\System32\drivers\aswRdr.sys -->04/12/2007 15:53:39
C:\WINDOWS\System32\drivers\symavc32.sys -->01/11/2007 00:47:12
C:\WINDOWS\System32\drivers\Uaje25.sys -->31/10/2007 22:41:24
C:\WINDOWS\System32\drivers\avgntdd.sys -->09/08/2007 13:04:11
C:\WINDOWS\System32\drivers\avgntmgr.sys -->18/07/2007 14:22:19

C:\WINDOWS\System32\wpa.dbl -->12/01/2008 21:18:37
C:\WINDOWS\System32\87354753411123211122534452667798.data -->12/01/2008 21:10:52
C:\WINDOWS\System32\CONFIG.NT -->12/01/2008 20:16:41
C:\WINDOWS\System32\lvcoinst.log -->22/12/2007 20:52:42
C:\WINDOWS\System32\aswBoot.exe -->04/12/2007 14:04:28
C:\WINDOWS\System32\QuickTimeVR.qtx -->14/11/2007 23:43:22
C:\WINDOWS\System32\QuickTime.qts -->14/11/2007 23:43:22
C:\WINDOWS\System32\87354753411123211122534452667798.log -->11/11/2007 11:25:18
C:\WINDOWS\System32\perfh00C.dat -->10/11/2007 12:12:42
C:\WINDOWS\System32\perfh009.dat -->10/11/2007 12:12:42
C:\WINDOWS\System32\perfc00C.dat -->10/11/2007 12:12:42
C:\WINDOWS\System32\perfc009.dat -->10/11/2007 12:12:42
C:\WINDOWS\System32\PerfStringBackup.INI -->10/11/2007 12:12:41
C:\WINDOWS\System32\toijwiv -->01/11/2007 21:38:11
C:\WINDOWS\System32\RunOnce3.tmp -->01/11/2007 10:11:47
C:\WINDOWS\System32\RunOnce3.t__ -->01/11/2007 00:46:53
C:\WINDOWS\System32\update288.exe -->01/11/2007 00:46:52
C:\WINDOWS\System32\update285.exe -->01/11/2007 00:46:33
C:\WINDOWS\System32\update289.exe -->31/10/2007 23:09:33
C:\WINDOWS\System32\0_exception.nls -->31/10/2007 22:45:28
C:\WINDOWS\System32\ofiseifw.tmp -->31/10/2007 22:42:22
C:\WINDOWS\System32\update306.exe -->31/10/2007 22:41:44
C:\WINDOWS\System32\rmoc3260.dll -->30/08/2007 16:16:40
C:\WINDOWS\System32\pndx5032.dll -->30/08/2007 16:16:14
C:\WINDOWS\System32\pndx5016.dll -->30/08/2007 16:16:14

C:\WINDOWS\0.log -->12/01/2008 21:21:29
C:\WINDOWS\WindowsUpdate.log -->12/01/2008 21:20:07
C:\WINDOWS\QTFont.qfn -->12/01/2008 21:19:43
C:\WINDOWS\wiadebug.log -->12/01/2008 21:18:52
C:\WINDOWS\wiaservc.log -->12/01/2008 21:18:51
C:\WINDOWS\bootstat.dat -->12/01/2008 21:18:09
C:\WINDOWS\SchedLgU.Txt -->12/01/2008 21:17:11
C:\WINDOWS\setupapi.log -->12/01/2008 21:08:24
C:\WINDOWS\_delis32.ini -->12/01/2008 21:08:01
C:\WINDOWS\QTFont.for -->12/01/2008 21:02:03
C:\WINDOWS\DPINST.LOG -->12/01/2008 20:42:17
C:\WINDOWS\kit.ini -->12/01/2008 19:56:48
C:\WINDOWS\setupact.log -->12/01/2008 19:42:15
C:\WINDOWS\OEWABLog.txt -->12/01/2008 18:22:58
C:\WINDOWS\wmsetup.log -->12/01/2008 18:22:57

winlogon.exe
Verified: Signed
svchost.exe
Verified: Signed
ws2_32.dll
Verified: Signed
user32.dll
Verified: Signed
tcpip.sys
Verified: Signed
ndis.sys
Verified: Signed
null.sys
Verified: Signed

ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - http://www.sysinternals.com

------------------------------------------------------------------------------
explorer.exe pid: 208
Command line: C:\WINDOWS\Explorer.EXE

Base Size Version Path
0x76f80000 0x7f000 2001.12.4414.0258 C:\WINDOWS\system32\CLBCATQ.DLL
0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll
0x76ac0000 0x11000 3.05.2284.0000 C:\WINDOWS\system32\ATL.DLL
0x7d200000 0x2b2000 3.00.3790.2180 C:\WINDOWS\system32\msi.dll
0x10000000 0x7000 1.00.0000.0001 C:\PROGRA~1\Wanadoo\Inactivity.dll
0x012c0000 0x1c000 7.00.0000.0000 C:\Program Files\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll
0x01ba0000 0x37000 3.00.0000.2082 C:\WINDOWS\system32\igfxpph.dll
0x01be0000 0x1e000 3.00.0000.2082 C:\WINDOWS\system32\hccutils.DLL
0x01c10000 0x28000 3.00.0000.2082 C:\WINDOWS\system32\igfxres.dll
0x01c50000 0x50000 3.00.0000.2082 C:\WINDOWS\system32\igfxsrvc.dll
0x01cb0000 0x26000 3.00.0000.2082 C:\WINDOWS\system32\igfxdev.dll
0x74730000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll
0x01f50000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll
0x00b20000 0x2e000 C:\Program Files\WinRAR\rarext.dll
0x01240000 0x2a000 7.05.0001.0036 C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\context.dll
0x00b80000 0x11000 7.00.0000.0010 C:\Program Files\Avira\AntiVir PersonalEdition Classic\shlext.dll
0x7c250000 0x102000 7.10.3077.0000 C:\Program Files\Avira\AntiVir PersonalEdition Classic\MFC71U.DLL
0x018f0000 0x56000 7.10.3052.0004 C:\Program Files\Avira\AntiVir PersonalEdition Classic\MSVCR71.dll
0x01730000 0x13000 7.05.0001.0036 C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\shellexecutehook.dll
0x01210000 0xd000 7.00.0009.0050 C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - http://www.sysinternals.com

------------------------------------------------------------------------------
winlogon.exe pid: 484
Command line: winlogon.exe

Base Size Version Path
0x01000000 0x81000 \??\C:\WINDOWS\system32\winlogon.exe
0x74730000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll
0x20000000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll
0x76ac0000 0x11000 3.05.2284.0000 C:\WINDOWS\system32\ATL.DLL
0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll
0x76f80000 0x7f000 2001.12.4414.0258 C:\WINDOWS\system32\CLBCATQ.DLL

Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 44E3-889D

Répertoire de C:\WINDOWS\temp

20/12/2007 11:27 40 960 rtdrvmon.exe
1 fichier(s) 40 960 octets
0 Rép(s) 31 401 750 528 octets libres

Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 44E3-889D

Répertoire de C:\WINDOWS\system32

02/03/2006 13:00 6 144 csrss.exe
1 fichier(s) 6 144 octets
0 Rép(s) 31 401 750 528 octets libres

Contenu de Downloaded Program Files
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 44E3-889D

Répertoire de C:\WINDOWS\Downloaded Program Files

10/01/2008 18:04 <REP> .
10/01/2008 18:04 <REP> ..
18/08/2007 12:58 65 desktop.ini
25/07/2002 17:13 24 576 dwusplay.dll
25/07/2002 17:13 196 608 dwusplay.exe
25/07/2002 17:05 172 032 isusweb.dll
14/02/2007 16:30 144 setup.inf
5 fichier(s) 393 425 octets

Total des fichiers listés :
5 fichier(s) 393 425 octets
2 Rép(s) 31 401 750 528 octets libres

Recherche de rootkit! (Merci S!Ri)

Recherche d'infections connues

Export des clefs sensibles..

Liste des fichiers en exception sur le pare-feu XP SP2

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\WINDOWS\\system32\\LEXPPS.EXE"="C:\\WINDOWS\\system32\\LEXPPS.EXE:*:Disabled:LEXPPS.EXE"
"C:\\Program Files\\MSN Messenger\\msncall.exe"="C:\\Program Files\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"
"C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\\Documents and Settings\\JF\\Bureau\\cerhost2.exe"="C:\\Documents and Settings\\JF\\Bureau\\cerhost2.exe:*:Enabled:cerhost2"
"C:\\Documents and Settings\\Muriel\\Bureau\\cerhost2.exe"="C:\\Documents and Settings\\Muriel\\Bureau\\cerhost2.exe:*:Enabled:cerhost2"
"C:\\WINDOWS\\system32\\taskmgr.exe"="C:\\WINDOWS\\system32\\taskmgr.exe:*:Disabled:Gestionnaire des tâches de Windows"
"C:\\Program Files\\Wanadoo\\WOOBrowser\\WOOBrowser.exe"="C:\\Program Files\\Wanadoo\\WOOBrowser\\WOOBrowser.exe:*:Enabled:Navigateur Internet"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\\Program Files\\iTunes\\iTunes.exe"="C:\\Program Files\\iTunes\\iTunes.exe:*:Enabled:iTunes"

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\MSN Messenger\\msncall.exe"="C:\\Program Files\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

Export de la clef SharedTaskScheduler

[SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

exports des policies
REGEDIT4

[system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

Export des clefs sensibles..
Rechercher adresses sensibles dans le fichier HOSTS...
catchme 0.3.1319 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-12 21:43:18
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden services: 0
hidden files: 0

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (http://www.security.org.sg)

Process list by traversal of KiWaitListHead

4 - System
208 - explorer.exe
440 - sched.exe
456 - csrss.exe
464 - AppleMobileDevi
484 - winlogon.exe
524 - guard.exe
656 - services.exe
668 - lsass.exe
684 - slserv.exe
900 - svchost.exe
936 - svchost.exe
1064 - svchost.exe
1280 - avgnt.exe
1344 - avgas.exe
1352 - TaskBarIcon.exe
1368 - iTunesHelper.ex
1624 - avguard.exe
2708 - iPodService.exe
2904 - GestionnaireInt
3120 - cmd.exe
3128 - ComComp.exe
3188 - firefox.exe
3264 - Toaster.exe
3272 - Inactivity.exe
3280 - PollingModule.e
3400 - ALERTM~1.EXE
3580 - alg.exe
3648 - Watch.exe

Total number of processes = 29
NOTE: Under WinXP, this will not show all processes.

