[Résolu] Infections et faux utilitaires

Salut,

J'adore ta famille  

Télécharge Navilog1.exe (IL-MAFIOSO)
Enregistre-le sur ton Bureau.
Lance l'installation en double cliquant sur navilog.exe.
Une fois l'installation terminée, l'utilitaire s'exécutera automatiquement.
(Si ce n'est pas le cas, double clique sur le raccourci présent sur le Bureau)

Laisse-toi guider par l'utilitaire. Choisis l'option 1 puis valide.
[#ff0000]! N'utilise pas l'option 2, 3 et 4 sans notre accord ![/#f]
Patiente jusqu'à l'apparition de ce message :
"*** Analyse Termine le ..... ***"
Appuie sur une touche comme demandé. Le Bloc-notes va s'ouvrir. Poste-nous son contenu de cette manière :

-> Edition / Sélectionner tout
-> Edition / Copier
-> Clique-Droit / Coller dans ta réponse

NOTE : Le rapport se trouve également ici : C:\fixnavi.txt

J'essayerai de passer le plus souvent possible jusqu'à mercredi ou je serai de nouveau présent.

O_o ! C'est de la réponse rapide ça ! Merci Angel.

Je crois que Navilog1 a trouvé un nid à virus  .

Voici le rapport :

Search Navipromo version 3.3.8 commencé le 24/12/2007 à 18:09:58,29

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 11.12.2007 à 18h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.11
Système de fichiers : NTFS

Executé en mode normal

*** Recherche Programmes installés ***


MessengerSkinner


*** Recherche dossiers dans C:\WINDOWS ***



*** Recherche dossiers dans C:\Program Files ***

C:\Program Files\MessengerSkinner trouvé !


*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***




*** Recherche dossiers dans "C:\Documents and Settings\Patricia\application data" ***

...\MessengerSkinner trouvé !

*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun Fichier trouvé



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans C:\WINDOWS\system32 *

Fichiers trouvés :

aevunx.exe trouvé !
aiqboqhk.exe trouvé !
aiqboqhk.exe trouvé !
awdtzb.exe trouvé !
bhonzdzllz.exe trouvé !
cahtbon.exe trouvé !
cawrceecl.exe trouvé !
cawrceecl.exe trouvé !
dftlxd.exe trouvé !
dnhhlb.exe trouvé !
emarlwz.exe trouvé !
eqezrjdzl.exe trouvé !
gwrjmgvm.exe trouvé !
hkcjci.exe trouvé !
iazxhsrmt.exe trouvé !
ibugfxju.exe trouvé !
ignrgd.exe trouvé !
keffro.exe trouvé !
loityrpte.exe trouvé !
mkrpbzou.exe trouvé !
muhcfoc.exe trouvé !
npuqjbe.exe trouvé !
nucbvub.exe trouvé !
otmbtdx.exe trouvé !
pmhxepjs.exe trouvé !
ppatknq.exe trouvé !
pwjvegpft.exe trouvé !
qsvtqu.exe trouvé !
qsvtqu.exe trouvé !
rrhmgmdq.exe trouvé !
srjaeke.exe trouvé !
tpfpkyj.exe trouvé !
vxbylqfy.exe trouvé !
wbjlqsl.exe trouvé !
xeganzl.exe trouvé !
ybvbjvcme.exe trouvé !
ygowilrvu.exe trouvé !
yhgberm.exe trouvé !
ykidox.exe trouvé !
yloxioxyxr.exe trouvé !
ylrydthlfn.exe trouvé !
yofycm.exe trouvé !
yofycm.exe trouvé !
yshugd.exe trouvé !
ysuope.exe trouvé !
zbwygxaat.exe trouvé !
zgvqjoxic.exe trouvé !
fvanrqbov.exe trouvé !
fwejct.exe trouvé !
gmlrrqj.exe trouvé !
laumgb.exe trouvé !
mhccivvwf.exe trouvé !
oarkvq.exe trouvé !
oarkvq.dat trouvé !
oarkvq_nav.dat trouvé !
oarkvq_navps.dat trouvé !
okilgxi.exe trouvé !
paauvwvw.exe trouvé !
pxpmmxnl.exe trouvé !
rzlrszkfv.exe trouvé !
stshpqem.exe trouvé !
ududfsm.exe trouvé !
vpuhyof.exe trouvé !
xthzbyj.exe trouvé !
zioqkhs.exe trouvé !
zzwlcgdwk.exe trouvé !

* Recherche dans "C:\Documents and Settings\Patricia\local settings\application data" *



*** Recherche fichiers ***


C:\WINDOWS\pack.epk trouvé !
C:\WINDOWS\system32\nvs2.inf trouvé !


*** Recherche clés spécifiques dans le Registre ***

HKEY_CURRENT_USER\Software\Lanconfig trouvé !