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (http://www.security.org.sg)

Driver/Module list by traversal of PsLoadedModuleList

804D7000 - \WINDOWS\system32\ntoskrnl.exe
806EC000 - \WINDOWS\system32\hal.dll
F9A28000 - \WINDOWS\system32\KDCOM.DLL
F9938000 - \WINDOWS\system32\BOOTVID.dll
F94D8000 - ACPI.sys
F9A2A000 - \WINDOWS\system32\DRIVERS\WMILIB.SYS
F94C7000 - pci.sys
F9528000 - isapnp.sys
F993C000 - compbatt.sys
F9940000 - \WINDOWS\system32\DRIVERS\BATTC.SYS
F9AF0000 - pciide.sys
F97A8000 - \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
F9A2C000 - intelide.sys
F9538000 - MountMgr.sys
F94A8000 - ftdisk.sys
F9944000 - ACPIEC.sys
F9AF1000 - \WINDOWS\system32\DRIVERS\OPRGHDLR.SYS
F97B0000 - PartMgr.sys
F9548000 - VolSnap.sys
F9490000 - atapi.sys
F9558000 - disk.sys
F9568000 - \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
F9471000 - fltMgr.sys
F945A000 - KSecDD.sys
F93CD000 - Ntfs.sys
F93A0000 - NDIS.sys
F9385000 - Mup.sys
F9638000 - \SystemRoot\system32\DRIVERS\intelppm.sys
F9326000 - \SystemRoot\system32\DRIVERS\ialmnt5.sys
F9312000 - \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
F97D8000 - \SystemRoot\system32\DRIVERS\usbuhci.sys
F92EF000 - \SystemRoot\system32\DRIVERS\USBPORT.SYS
F97E0000 - \SystemRoot\system32\DRIVERS\usbehci.sys
F9648000 - \SystemRoot\system32\DRIVERS\i8042prt.sys
F97E8000 - \SystemRoot\system32\DRIVERS\kbdclass.sys
F97F0000 - \SystemRoot\system32\DRIVERS\mouclass.sys
F92DB000 - \SystemRoot\system32\DRIVERS\parport.sys
F9658000 - \SystemRoot\system32\DRIVERS\imapi.sys
F9668000 - \SystemRoot\system32\DRIVERS\cdrom.sys
F9678000 - \SystemRoot\system32\DRIVERS\redbook.sys
F92B8000 - \SystemRoot\system32\DRIVERS\ks.sys
F97F8000 - \SystemRoot\System32\Drivers\GEARAspiWDM.sys
F9286000 - \SystemRoot\system32\drivers\viaudios.sys
F9262000 - \SystemRoot\system32\drivers\portcls.sys
F9688000 - \SystemRoot\system32\drivers\drmk.sys
F9212000 - \SystemRoot\system32\DRIVERS\slntamr.sys
F9800000 - \SystemRoot\system32\DRIVERS\SlWdmSup.sys
F8E16000 - \SystemRoot\system32\DRIVERS\Mtlmnt5.sys
F9808000 - \SystemRoot\System32\Drivers\Modem.SYS
F99F0000 - \SystemRoot\system32\DRIVERS\CmBatt.sys
F9C20000 - \SystemRoot\system32\DRIVERS\audstub.sys
F96A8000 - \SystemRoot\system32\DRIVERS\rasl2tp.sys
F99F4000 - \SystemRoot\system32\DRIVERS\ndistapi.sys
F8DFF000 - \SystemRoot\system32\DRIVERS\ndiswan.sys
F96B8000 - \SystemRoot\system32\DRIVERS\raspppoe.sys
F96C8000 - \SystemRoot\system32\DRIVERS\raspptp.sys
F9810000 - \SystemRoot\system32\DRIVERS\TDI.SYS
F8DEE000 - \SystemRoot\system32\DRIVERS\psched.sys
F96D8000 - \SystemRoot\system32\DRIVERS\msgpc.sys
F9818000 - \SystemRoot\system32\DRIVERS\ptilink.sys
F9820000 - \SystemRoot\system32\DRIVERS\raspti.sys
F96E8000 - \SystemRoot\system32\DRIVERS\termdd.sys
F9A3C000 - \SystemRoot\system32\DRIVERS\swenum.sys
F8DBA000 - \SystemRoot\system32\DRIVERS\update.sys
F99FC000 - \SystemRoot\system32\DRIVERS\mssmbios.sys
F9A0C000 - \SystemRoot\system32\drivers\MODEMCSA.sys
F96F8000 - \SystemRoot\System32\Drivers\NDProxy.SYS
F0CD6000 - \SystemRoot\system32\drivers\ialmkchw.sys
F0CBA000 - \SystemRoot\system32\drivers\ialmsbw.sys
F9718000 - \SystemRoot\system32\DRIVERS\usbhub.sys
F9A3E000 - \SystemRoot\system32\DRIVERS\USBD.SYS
F9728000 - \SystemRoot\system32\drivers\A310.sys
F9349000 - \SystemRoot\System32\Drivers\bc_ngn.SYS
F9738000 - \SystemRoot\system32\drivers\A311.sys
F9840000 - \SystemRoot\System32\Drivers\bc_filter.SYS
F9850000 - \SystemRoot\System32\Drivers\bc_ip_f.SYS
F99B8000 - \SystemRoot\system32\DRIVERS\hidusb.sys
F9768000 - \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
F9858000 - \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
F9A44000 - \SystemRoot\System32\Drivers\bc_pat_f.SYS
F9A48000 - \SystemRoot\System32\Drivers\bc_prt_f.SYS
F99C4000 - \SystemRoot\System32\Drivers\bc_tdi_f.SYS
F9A4A000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS
F9B18000 - \SystemRoot\System32\Drivers\Null.SYS
F9A4C000 - \SystemRoot\System32\Drivers\Beep.SYS
F9B1A000 - \SystemRoot\System32\DRIVERS\AvgAsCln.sys
F9868000 - \SystemRoot\System32\drivers\vga.sys
F9A4E000 - \SystemRoot\System32\Drivers\mnmdd.SYS
F9A50000 - \SystemRoot\System32\DRIVERS\RDPCDD.sys
F9870000 - \SystemRoot\System32\Drivers\Msfs.SYS
F9878000 - \SystemRoot\System32\Drivers\Npfs.SYS
F99D0000 - \SystemRoot\system32\DRIVERS\rasacd.sys
F0BBA000 - \SystemRoot\system32\DRIVERS\ipsec.sys
F0B62000 - \SystemRoot\system32\DRIVERS\tcpip.sys
F9778000 - \SystemRoot\System32\Drivers\bcftdi.SYS
F0B41000 - \SystemRoot\system32\DRIVERS\ipnat.sys
F9788000 - \SystemRoot\system32\DRIVERS\wanarp.sys
F0B19000 - \SystemRoot\system32\DRIVERS\netbt.sys
F0AF7000 - \SystemRoot\System32\drivers\afd.sys
F9798000 - \SystemRoot\system32\DRIVERS\netbios.sys
F9888000 - \SystemRoot\system32\DRIVERS\ssmdrv.sys
F0AA3000 - \SystemRoot\system32\DRIVERS\rdbss.sys
F0A34000 - \SystemRoot\system32\DRIVERS\mrxsmb.sys
F9598000 - \SystemRoot\System32\Drivers\Fips.SYS
F95A8000 - \SystemRoot\system32\DRIVERS\avipbb.sys
F9A54000 - \??\C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgio.sys
F9B3C000 - \??\C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.sys
F0931000 - \SystemRoot\system32\DRIVERS\WlanBZXP.sys
F8D8A000 - \SystemRoot\system32\DRIVERS\mouhid.sys
F95E8000 - \SystemRoot\System32\Drivers\Cdfs.SYS
F08F1000 - \SystemRoot\System32\Drivers\dump_atapi.sys
F9A66000 - \SystemRoot\System32\Drivers\dump_WMILIB.SYS
BF800000 - \SystemRoot\System32\win32k.sys
F98A8000 - \SystemRoot\System32\watchdog.sys
F99C0000 - \SystemRoot\System32\drivers\Dxapi.sys
BF9C1000 - \SystemRoot\System32\drivers\dxg.sys
F9B91000 - \SystemRoot\System32\drivers\dxgthk.sys
BF9E0000 - \SystemRoot\System32\ialmdnt5.dll
BF9D3000 - \SystemRoot\System32\ialmrnt5.dll
BFA02000 - \SystemRoot\System32\ialmdev5.DLL
BFA32000 - \SystemRoot\System32\ialmdd5.DLL
F07E2000 - \SystemRoot\system32\DRIVERS\ndisuio.sys
F0451000 - \SystemRoot\system32\DRIVERS\mrxdav.sys
F03EC000 - \SystemRoot\system32\drivers\wdmaud.sys
F0566000 - \SystemRoot\system32\drivers\sysaudio.sys
F01F4000 - \??\C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgntflt.sys
F9A56000 - \SystemRoot\System32\Drivers\ParVdm.SYS
EFEA9000 - \SystemRoot\system32\DRIVERS\srv.sys
BFFA0000 - \SystemRoot\System32\ATMFD.DLL
EFBE8000 - \SystemRoot\System32\Drivers\HTTP.sys
F98B8000 - \SystemRoot\System32\Drivers\ZDPSp50.sys
EFAC6000 - \??\C:\WINDOWS\system32\PCANDIS5.SYS
EF822000 - \SystemRoot\system32\drivers\kmixer.sys
F9BD0000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys