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans C:\WINDOWS\system32 :

oarkvq.dat trouvé !
oarkvq_nav.dat trouvé !
cltgpjb.exe trouvé !
dzxmjynlae.exe trouvé !
gdrvehvml.exe trouvé !
lrmtums.exe trouvé !
negkua.exe trouvé !
ohjsgm.exe trouvé !
piiagsocw.exe trouvé !
vejokpcibn.exe trouvé !
wyduwl.exe trouvé !
zpjfywa.exe trouvé !

* Dans "C:\Documents and Settings\Patricia\local settings\application data" :


3)Recherche Certificats :

Certificat Egroup trouvé !

4)Recherche fichiers connus :



*** Analyse terminée le 24/12/2007 à 18:18:35,92 ***





Moi aussi, mais s'ils pouvaient éviter de toucher à un PC, je les aimeraient encore plus !

Pas mal le log O_o

Double clique sur le raccourci de Navilog1 présent sur ton Bureau.
Suis les instructions. Choisis ensuite l'option 2 puis valide.
Laisse toi guider et réponds aux questions éventuelles.

L'utilitaire va t'informer qu'il va redémarrer l'ordinateur.
[#ff0000]**Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts**[/#f]
Appuie maintenant sur une touche, comme demandé.
(si ton PC ne redémarre pas automatiquement, fais-le manuellement)

Patiente jusqu'à l'apparition de ce message :
"*** Nettoyage Termine le ..... ***"

Le Bloc-notes va s'ouvrir.
Sauvegarde le rapport de manière à le retrouver.
Referme le Bloc-notes. Ton bureau va maintenant réapparaître.

NOTE : Si ton Bureau ne réapparait pas, appuie simultanément sur Ctrl+Alt+Suppr pour ouvrir le Gestionnaire des tâches.
Rends-toi sur l'onglet "Processus". Clique en haut à gauche sur Fichier et choisis "Exécuter..."
Tape explorer puis valide.

Poste le rapport sauvegardé auparavant (C:\cleannavi.txt)
Ainsi qu'un nouveau rapport Hijackthis.

Voici le rapport Cleanavi :

Clean Navipromo version 3.3.8 commencé le 24/12/2007 à 20:59:48,21

Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 11.12.2007 à 18h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.11
Système de fichiers : NTFS

Mode suppression automatique



*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)


*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans C:\WINDOWS\System32 *

aevunx.exe trouvé !
Copie aevunx.exe réalisée avec succès !
aevunx.exe supprimé !

aiqboqhk.exe trouvé !
Copie aiqboqhk.exe réalisée avec succès !
aiqboqhk.exe supprimé !

awdtzb.exe trouvé !
Copie awdtzb.exe réalisée avec succès !
awdtzb.exe supprimé !

bhonzdzllz.exe trouvé !
Copie bhonzdzllz.exe réalisée avec succès !
bhonzdzllz.exe supprimé !

cahtbon.exe trouvé !
Copie cahtbon.exe réalisée avec succès !
cahtbon.exe supprimé !

cawrceecl.exe trouvé !
Copie cawrceecl.exe réalisée avec succès !
cawrceecl.exe supprimé !

dftlxd.exe trouvé !
Copie dftlxd.exe réalisée avec succès !
dftlxd.exe supprimé !

dnhhlb.exe trouvé !
Copie dnhhlb.exe réalisée avec succès !
dnhhlb.exe supprimé !

emarlwz.exe trouvé !
Copie emarlwz.exe réalisée avec succès !
emarlwz.exe supprimé !

eqezrjdzl.exe trouvé !
Copie eqezrjdzl.exe réalisée avec succès !
eqezrjdzl.exe supprimé !

gwrjmgvm.exe trouvé !
Copie gwrjmgvm.exe réalisée avec succès !
gwrjmgvm.exe supprimé !

hkcjci.exe trouvé !
Copie hkcjci.exe réalisée avec succès !
hkcjci.exe supprimé !

iazxhsrmt.exe trouvé !
Copie iazxhsrmt.exe réalisée avec succès !
iazxhsrmt.exe supprimé !

ibugfxju.exe trouvé !
Copie ibugfxju.exe réalisée avec succès !
ibugfxju.exe supprimé !

ignrgd.exe trouvé !
Copie ignrgd.exe réalisée avec succès !
ignrgd.exe supprimé !

keffro.exe trouvé !
Copie keffro.exe réalisée avec succès !
keffro.exe supprimé !

loityrpte.exe trouvé !
Copie loityrpte.exe réalisée avec succès !
loityrpte.exe supprimé !

mkrpbzou.exe trouvé !
Copie mkrpbzou.exe réalisée avec succès !
mkrpbzou.exe supprimé !

muhcfoc.exe trouvé !
Copie muhcfoc.exe réalisée avec succès !
muhcfoc.exe supprimé !