Total number of drivers = 134

Liste des programmes installes

Adobe Reader 7.0.9 - Français
Adobe Shockwave Player
Apple Mobile Device Support
Apple Software Update
Archiveur WinRAR
AVG Anti-Spyware 7.5
Avira AntiVir PersonalEdition Classic
Generic 3-in-1 USB Card Reader Driver v1.8b
Gestionnaire Internet
Google Earth
Hotfix for Windows XP (KB909394)
Intel(R) Extreme Graphics Driver
iTunes
Jetico Personal Firewall 1.0
livebox
livebox
MFCDLL Shared Library - Retail Version
Microsoft (R) C Runtime Library
Microsoft (R) C++ Runtime Library
Microsoft Office 2000 Premium
Mise à jour pour Windows XP (KB911164)
Mozilla Firefox (2.0.0.9)
MSXML 3.0
Navigateur Orange
Office Mouse Driver
QuickTime
RealPlayer
Sagem Wi-Fi 11g USB adapter (driver)
Sagem Wi-Fi 11g USB adapter (utility)
Smart Link 56K Modem
VIA Audio Driver Setup Program
VideoLAN VLC media player 0.8.6d
WebFldrs XP
Windows Live Messenger
Windows Live Sign-in Assistant

Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 44E3-889D

Répertoire de C:\Program Files

12/01/2008 21:28 <REP> .
12/01/2008 21:28 <REP> ..
23/08/2007 19:00 <REP> ABBYY FineReader 6.0
30/08/2007 11:06 <REP> Adobe
01/11/2007 00:22 <REP> Alwil Software
12/01/2008 20:55 <REP> Apple Software Update
12/01/2008 20:18 <REP> Avira
18/08/2007 12:56 <REP> ComPlus Applications
12/01/2008 20:54 <REP> Fichiers communs
18/08/2007 14:38 <REP> Generic
27/10/2007 09:59 <REP> Google
12/01/2008 20:39 <REP> Grisoft
18/08/2007 14:39 <REP> Intel
22/08/2007 21:44 <REP> Internet Explorer
12/01/2008 21:00 <REP> iPod
12/01/2008 21:05 <REP> iTunes
12/01/2008 21:26 <REP> Jetico
23/08/2007 19:15 <REP> microsoft frontpage
23/08/2007 19:15 <REP> Microsoft Office
23/08/2007 19:20 <REP> Microsoft Visual Studio
18/08/2007 12:57 <REP> Movie Maker
12/01/2008 21:29 <REP> Mozilla Firefox
04/12/2007 20:18 <REP> MSN
18/08/2007 12:54 <REP> MSN Gaming Zone
12/01/2008 20:41 <REP> MSN Messenger
18/08/2007 12:57 <REP> NetMeeting
29/12/2007 18:02 <REP> Office Mouse Driver
18/08/2007 12:55 <REP> Online Services
18/08/2007 12:57 <REP> Outlook Express
12/01/2008 20:59 <REP> QuickTime
30/08/2007 16:15 <REP> Real
22/08/2007 21:39 <REP> SAGEM
12/01/2008 19:53 <REP> SAGEM WiFi manager
22/08/2007 21:38 <REP> Securitoo
18/08/2007 12:58 <REP> Services en ligne
18/08/2007 14:33 <REP> VIA Technologies, Inc
12/01/2008 20:39 <REP> VideoLAN
12/01/2008 21:23 <REP> Wanadoo
18/08/2007 13:00 <REP> Windows Media Player
18/08/2007 12:54 <REP> Windows NT
12/01/2008 21:29 <REP> WinRAR
18/08/2007 13:01 <REP> xerox
0 fichier(s) 0 octets
42 Rép(s) 31 401 246 720 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 44E3-889D

Répertoire de C:\Program Files\fichiers communs

12/01/2008 20:54 <REP> .
12/01/2008 20:54 <REP> ..
05/09/2007 16:04 <REP> Adobe
12/01/2008 20:54 <REP> Apple
23/08/2007 19:04 <REP> Cisco Systems
23/08/2007 19:20 <REP> Designer
20/12/2007 16:31 <REP> InstallShield
12/01/2008 21:08 <REP> Labtec
12/01/2008 20:41 <REP> Microsoft Shared
18/08/2007 12:57 <REP> MSSoap
18/08/2007 14:47 <REP> ODBC
30/08/2007 16:16 <REP> Real
18/08/2007 12:57 <REP> Services
18/08/2007 14:46 <REP> SpeechEngines
23/08/2007 19:20 <REP> System
30/08/2007 16:16 <REP> xing shared
0 fichier(s) 0 octets
16 Rép(s) 31 401 246 720 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 44E3-889D

Répertoire de C:\Program Files\fichiers communs\Microsoft Shared\Web Folders

21/10/2007 19:50 <REP> .
21/10/2007 19:50 <REP> ..
18/05/2001 14:57 561 209 MSONSEXT.DLL
03/06/1999 11:09 122 937 MSOWS409.DLL
07/03/2001 06:00 127 033 MSOWS40c.DLL
18/03/1999 05:37 593 977 RAGENT.DLL
4 fichier(s) 1 405 156 octets
2 Rép(s) 31 401 246 720 octets libres

c:\Documents and Settings\All Users\Application Data\Apple Computer\Installer Cache\iTunes 7.5.0.20\iTunesSetupAdmin.exe
c:\Documents and Settings\All Users\Documents\Dossier partagé Divers\evadeo gps\Mise a jour 2 03 07\evadeo_update_2602035_to_2602093.exe
c:\Documents and Settings\Choupinou\Application Data\U3\temp\cleanup.exe
c:\Documents and Settings\Choupinou\Bureau\HiJackThis.exe
c:\Documents and Settings\Choupinou\Bureau\DiagHelp\catchme.exe
c:\Documents and Settings\Choupinou\Bureau\DiagHelp\diff.exe
c:\Documents and Settings\Choupinou\Bureau\DiagHelp\dumphive.exe
c:\Documents and Settings\Choupinou\Bureau\DiagHelp\FilesInfoCmd.exe
c:\Documents and Settings\Choupinou\Bureau\DiagHelp\find2.exe
c:\Documents and Settings\Choupinou\Bureau\DiagHelp\Fport.exe
c:\Documents and Settings\Choupinou\Bureau\DiagHelp\grep.exe
c:\Documents and Settings\Choupinou\Bureau\DiagHelp\gzip.exe
c:\Documents and Settings\Choupinou\Bureau\DiagHelp\KProcCheck.exe
c:\Documents and Settings\Choupinou\Bureau\DiagHelp\LFiles.exe
c:\Documents and Settings\Choupinou\Bureau\DiagHelp\LISTDLLS.exe
c:\Documents and Settings\Choupinou\Bureau\DiagHelp\md5sums.exe
c:\Documents and Settings\Choupinou\Bureau\DiagHelp\pslist.exe
c:\Documents and Settings\Choupinou\Bureau\DiagHelp\sigcheck.exe
c:\Documents and Settings\Choupinou\Bureau\DiagHelp\streams.exe
c:\Documents and Settings\Choupinou\Bureau\DiagHelp\swreg.exe
c:\Documents and Settings\Choupinou\Bureau\DiagHelp\tar.exe
c:\Documents and Settings\Choupinou\Bureau\Java\jre1.5.0_09\bin\java.exe
c:\Documents and Settings\Choupinou\Bureau\Java\jre1.5.0_09\bin\javacpl.exe
c:\Documents and Settings\Choupinou\Bureau\Java\jre1.5.0_09\bin\javaw.exe
c:\Documents and Settings\Choupinou\Bureau\Java\jre1.5.0_09\bin\javaws.exe
c:\Documents and Settings\Choupinou\Bureau\Java\jre1.5.0_09\bin\jucheck.exe
c:\Documents and Settings\Choupinou\Bureau\Java\jre1.5.0_09\bin\jusched.exe
c:\Documents and Settings\Choupinou\Bureau\Java\jre1.5.0_09\bin\keytool.exe
c:\Documents and Settings\Choupinou\Bureau\Java\jre1.5.0_09\bin\kinit.exe
c:\Documents and Settings\Choupinou\Bureau\Java\jre1.5.0_09\bin\klist.exe
c:\Documents and Settings\Choupinou\Bureau\Java\jre1.5.0_09\bin\ktab.exe
c:\Documents and Settings\Choupinou\Bureau\Java\jre1.5.0_09\bin\orbd.exe
c:\Documents and Settings\Choupinou\Bureau\Java\jre1.5.0_09\bin\pack200.exe
c:\Documents and Settings\Choupinou\Bureau\Java\jre1.5.0_09\bin\policytool.exe
c:\Documents and Settings\Choupinou\Bureau\Java\jre1.5.0_09\bin\rmid.exe
c:\Documents and Settings\Choupinou\Bureau\Java\jre1.5.0_09\bin\rmiregistry.exe
c:\Documents and Settings\Choupinou\Bureau\Java\jre1.5.0_09\bin\servertool.exe
c:\Documents and Settings\Choupinou\Bureau\Java\jre1.5.0_09\bin\tnameserv.exe
c:\Documents and Settings\Choupinou\Bureau\Java\jre1.5.0_09\bin\unpack200.exe
c:\Documents and Settings\Choupinou\Bureau\Java\jre1.6.0_03\bin\java.exe
c:\Documents and Settings\Choupinou\Bureau\Java\jre1.6.0_03\bin\javacpl.exe
c:\Documents and Settings\Choupinou\Bureau\Java\jre1.6.0_03\bin\java-rmi.exe
c:\Documents and Settings\Choupinou\Bureau\Java\jre1.6.0_03\bin\javaw.exe
c:\Documents and Settings\Choupinou\Bureau\Java\jre1.6.0_03\bin\javaws.exe
c:\Documents and Settings\Choupinou\Bureau\Java\jre1.6.0_03\bin\jucheck.exe
c:\Documents and Settings\Choupinou\Bureau\Java\jre1.6.0_03\bin\jureg.exe
c:\Documents and Settings\Choupinou\Bureau\Java\jre1.6.0_03\bin\jusched.exe
c:\Documents and Settings\Choupinou\Bureau\Java\jre1.6.0_03\bin\keytool.exe
c:\Documents and Settings\Choupinou\Bureau\Java\jre1.6.0_03\bin\kinit.exe
c:\Documents and Settings\Choupinou\Bureau\Java\jre1.6.0_03\bin\klist.exe
c:\Documents and Settings\Choupinou\Bureau\Java\jre1.6.0_03\bin\ktab.exe
c:\Documents and Settings\Choupinou\Bureau\Java\jre1.6.0_03\bin\orbd.exe
c:\Documents and Settings\Choupinou\Bureau\Java\jre1.6.0_03\bin\pack200.exe
c:\Documents and Settings\Choupinou\Bureau\Java\jre1.6.0_03\bin\policytool.exe
c:\Documents and Settings\Choupinou\Bureau\Java\jre1.6.0_03\bin\rmid.exe
c:\Documents and Settings\Choupinou\Bureau\Java\jre1.6.0_03\bin\rmiregistry.exe
c:\Documents and Settings\Choupinou\Bureau\Java\jre1.6.0_03\bin\servertool.exe
c:\Documents and Settings\Choupinou\Bureau\Java\jre1.6.0_03\bin\tnameserv.exe
c:\Documents and Settings\Choupinou\Bureau\Java\jre1.6.0_03\bin\unpack200.exe
c:\Documents and Settings\Choupinou\Bureau\Yoann\Divers\Lime Wire PRO\Limewire Lime Wire Pro 4.12.3.exe
c:\Documents and Settings\Choupinou\Bureau\Yoann\dossier yoann\Install_Messenger.exe
c:\Documents and Settings\Choupinou\Bureau\Yoann\Sécurité\antivir-personal-edition-7_antivir_personal_edition_classic_7_7.06.00.270_anglais_10821.exe
c:\Documents and Settings\JF\Application Data\U3\temp\cleanup.exe
c:\Documents and Settings\JF\Bureau\cerhost2.exe
c:\Documents and Settings\JF\Bureau\JFM\anti virus\FixBmalE.exe
c:\Documents and Settings\JF\Bureau\JFM\anti virus\stinger.exe
c:\Documents and Settings\JF\Bureau\JFM\JFM1\Programme mis sur PC\google_earth_bzxd.exe
c:\Documents and Settings\JF\Bureau\JFM\JFM1\Programme mis sur PC\install_flash_player.exe
c:\Documents and Settings\JF\Bureau\JFM\JFM1\Programme mis sur PC\Install_Messenger.exe
c:\Documents and Settings\JF\Bureau\JFM\JFM1\Programme mis sur PC\quicktimeinstaller.exe
c:\Documents and Settings\JF\Bureau\JFM\JFM1\Programme mis sur PC\realplayer10-5gold_fr.exe
c:\Documents and Settings\JF\Local Settings\Temp\_isA3.exe
c:\Documents and Settings\JF\Local Settings\Temp\_isA4.exe
c:\Documents and Settings\JF\Local Settings\Temp\adgmwvu.exe
c:\Documents and Settings\JF\Local Settings\Temp\Install_Messenger.exe
c:\Documents and Settings\JF\Local Settings\Temp\rtdrvmon.exe
c:\Documents and Settings\JF\Local Settings\Temp\setup_wm.exe
c:\Documents and Settings\JF\Local Settings\Temp\TFR6.exe
c:\Documents and Settings\JF\Local Settings\Temp\winlogon.exe
c:\Documents and Settings\JF\Local Settings\Temp\TEInst\Setup.exe
c:\Documents and Settings\JF\Local Settings\Temp\TEInst\SkylineGlobeShell.exe
c:\Documents and Settings\JF\Local Settings\Temp\TEInst\TerraExplorer.exe
c:\Documents and Settings\JF\Local Settings\Temp\TEInst\teutil.exe
c:\Documents and Settings\JF\Local Settings\Temp\TEInst\Tools\PyramidTool\PyramidTool.exe
c:\Documents and Settings\JF\Local Settings\Temp\WMC0000.tmp\WMPAU.exe
c:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\4TQTK9E1\25319[1].exe
c:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\4TQTK9E1\abbaa[1].exe
c:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\4TQTK9E1\id4215[1].exe
c:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\4TQTK9E1\id4215[2].exe
c:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\4TQTK9E1\id4215[3].exe
c:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\4TQTK9E1\install333[1].exe
c:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\4TQTK9E1\install333[2].exe
c:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\4TQTK9E1\install333[3].exe
c:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\4TQTK9E1\packed_installer_cn[1].exe
c:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\4TQTK9E1\u_f1_v31_40[1].exe
c:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\4TQTK9E1\u_f1_v31_40[2].exe
c:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\4TQTK9E1\u_f1_v31_40[3].exe
c:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\K98FA5UJ\25319[1].exe
c:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\K98FA5UJ\25319[2].exe
c:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\K98FA5UJ\25319[3].exe
c:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\K98FA5UJ\are123[1].exe
c:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\K98FA5UJ\eaglenew[1].exe
c:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\K98FA5UJ\id4215[1].exe
c:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\K98FA5UJ\id4215[2].exe
c:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\K98FA5UJ\id4215[3].exe
c:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\K98FA5UJ\id4215[4].exe
c:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\K98FA5UJ\id4215[5].exe
c:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\K98FA5UJ\install333[1].exe
c:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\K98FA5UJ\u_f1_v31_40[1].exe
c:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\K98FA5UJ\u_f1_v31_40[2].exe
c:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\K98FA5UJ\u_f1_v31_40[3].exe
c:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\K98FA5UJ\u_f1_v31_40[4].exe
c:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\K98FA5UJ\u_f1_v31_40[5].exe
c:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\MFCRGFUP\25319[1].exe
c:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\MFCRGFUP\25319[2].exe
c:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\MFCRGFUP\25319[3].exe
c:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\MFCRGFUP\25319[4].exe
c:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\MFCRGFUP\25319[5].exe
c:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\MFCRGFUP\eaglenew[1].exe
c:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\MFCRGFUP\eaglenew[2].exe
c:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\MFCRGFUP\id4215[1].exe
c:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\MFCRGFUP\id4215[2].exe
c:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\MFCRGFUP\install333[1].exe
c:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\SDW92XQ7\25319[1].exe
c:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\SDW92XQ7\25319[2].exe
c:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\SDW92XQ7\25319[3].exe
c:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\SDW92XQ7\eaglenew[1].exe
c:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\SDW92XQ7\id4215[1].exe
c:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\SDW92XQ7\install333[1].exe
c:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\SDW92XQ7\u_f1_v31_40[1].exe
c:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\SDW92XQ7\u_f1_v31_40[2].exe
c:\Documents and Settings\Muriel\Application Data\Adobe\Acrobat\7.0\Updater\AdbeRdr709_fr_FR.exe
c:\Documents and Settings\Muriel\Bureau\cerhost2.exe
c:\Documents and Settings\Muriel\Local Settings\Temp\rtdrvmon.exe
c:\Documents and Settings\Propriétaire\Local Settings\Temp\ShowLogo.exe
c:\Documents and Settings\All Users\Application Data\Grisoft\AVG Anti-Spyware 7.5\Downloads\help.dll
c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\production\ppcrlconfig.dll