npuqjbe.exe trouvé !
Copie npuqjbe.exe réalisée avec succès !
npuqjbe.exe supprimé !

nucbvub.exe trouvé !
Copie nucbvub.exe réalisée avec succès !
nucbvub.exe supprimé !

otmbtdx.exe trouvé !
Copie otmbtdx.exe réalisée avec succès !
otmbtdx.exe supprimé !

pmhxepjs.exe trouvé !
Copie pmhxepjs.exe réalisée avec succès !
pmhxepjs.exe supprimé !

ppatknq.exe trouvé !
Copie ppatknq.exe réalisée avec succès !
ppatknq.exe supprimé !

pwjvegpft.exe trouvé !
Copie pwjvegpft.exe réalisée avec succès !
pwjvegpft.exe supprimé !

qsvtqu.exe trouvé !
Copie qsvtqu.exe réalisée avec succès !
qsvtqu.exe supprimé !

rrhmgmdq.exe trouvé !
Copie rrhmgmdq.exe réalisée avec succès !
rrhmgmdq.exe supprimé !

srjaeke.exe trouvé !
Copie srjaeke.exe réalisée avec succès !
srjaeke.exe supprimé !

tpfpkyj.exe trouvé !
Copie tpfpkyj.exe réalisée avec succès !
tpfpkyj.exe supprimé !

vxbylqfy.exe trouvé !
Copie vxbylqfy.exe réalisée avec succès !
vxbylqfy.exe supprimé !

wbjlqsl.exe trouvé !
Copie wbjlqsl.exe réalisée avec succès !
wbjlqsl.exe supprimé !

xeganzl.exe trouvé !
Copie xeganzl.exe réalisée avec succès !
xeganzl.exe supprimé !

ybvbjvcme.exe trouvé !
Copie ybvbjvcme.exe réalisée avec succès !
ybvbjvcme.exe supprimé !

ygowilrvu.exe trouvé !
Copie ygowilrvu.exe réalisée avec succès !
ygowilrvu.exe supprimé !

yhgberm.exe trouvé !
Copie yhgberm.exe réalisée avec succès !
yhgberm.exe supprimé !

ykidox.exe trouvé !
Copie ykidox.exe réalisée avec succès !
ykidox.exe supprimé !

yloxioxyxr.exe trouvé !
Copie yloxioxyxr.exe réalisée avec succès !
yloxioxyxr.exe supprimé !

ylrydthlfn.exe trouvé !
Copie ylrydthlfn.exe réalisée avec succès !
ylrydthlfn.exe supprimé !

yofycm.exe trouvé !
Copie yofycm.exe réalisée avec succès !
yofycm.exe supprimé !

yshugd.exe trouvé !
Copie yshugd.exe réalisée avec succès !
yshugd.exe supprimé !

ysuope.exe trouvé !
Copie ysuope.exe réalisée avec succès !
ysuope.exe supprimé !

zbwygxaat.exe trouvé !
Copie zbwygxaat.exe réalisée avec succès !
zbwygxaat.exe supprimé !

zgvqjoxic.exe trouvé !
Copie zgvqjoxic.exe réalisée avec succès !
zgvqjoxic.exe supprimé !

fvanrqbov.exe trouvé !
Copie fvanrqbov.exe réalisée avec succès !
fvanrqbov.exe supprimé !

fwejct.exe trouvé !
Copie fwejct.exe réalisée avec succès !
fwejct.exe supprimé !

gmlrrqj.exe trouvé !
Copie gmlrrqj.exe réalisée avec succès !
gmlrrqj.exe supprimé !

laumgb.exe trouvé !
Copie laumgb.exe réalisée avec succès !
laumgb.exe supprimé !

mhccivvwf.exe trouvé !
Copie mhccivvwf.exe réalisée avec succès !
mhccivvwf.exe supprimé !

oarkvq.exe trouvé !
Copie oarkvq.exe réalisée avec succès !
oarkvq.exe supprimé !

oarkvq.dat trouvé !
Copie oarkvq.dat réalisée avec succès !
oarkvq.dat supprimé !

oarkvq_nav.dat trouvé !
Copie oarkvq_nav.dat réalisée avec succès !
oarkvq_nav.dat supprimé !

oarkvq_navps.dat trouvé !
Copie oarkvq_navps.dat réalisée avec succès !
oarkvq_navps.dat supprimé !

okilgxi.exe trouvé !
Copie okilgxi.exe réalisée avec succès !
okilgxi.exe supprimé !

paauvwvw.exe trouvé !
Copie paauvwvw.exe réalisée avec succès !
paauvwvw.exe supprimé !

pxpmmxnl.exe trouvé !
Copie pxpmmxnl.exe réalisée avec succès !
pxpmmxnl.exe supprimé !