****** Fin du rapport DiagHelp
Veuillez svp envoyer le fichier C:\upload_moi_USER-58CE52D2BC.tar.gz a l'adresse http://upload.malekal.com

__________

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:49:32, on 12/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Wanadoo\GestionnaireInternet.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Choupinou\Bureau\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orange.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\i386kd.exe,
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [Disk Monitor] C:\Documents and Settings\JF\Disk_Monitor.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [JeticoPFStartup] "C:\Program Files\Jetico\Jetico Personal Firewall\fwsrv.exe"
O4 - HKCU\..\Run: [WOOKIT] C:\Program Files\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter.lnk = ?
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O18 - Filter hijack: text/html - {A8981DB9-B2B3-47D7-A890-9C9D9F4C5552} - C:\WINDOWS\mf22.tmp
O20 - Winlogon Notify: Sideori - C:\WINDOWS\SYSTEM32\Sideori.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

--
End of file - 5575 bytes

rapport Antivir :

3 virus trouver avec DiagHelp :
- TR\Dropper.gen ==> C:\Windows\system32\update288.exe }
- TR\Crypt.XDR.Gen ==> C:\Windows\system32\update285.exe }Mis en quarantaine
- BDS\Medbot.Gen ==> C:\Windows\system32\update289.exe }

rapport AVG :

4 spyware trouver avec diagHelp :
-Trojan.Inject.mf ==> C:\DOCUME~1\CHOUPI~1\Temp\krfgepxsE52D2BC.dll }
-Trojan.Inject.mf ==> C:\DOCUME~1\CHOUPI~1\Temp\krfgepxsE52D2BC.dll }pareil que antivir
-Trojan.Inject.mf ==> C:\DOCUME~1\CHOUPI~1\Temp\krfgepxsE52D2BC.dll }pareil que antivir
-Trojan.Inject.mf ==> C:\DOCUME~1\CHOUPI~1\Temp\krfgepxsE52D2BC.dll }

par **Falkra** » 12 Jan 2008 22:12

Bonsoir,

il y a bien des saletés.

Vire ça via HijackThis:
O18 - Filter hijack: text/html - {A8981DB9-B2B3-47D7-A890-9C9D9F4C5552} - C:\WINDOWS\mf22.tmp

Passe ce fichier à virustotal et poste le rapport (instructions si besoin), pas forcément net :
C:\WINDOWS\SYSTEM32\Sideori.dll

Demande à scanner par antivir, quarantaine si ça bippe trojan :
c:\winows\system32\drivers\symavc32.sys

par **Choupinou** » 12 Jan 2008 22:45

Vire ça via HijackThis:
O18 - Filter hijack: text/html - {A8981DB9-B2B3-47D7-A890-9C9D9F4C5552} - C:\WINDOWS\mf22.tmp

arffff il se supr bien mais revient aprés :S

Demande à scanner par antivir, quarantaine si ça bippe trojan :
c:\winows\system32\drivers\symavc32.sys

Virus or unwanted program 'TR/Rootkit.Gen [TR/Rootkit.Gen]'
detected in file 'C:\WINDOWS\system32\drivers\symavc32.sys.
Action performed: Move file to quarantine

Passe ce fichier à virustotal et poste le rapport (instructions si besoin), pas forcément net :
C:\WINDOWS\SYSTEM32\Sideori.dll

virustotal ?????

par **Falkra** » 12 Jan 2008 22:51

Pas grave s'il revient, il vient sans doute de se trahir... ;-)

VirusTotal est un service ne ligne, gratuit, qui permet de scanner un fichier qu'on uploade via une vingtaine d'antivirus différents, à jour, et on a un rapport généré, ave les résultats de chaque antivirus, et ils sont tous à jour. :-D

Pour la procédure virustotal :

Rends toi sur ce lien : Virus Total

Clique sur Parcourir
Rends toi jusque sur ce fichier si tu le trouves :

C:\WINDOWS\SYSTEM32\Sideori.dll

Clique sur Envoyer le fichier et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
Une nouvelle fenêtre de ton navigateur va apparaître
Clique alors sur cette image :
Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
Enfin colle le résultat dans ta prochaine réponse.
Note : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse.

Il est possible que tes outils de sécurité réagissent à l'envoi du fichier, en ce cas il te faudra ignorer les alertes.

par **Choupinou** » 12 Jan 2008 22:56

euh il le charge et aprés il me marque sa sur une page blanche :

0 bytes size received / Se ha recibido un archivo vacio

par **Falkra** » 12 Jan 2008 22:57

Ok, il est verrouillé. Je suppose qu'on ne peut pas le copier coller (dupliquer, pas déplacer surtout hein).

par **Choupinou** » 12 Jan 2008 22:58

non

comment vas ton fair ???

par **Falkra** » 12 Jan 2008 23:24

On va faire autrement, il y a plein de façons de faire. :-D

Un truc tout simple : (peut-être pour demain car long). Démarrer en mode sans échec pour faire un scan complet avec Antivir (préalablement remis à jour ce soir). Il tourne bien en mode sans échec. Mettre en quarantaine tout ce qu'il trouve et poster le rapport qu'il fera (section reports, récupérable après scan, après reboots, etc...).

Ca dégagera le terrain des principales scories.

par **Choupinou** » 12 Jan 2008 23:25

ok mais plutot demin ^^ donc merci et a demin vers 9 h

par **Choupinou** » 13 Jan 2008 10:41

voici le rapport du scan de antivir ^^:

AntiVir PersonalEdition Classic
Report file date: dimanche 13 janvier 2008 09:39

Scanning for 1027920 virus strains and unwanted programs.

Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows XP
Windows version: (Service Pack 2) [5.1.2600]
Username: Choupinou
Computer name: USER-58CE52D2BC

Version information:
BUILD.DAT : 270 15603 Bytes 19/09/2007 13:32:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 23/08/2007 13:16:29
AVSCAN.DLL : 7.0.6.0 49192 Bytes 16/08/2007 12:23:51
LUKE.DLL : 7.0.5.3 147496 Bytes 14/08/2007 15:32:47
LUKERES.DLL : 7.0.6.1 10280 Bytes 21/08/2007 12:35:20
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 14:27:15
ANTIVIR1.VDF : 7.0.1.95 3367424 Bytes 14/12/2007 19:21:28
ANTIVIR2.VDF : 7.0.1.205 620544 Bytes 08/01/2008 19:21:28
ANTIVIR3.VDF : 7.0.1.227 161280 Bytes 11/01/2008 19:21:28
AVEWIN32.DLL : 7.6.0.46 3084800 Bytes 12/01/2008 19:21:30
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 10:36:26
AVPREF.DLL : 7.0.2.2 25640 Bytes 18/07/2007 07:39:17
AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 13:16:24
AVPACK32.DLL : 7.6.0.2 360488 Bytes 12/01/2008 19:21:30
AVREG.DLL : 7.0.1.6 30760 Bytes 18/07/2007 07:17:06
AVARKT.DLL : 1.0.0.20 278568 Bytes 28/08/2007 12:26:33
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18/07/2007 07:10:18
NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 11:09:42
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07/08/2007 12:38:13
RCTEXT.DLL : 7.0.62.0 86056 Bytes 21/08/2007 12:50:37
SQLITE3.DLL : 3.3.17.1 339968 Bytes 23/07/2007 09:37:21

Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: off
Scan boot sector.................: on
Boot sectors.....................: C:,
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium

Start of the scan: dimanche 13 janvier 2008 09:39

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'guard.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
12 processes with 12 modules were scanned

Start scanning boot sectors:
Boot sector 'C:\'
[NOTE] No virus was found!

Starting to scan the registry.
C:\WINDOWS\system32\Sideori.dll
[WARNING] The file could not be opened!
The registry was scanned ( '31' files ).

Starting the file scan:

Begin scan in 'C:\'
C:\pagefile.sys
[WARNING] The file could not be opened!
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\4TQTK9E1\id4215[1].exe
[DETECTION] Is the Trojan horse TR/Crypt.XDR.Gen
[INFO] The file was moved to '47bdd0d3.qua'!
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\4TQTK9E1\id4215[2].exe
[DETECTION] Is the Trojan horse TR/Crypt.XDR.Gen
[INFO] The file was moved to '47bdd0d7.qua'!
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\4TQTK9E1\id4215[3].exe
[DETECTION] Is the Trojan horse TR/Crypt.XDR.Gen
[INFO] The file was moved to '47bdd0d9.qua'!
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\4TQTK9E1\u_f1_v31_40[1].exe
[DETECTION] Is the Trojan horse TR/Proxy.Agent.QT
[INFO] The file was moved to '47efd0d8.qua'!
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\4TQTK9E1\u_f1_v31_40[2].exe
[DETECTION] Is the Trojan horse TR/Proxy.Agent.QT
[INFO] The file was moved to '47efd0da.qua'!
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\4TQTK9E1\u_f1_v31_40[3].exe
[DETECTION] Is the Trojan horse TR/Proxy.Agent.QT
[INFO] The file was moved to '47efd0dc.qua'!
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\K98FA5UJ\are123[1].exe
[DETECTION] Is the Trojan horse TR/PSW.LdPinch.dvz
[INFO] The file was moved to '47eed0f1.qua'!
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\K98FA5UJ\id4215[1].exe
[DETECTION] Is the Trojan horse TR/Crypt.XDR.Gen
[INFO] The file was moved to '47bdd0e6.qua'!
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\K98FA5UJ\id4215[2].exe
[DETECTION] Is the Trojan horse TR/Crypt.XDR.Gen
[INFO] The file was moved to '47bdd0e8.qua'!
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\K98FA5UJ\id4215[3].exe
[DETECTION] Is the Trojan horse TR/Crypt.XDR.Gen
[INFO] The file was moved to '47bdd0e9.qua'!
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\K98FA5UJ\id4215[4].exe
[DETECTION] Is the Trojan horse TR/Crypt.XDR.Gen
[INFO] The file was moved to '47bdd0eb.qua'!
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\K98FA5UJ\id4215[5].exe
[DETECTION] Is the Trojan horse TR/Crypt.XDR.Gen
[INFO] The file was moved to '47bdd0ed.qua'!
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\K98FA5UJ\install333[1].exe
[DETECTION] Contains a detection pattern of the (dangerous) backdoor program BDS/Medbot.Gen Backdoor server programs
[INFO] The file was moved to '47fcd0fe.qua'!
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\K98FA5UJ\u_f1_v31_40[1].exe
[DETECTION] Is the Trojan horse TR/Proxy.Agent.QT
[INFO] The file was moved to '47efd0f2.qua'!
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\K98FA5UJ\u_f1_v31_40[2].exe
[DETECTION] Is the Trojan horse TR/Proxy.Agent.QT
[INFO] The file was moved to '47efd0f4.qua'!
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\K98FA5UJ\u_f1_v31_40[3].exe
[DETECTION] Is the Trojan horse TR/Proxy.Agent.QT
[INFO] The file was moved to '47efd0f6.qua'!
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\K98FA5UJ\u_f1_v31_40[4].exe
[DETECTION] Is the Trojan horse TR/Proxy.Agent.QT
[INFO] The file was moved to '47efd0f8.qua'!
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\K98FA5UJ\u_f1_v31_40[5].exe
[DETECTION] Is the Trojan horse TR/Proxy.Agent.QT
[INFO] The file was moved to '47efd0fa.qua'!
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\MFCRGFUP\25319[5].exe
[DETECTION] Is the Trojan horse TR/Dropper.Gen
[INFO] The file was moved to '47bcd0d3.qua'!
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\MFCRGFUP\id4215[1].exe
[DETECTION] Is the Trojan horse TR/Crypt.XDR.Gen
[INFO] The file was moved to '47bdd103.qua'!
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\MFCRGFUP\id4215[2].exe
[DETECTION] Is the Trojan horse TR/Crypt.XDR.Gen
[INFO] The file was moved to '47bdd105.qua'!
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\SDW92XQ7\25319[2].exe
[DETECTION] Is the Trojan horse TR/Dropper.Gen
[INFO] The file was moved to '47bcd0d8.qua'!
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\SDW92XQ7\id4215[1].exe
[DETECTION] Is the Trojan horse TR/Crypt.XDR.Gen
[INFO] The file was moved to '47bdd109.qua'!
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\SDW92XQ7\u_f1_v31_40[1].exe
[DETECTION] Is the Trojan horse TR/Proxy.Agent.QT
[INFO] The file was moved to '47efd106.qua'!
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\SDW92XQ7\u_f1_v31_40[2].exe
[DETECTION] Is the Trojan horse TR/Proxy.Agent.QT
[INFO] The file was moved to '47efd108.qua'!
C:\WINDOWS\system32\Sideori.dll
[WARNING] The file could not be opened!
C:\WINDOWS\system32\toijwiv
[DETECTION] Is the Trojan horse TR/Hijacker.Gen
[INFO] The file was deleted!
C:\WINDOWS\system32\drivers\Adtc56.sys
[DETECTION] Is the Trojan horse TR/Rootkit.Gen
[INFO] The file was deleted!
C:\WINDOWS\system32\drivers\Uaje25.sys
[DETECTION] Is the Trojan horse TR/Rootkit.Gen
[INFO] The file was deleted!

End of the scan: dimanche 13 janvier 2008 10:21
Used time: 42:48 min

The scan has been done completely.

3889 Scanning directories
115479 Files were scanned
28 viruses and/or unwanted programs were found
0 Files were classified as suspicious:
3 files were deleted
0 files were repaired
25 files were moved to quarantine
0 files were renamed
3 Files cannot be scanned
115451 Files not concerned
739 Archives were scanned
3 Warnings
0 Notes

---------------------------------------

C:\WINDOWS\system32\toijwiv
[DETECTION] Is the Trojan horse TR/Hijacker.Gen
[INFO] The file was deleted!
C:\WINDOWS\system32\drivers\Adtc56.sys
[DETECTION] Is the Trojan horse TR/Rootkit.Gen
[INFO] The file was deleted!
C:\WINDOWS\system32\drivers\Uaje25.sys
[DETECTION] Is the Trojan horse TR/Rootkit.Gen
[INFO] The file was deleted!

TR/Hijacker.Gen je suppose que c'est notre amis O18 du log Hijackthis ...

et j'ai supr les rootkit a tu le programme qui permet de restaurer les fichiers attaqués par ces virus ??????

et 3 pb a signaler apres le scanner :
-Au redemarage apres le mode sans echec ma session n'a apas voulus s'ouvrir :S j'ai du l'eteindre et le redemmarer

-Mon gestionnaire internet (orange) me marque un message d'erreur quand :
- il se lance automatiquement au demarage de ma session
- je veux le lancer a prtir du raccourci sur mon bureau

Mais j'ai reussit a le lancer a partir du menu demarrer :S

-le dernier le plus gros (c'est repartis pour un tour) :

13.01.2008 10:42:32 - Installation Directory: C:\Program Files\Avira\AntiVir PersonalEdition Classic\
13.01.2008 10:42:32 - Backup Directory: C:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\BACKUP\
13.01.2008 10:42:32 - Temp Directory: C:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\TEMP\AVUPDATE_4789dd08\
13.01.2008 10:42:32 - Start the Update GUI... Displaymode: 0

13.01.2008 10:42:32 - Installation Directory: C:\Program Files\Avira\AntiVir PersonalEdition Classic\
13.01.2008 10:42:32 - Backup Directory: C:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\BACKUP\
13.01.2008 10:42:32 - Temp Directory: C:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\TEMP\AVUPDATE_4789dd08\
13.01.2008 10:42:32 - Start the Update GUI... Displaymode: 0

13.01.2008 10:42:39 - Keyfile: OK [FULL Mode]

13.01.2008 10:42:39 - Avira AntiVir PersonalEdition Classic

13.01.2008 10:42:47 - Connection failed while downloading the file http://dl3.avgate.net/upd/idx/master.idx.
13.01.2008 10:42:47 - Switching to next update server
13.01.2008 10:42:47 - Connection failed while downloading the file http://dl6.avgate.net/upd/idx/master.idx.
13.01.2008 10:42:47 - Switching to next update server
13.01.2008 10:42:48 - Connection failed while downloading the file http://dl5.avgate.net/upd/idx/master.idx.
13.01.2008 10:42:48 - Switching to next update server
13.01.2008 10:42:48 - Connection failed while downloading the file http://dl1.avgate.net/upd/idx/master.idx.
13.01.2008 10:42:48 - Switching to next update server
13.01.2008 10:43:00 - Registry entry created successfully: Software\Avira\AntiVir PersonalEdition Classic |UpdateInProgress

13.01.2008 10:43:00 - Critical error: Connection failed while downloading the file http://dl2.avgate.net/upd/idx/master.idx.

par **Falkra** » 13 Jan 2008 14:23

Hé ben y'en a partout, espérons que tout ne revienne pas directement.
Rootkit, problème de mise à jour, on dirait Bagle, mais pas ses fichiers.

* Clique sur ce lien de navilog1 de IL-MAFIOSO :
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
* Enregistre le fichier sur ton bureau.
* Ensuite double clique sur navilog1.exe pour lancer l'installation.
* Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).
* Laisse-toi guider. Au menu principal, choisis 1 et valide.
(ne fais pas le choix 2,3 ou 4 sans accord)
* Cela dure un moment, attends le message :

*** Analyse Termine le ..... ***

* Appuie sur une touche comme demandé, le bloc note va s'ouvrir.
* Copie-colle l'intégralité du rapport dans ton prochain post. Referme le bloc note.

Note :
Le rapport est aussi sauvegardé à la racine du disque (fixnavi.txt)
Si ton antivirus se plaint de fichiers de Navilog1, dis lui d'ignorer les fichiers.

par **Choupinou** » 13 Jan 2008 14:52

voici le rapport :

Search Navipromo version 3.4.0 commencé le 13/01/2008 à 14:37:49,82

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 09.01.2008 à 20h00 par IL-MAFIOSO

Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2900.2180
Système de fichiers : NTFS

Executé en mode normal

*** Recherche Programmes installés ***

*** Recherche dossiers dans C:\WINDOWS ***

*** Recherche dossiers dans C:\Program Files ***

*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***

*** Recherche dossiers dans "C:\Documents and Settings\Choupinou\application data" ***

*** Recherche dossiers dans "C:\Documents and Settings\Choupinou\MENUDM~1\PROGRA~1" ***

*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun Fichier trouvé

*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans C:\WINDOWS\system32 *

* Recherche dans "C:\Documents and Settings\Choupinou\local settings\application data" *

*** Recherche fichiers ***

*** Recherche clés spécifiques dans le Registre ***

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :

2)Recherche Heuristique :

* Dans C:\WINDOWS\system32 :

* Dans "C:\Documents and Settings\Choupinou\local settings\application data" :

3)Recherche Certificats :

Certificat Egroup absent !

4)Recherche fichiers connus :

*** Analyse terminée le 13/01/2008 à 14:50:48,17 ***

pioufff g pener antivir ma fait que sonner :S en plus j'ai fait une boulette

g installer le prnium avec les 6 mois gratuit mais je ne savais pas que ce n'etait pas a jour !!!!!! donc mon antivir n'est plus a jour :'( :'( disouley mais je suis un gros boulet ^^

par **Falkra** » 13 Jan 2008 14:55

Tu peux essayer de le mettre à jour à la main :
http://www.libellules.ch/dotclear/index.php?2007/09/11/2127-antivir-mise-a-jour-rapide-des-definitions-de-virus-sans-attendre-les-serveurs

Poste un nouveau rapport HJT après stp.

par **Choupinou** » 13 Jan 2008 15:02

a la main non plus j'ai deja essayer :'( voici le log HJT :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:00:59, on 13/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Jetico\Jetico Personal Firewall\fwsrv.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Premium\avgnt.exe
C:\Program Files\SAGEM WiFi manager\WLANUTL.exe
C:\Program Files\Avira\AntiVir PersonalEdition Premium\sched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Avira\AntiVir PersonalEdition Premium\avesvc.exe
C:\Program Files\Avira\AntiVir PersonalEdition Premium\avguard.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Choupinou\Bureau\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orange.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\i386kd.exe,
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [Disk Monitor] C:\Documents and Settings\JF\Disk_Monitor.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [JeticoPFStartup] "C:\Program Files\Jetico\Jetico Personal Firewall\fwsrv.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter.lnk = ?
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O18 - Filter hijack: text/html - {A8981DB9-B2B3-47D7-A890-9C9D9F4C5552} - C:\WINDOWS\mf22.tmp
O20 - Winlogon Notify: Sideori - C:\WINDOWS\SYSTEM32\sideori.dll
O23 - Service: AntiVir PersonalEdition Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: AntiVir PersonalEdition Premium Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: AntiVir PersonalEdition Premium Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AntiVir PersonalEdition Premium MailGuard helper service (AVEService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

--
End of file - 6212 bytes

par **Falkra** » 13 Jan 2008 15:06

Ok, ça va être coriace, on va avoir besoin de 2-3 trucs pour lister puis shooter ces rootkits.

Phase 1, on met en place un outil :

Télécharge combofix.exe de sUBs et sauvegarde le sur ton bureau (et pas ailleurs).

Double-clique combofix.exe afin de l'exécuter et suis les instructions.
Lorsque l'analyse sera complétée, un rapport apparaîtra.
Copie-colle ce rapport dans ta prochaine réponse.
Le rapport se trouve dans : C:\Combofix.txt (si jamais).

Phase 2 à suivre. :-D

par **Choupinou** » 13 Jan 2008 16:06

désole pour le retard je n'arrive pus a ouvrir ma session et els virus commence a jouer avec ma connexion internet

ComboFix 08-01-13.1 - Choupinou 2008-01-13 15:12:00.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.46 [GMT 1:00]
Running from: C:\Documents and Settings\Choupinou\Bureau\ComboFix.exe
* Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\0_exception.nls
C:\WINDOWS\system32\RunOnce3.t__
C:\WINDOWS\system32\RunOnce3.tmp
C:\WINDOWS\system32\update306.exe

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_RUNTIME
-------\LEGACY_SYSLIBRARY
-------\poof
-------\SysLibrary

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-12-13 to 2008-01-13 ))))))))))))))))))))))))))))))))))))
.

2008-01-13 15:09 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-13 14:31 . 2008-01-13 14:50 <REP> d-------- C:\Program Files\Navilog1
2008-01-13 11:30 . 2008-01-13 11:30 <REP> d-------- C:\Program Files\Avira
2008-01-13 10:52 . 2008-01-13 10:52 <REP> d-------- C:\WINDOWS\Sun
C:\WINDOWS\system32\javacpl.cpl
2008-01-13 00:40 . 2008-01-13 00:42 <REP> d-------- C:\Program Files\Java
2008-01-13 00:39 . 2008-01-13 00:39 <REP> d-------- C:\Program Files\Fichiers communs\Java
2008-01-12 22:34 . 2008-01-13 00:17 1,289 --a------ C:\WINDOWS\mozver.dat
2008-01-12 21:44 . 2008-01-12 21:44 561,395 --a------ C:\upload_moi_USER-58CE52D2BC.tar.gz
2008-01-12 21:19 . 2008-01-12 21:19 <REP> d-------- C:\Documents and Settings\Choupinou\Application Data\Jetico Personal Firewall
2008-01-12 21:14 . 2008-01-12 21:26 <REP> d-------- C:\Program Files\Jetico
2008-01-12 21:14 . 2005-02-21 16:44 163,840 --a------ C:\WINDOWS\BCUnInstall.exe
2008-01-12 21:14 . 2005-05-18 08:09 45,739 --a------ C:\WINDOWS\system32\drivers\bcftdi.sys
2008-01-12 21:14 . 2005-02-18 06:50 17,536 --a------ C:\WINDOWS\system32\drivers\bc_ip_f.sys
2008-01-12 21:14 . 2005-06-23 11:19 16,640 --a------ C:\WINDOWS\system32\drivers\bc_filter.sys
2008-01-12 21:14 . 2005-02-18 06:50 13,344 --a------ C:\WINDOWS\system32\drivers\bc_tdi_f.sys
2008-01-12 21:14 . 2005-02-18 06:50 8,960 --a------ C:\WINDOWS\system32\drivers\bc_ngn.sys
2008-01-12 21:14 . 2005-02-18 06:50 4,928 --a------ C:\WINDOWS\system32\drivers\bc_pat_f.sys
2008-01-12 21:14 . 2005-02-18 06:50 4,576 --a------ C:\WINDOWS\system32\drivers\bc_prt_f.sys
2008-01-12 21:02 . 2008-01-13 15:28 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-01-12 21:02 . 2008-01-12 21:02 1,409 --a------ C:\WINDOWS\QTFont.for
2008-01-12 21:01 . 2008-01-12 21:01 <REP> d-------- C:\Documents and Settings\Choupinou\Application Data\Apple Computer
2008-01-12 21:00 . 2008-01-12 21:00 <REP> d-------- C:\Program Files\iPod
2008-01-12 20:59 . 2008-01-12 21:05 <REP> d-------- C:\Program Files\iTunes
2008-01-12 20:58 . 2008-01-12 20:59 <REP> d-------- C:\Program Files\QuickTime
2008-01-12 20:57 . 2008-01-12 20:59 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Apple Computer
2008-01-12 20:55 . 2008-01-12 20:55 <REP> d-------- C:\Program Files\Apple Software Update
2008-01-12 20:54 . 2008-01-12 20:54 <REP> d-------- C:\Program Files\Fichiers communs\Apple
2008-01-12 20:43 . 2008-01-12 22:27 <REP> d-------- C:\Documents and Settings\Choupinou\Contacts
2008-01-12 20:41 . 2008-01-12 20:41 <REP> d-------- C:\Program Files\MSN Messenger
2008-01-12 20:35 . 2008-01-12 20:35 <REP> d-------- C:\Documents and Settings\Choupinou\Application Data\Grisoft
2008-01-12 20:35 . 2008-01-12 20:35 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
2008-01-12 20:35 . 2007-05-30 13:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2008-01-12 20:33 . 2008-01-12 20:39 <REP> d-------- C:\Program Files\VideoLAN
2008-01-12 20:18 . 2008-01-13 11:30 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2008-01-12 19:56 . 2008-01-12 19:56 21 --a------ C:\WINDOWS\kit.ini
2008-01-12 19:53 . 2008-01-12 19:53 <REP> d-------- C:\Program Files\SAGEM WiFi manager
2008-01-12 19:53 . 2006-01-18 14:09 31,744 --a------ C:\WINDOWS\system32\drivers\ZDPSp50a64.sys
2008-01-12 19:53 . 2006-01-18 14:09 29,184 --a------ C:\WINDOWS\system32\drivers\BRGSp50a64.sys
2008-01-12 19:53 . 2006-01-18 14:09 20,608 --a------ C:\WINDOWS\system32\drivers\BRGSp50.sys
2008-01-12 19:53 . 2006-01-18 14:09 17,664 --a------ C:\WINDOWS\system32\drivers\ZDPSp50.sys
2008-01-12 19:51 . 2005-12-22 14:45 493,440 --a------ C:\WINDOWS\system32\drivers\WlanBZ64.SYS
2008-01-12 19:51 . 2005-12-22 14:45 402,432 --a------ C:\WINDOWS\system32\drivers\WlanBZXP.sys
2008-01-12 19:51 . 2005-06-17 10:26 114,688 --a------ C:\WINDOWS\system32\WLANUTL.dll
2008-01-12 19:21 . 2008-01-12 19:21 <REP> d-------- C:\Documents and Settings\Choupinou\Application Data\vlc
2008-01-12 19:14 . 2008-01-12 19:24 <REP> d-------- C:\Documents and Settings\Choupinou\Application Data\U3
2008-01-12 18:22 . 2007-08-18 14:46 <REP> d--h----- C:\Documents and Settings\Choupinou\Voisinage r‚seau
2008-01-12 18:22 . 2007-08-18 14:46 <REP> d--h----- C:\Documents and Settings\Choupinou\Voisinage d'impression
2008-01-12 18:22 . 2007-08-18 12:54 <REP> d--h----- C:\Documents and Settings\Choupinou\ModŠles
2008-01-12 18:22 . 2008-01-12 20:44 <REP> dr------- C:\Documents and Settings\Choupinou\Mes documents
2008-01-12 18:22 . 2007-08-18 14:46 <REP> dr------- C:\Documents and Settings\Choupinou\Menu D‚marrer
2008-01-12 18:22 . 2008-01-12 19:57 <REP> dr------- C:\Documents and Settings\Choupinou\Favoris
2008-01-12 18:22 . 2008-01-13 15:09 <REP> d-------- C:\Documents and Settings\Choupinou\Bureau
2008-01-10 17:13 . 2008-01-10 17:13 4 --a------ C:\2D.tmp
2007-12-29 18:02 . 2007-12-29 18:02 <REP> d-------- C:\Program Files\Office Mouse Driver
2007-12-29 17:38 . 2004-08-19 16:09 21,504 --a------ C:\WINDOWS\system32\hidserv.dll
2007-12-29 17:38 . 2004-08-19 16:09 21,504 --a--c--- C:\WINDOWS\system32\dllcache\hidserv.dll
2007-12-29 17:37 . 2004-08-19 16:00 14,848 --a------ C:\WINDOWS\system32\drivers\kbdhid.sys
2007-12-29 17:37 . 2004-08-19 16:00 14,848 --a--c--- C:\WINDOWS\system32\dllcache\kbdhid.sys
2007-12-29 17:37 . 2001-08-23 17:04 12,288 --a------ C:\WINDOWS\system32\drivers\mouhid.sys
2007-12-29 17:37 . 2001-08-23 17:04 12,288 --a--c--- C:\WINDOWS\system32\dllcache\mouhid.sys
2007-12-29 17:37 . 2001-08-17 22:02 9,600 --a------ C:\WINDOWS\system32\drivers\hidusb.sys
2007-12-29 17:37 . 2001-08-17 22:02 9,600 --a--c--- C:\WINDOWS\system32\dllcache\hidusb.sys
2007-12-22 10:55 . 2007-12-22 11:05 <REP> d-------- C:\Documents and Settings\Muriel\Application Data\EPSON
2007-12-20 16:28 . 2007-12-20 16:28 <REP> d-------- C:\Documents and Settings\All Users\Application Data\UDL
2007-12-20 16:22 . 2008-01-12 20:09 <REP> d-------- C:\Documents and Settings\All Users\Application Data\EPSON
2007-12-20 16:22 . 2006-12-08 03:04 76,800 --a------ C:\WINDOWS\system32\E_FLBCAE.DLL
2007-12-20 16:22 . 2006-04-19 03:00 62,976 --a------ C:\WINDOWS\system32\E_FD4BCAE.DLL
2007-12-20 16:22 . 2004-09-10 21:12 49,152 --a------ C:\WINDOWS\system32\E_DCINST.DLL
2007-12-20 16:19 . 2007-12-20 16:19 27 --a------ C:\WINDOWS\CDE DX4400DEFGIPS.ini
2007-12-15 10:54 . 2004-08-19 16:10 91,648 --a------ C:\WINDOWS\system32\kswdmcap.ax
2007-12-15 10:40 . 2008-01-12 21:08 <REP> d-------- C:\Program Files\Fichiers communs\Labtec
2007-12-15 10:39 . 2008-01-12 21:08 520 --a------ C:\WINDOWS\_delis32.ini
2007-12-15 10:38 . 2007-12-15 11:53 0 --a------ C:\Debug.QC6

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-13 14:27 --------- d-----w C:\Program Files\Wanadoo
2008-01-12 19:11 --------- d--h--w C:\Program Files\InstallShield Installation Information
2007-12-20 15:31 --------- d-----w C:\Program Files\Fichiers communs\InstallShield
2007-12-04 19:18 --------- d-----w C:\Documents and Settings\JF\Application Data\MSNInstaller
2007-12-04 14:53 23,152 ----a-w C:\WINDOWS\system32\drivers\aswRdr.sys
2007-12-04 13:04 837,496 ----a-w C:\WINDOWS\system32\aswBoot.exe
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2003-03-11 03:24 155648]
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2003-03-11 03:11 114688]
"WOOWATCH"="C:\PROGRA~1\Wanadoo\Watch.exe" [2004-08-23 14:49 20480]
"WOOTASKBARICON"="C:\PROGRA~1\Wanadoo\GestMaj.exe" [2004-10-14 16:55 32768]
"Disk Monitor"="C:\Documents and Settings\JF\Disk_Monitor.exe" [ ]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2007-08-30 16:16 185632]
"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 10:25 6731312]
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2007-11-14 23:43 286720]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2007-11-15 13:11 267048]
"JeticoPFStartup"="C:\Program Files\Jetico\Jetico Personal Firewall\fwsrv.exe" [2005-07-19 07:22 118784]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Premium\avgnt.exe" [2007-08-31 12:25 249896]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-03-02 13:00 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableRegistryTools"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\Sideori]
Sideori.dll 2006-03-02 13:00 62464 C:\WINDOWS\system32\Sideori.dll

R2 AntiVirMailService;AntiVir PersonalEdition Premium MailGuard;"C:\Program Files\Avira\AntiVir PersonalEdition Premium\avmailc.exe" [2007-08-28 13:08]
R2 AVEService;AntiVir PersonalEdition Premium MailGuard helper service;"C:\Program Files\Avira\AntiVir PersonalEdition Premium\avesvc.exe" [2007-07-18 08:09]
R3 {5C8B2B62-A385-11d5-A78B-00104B672758};AIM 3.0 Part 01 Codec Driver CH-7017-A;C:\WINDOWS\system32\drivers\A311.sys [2003-03-13 11:13]
R3 {5C8B2B65-A385-11d5-A78B-00104B672758};AIM 3.0 Part 01 Codec Driver CH-7017-B;C:\WINDOWS\system32\drivers\A310.sys [2003-03-13 11:13]
R3 SG762_XP;SAGEM 802.11g XG762 1211B Driver;C:\WINDOWS\system32\DRIVERS\WlanBZXP.sys [2005-12-22 14:45]
S3 FA312;Pilote de la carte Fast Ethernet FA330/FA312/FA311 NETGEAR;C:\WINDOWS\system32\DRIVERS\FA312nd5.sys [2001-08-17 21:12]
S3 ZDCndis5;ZDCndis5 Protocol Driver;C:\WINDOWS\system32\ZDCndis5.SYS []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b46b4a7d-51a5-11dc-b7d0-00030d0c972b}]
\Shell\AutoRun\command - E:\LaunchU3.exe -a

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-13 15:28:02
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2008-01-13 15:40:28 - machine was rebooted
ComboFix-quarantined-files.txt 2008-01-13 14:34:43

par **Falkra** » 13 Jan 2008 16:12

Ok, phase II (le retour).

:arrow:

Télécharge Gmer.
Dézippe le dans un dossier ou sur ton bureau.

Double-clique sur Gmer.exe.

NB : Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse le s'exécuter.

Clique sur l'onglet rootkit.
A droite, coche Files et Services uniquement.
Clique maintenant sur Scan.

Lorsque le scan est terminé, clique sur Copy.

Ouvre le Bloc-notes puis clique sur le Menu Edition / Coller.
Le rapport doit alors apparaître.
Enregistre le fichier sur ton bureau et copie/colle son contenu dans ta prochaine réponse.

par **Choupinou** » 13 Jan 2008 16:16

Gmer n'a rien trouver :S c'etait fait exprés ou tu chercher quelque chose?

par **Falkra** » 13 Jan 2008 16:19

Je cherchais quelque chose. Rien du tout après avoir lancé son scan ? Si tu as bien fait les manips, pas de souci.

par **Choupinou** » 13 Jan 2008 16:26

non il m'a marquer un message comme quoi il n'avait rien trouver (en anglais) j'ai fait copie et pis quand j'ai fait coller ca ma coler le rapport combofix -_-'

rapport DiagHelp et log Hijackthis

rapport DiagHelp et log Hijackthis

Re: rapport DiagHelp et log Hijackthis

Re: rapport DiagHelp et log Hijackthis

Re: rapport DiagHelp et log Hijackthis

Re: rapport DiagHelp et log Hijackthis

Re: rapport DiagHelp et log Hijackthis

Re: rapport DiagHelp et log Hijackthis

Re: rapport DiagHelp et log Hijackthis

Re: rapport DiagHelp et log Hijackthis

Re: rapport DiagHelp et log Hijackthis

Re: rapport DiagHelp et log Hijackthis

Re: rapport DiagHelp et log Hijackthis

Re: rapport DiagHelp et log Hijackthis

Re: rapport DiagHelp et log Hijackthis

Re: rapport DiagHelp et log Hijackthis

Re: rapport DiagHelp et log Hijackthis

Re: rapport DiagHelp et log Hijackthis

Re: rapport DiagHelp et log Hijackthis

Re: rapport DiagHelp et log Hijackthis

Re: rapport DiagHelp et log Hijackthis

Qui est en ligne