rzlrszkfv.exe trouvé !
Copie rzlrszkfv.exe réalisée avec succès !
rzlrszkfv.exe supprimé !

stshpqem.exe trouvé !
Copie stshpqem.exe réalisée avec succès !
stshpqem.exe supprimé !

ududfsm.exe trouvé !
Copie ududfsm.exe réalisée avec succès !
ududfsm.exe supprimé !

vpuhyof.exe trouvé !
Copie vpuhyof.exe réalisée avec succès !
vpuhyof.exe supprimé !

xthzbyj.exe trouvé !
Copie xthzbyj.exe réalisée avec succès !
xthzbyj.exe supprimé !

zioqkhs.exe trouvé !
Copie zioqkhs.exe réalisée avec succès !
zioqkhs.exe supprimé !

zzwlcgdwk.exe trouvé !
Copie zzwlcgdwk.exe réalisée avec succès !
zzwlcgdwk.exe supprimé !


* Suppression dans "C:\Documents and Settings\Patricia\local settings\application data" *



*** Suppression dossiers dans C:\WINDOWS ***


*** Suppression dossiers dans C:\Program Files ***

C:\Program Files\MessengerSkinner ...suppression...
C:\Program Files\MessengerSkinner supprimé !


*** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***


*** Suppression dossiers dans "C:\Documents and Settings\Patricia\application data" ***

...\MessengerSkinner ...suppression...
...\MessengerSkinner supprimé !


*** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***



*** Suppression fichiers ***

C:\WINDOWS\pack.epk supprimé !
C:\WINDOWS\system32\nvs2.inf supprimé !

*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Patricia\local settings\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

2)Recherche, création sauvegardes et suppression Heuristique :


* Dans C:\WINDOWS\system32 *

cltgpjb.exe trouvé !
Copie cltgpjb.exe réalisée avec succès !
cltgpjb.exe supprimé !

dzxmjynlae.exe trouvé !
Copie dzxmjynlae.exe réalisée avec succès !
dzxmjynlae.exe supprimé !

gdrvehvml.exe trouvé !
Copie gdrvehvml.exe réalisée avec succès !
gdrvehvml.exe supprimé !

lrmtums.exe trouvé !
Copie lrmtums.exe réalisée avec succès !
lrmtums.exe supprimé !

negkua.exe trouvé !
Copie negkua.exe réalisée avec succès !
negkua.exe supprimé !

ohjsgm.exe trouvé !
Copie ohjsgm.exe réalisée avec succès !
ohjsgm.exe supprimé !

piiagsocw.exe trouvé !
Copie piiagsocw.exe réalisée avec succès !
piiagsocw.exe supprimé !

vejokpcibn.exe trouvé !
Copie vejokpcibn.exe réalisée avec succès !
vejokpcibn.exe supprimé !

wyduwl.exe trouvé !
Copie wyduwl.exe réalisée avec succès !
wyduwl.exe supprimé !

zpjfywa.exe trouvé !
Copie zpjfywa.exe réalisée avec succès !
zpjfywa.exe supprimé !


* Dans "C:\Documents and Settings\Patricia\local settings\application data" *


*** Sauvegarde du Registre vers dossier Backupnavi ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok


*** Certificats ***

Certificat Egroup supprimé !

*** Nettoyage terminé le 24/12/2007 à 21:05:49,40 ***



Et le nouveau HJT :

Logfile of HijackThis v1.99.1
Scan saved at 21:12:33, on 24/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Program Files\K-Lite Codec Pack\QuickTime\qttask.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\Spyware-Secure\Spyware-Secure_trial.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Boonty\BoontyBox\BoontyBox.exe
C:\Program Files\Boonty\BoontyBox\BoontyBoxEngine.exe
C:\Documents and Settings\Patricia\Bureau\HJT\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\K-Lite Codec Pack\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [Spyware-Secure] C:\Program Files\Spyware-Secure\Spyware-Secure_trial.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: BoontyBox 01net.lnk = C:\Program Files\Boonty\BoontyBox\BoontyBox.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavweb...
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls...
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/fl...
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

AVG Antirootkit Free, peut-être utile pour repérer/éliminer certains spyware ?
Bon, je sors, je laisse faire les spécialistes ^^

Désolé du retard, un reste de vie sociale  

Fix les lignes dans le cadre ci-dessous avec Hijackthis : AIDE EN IMAGES



Supprime :
C:\Program Files\Spyware-Secure

Je t'excuse mais vraiment parce que c'est Noël.  

Sinon, suppression ok. As-tu besoin d'un nouveau log HJT ?

Vas-y  

Le voilà :

Logfile of HijackThis v1.99.1
Scan saved at 12:02:28, on 26/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Program Files\K-Lite Codec Pack\QuickTime\qttask.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Boonty\BoontyBox\BoontyBox.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Documents and Settings\Patricia\Bureau\HJT\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\K-Lite Codec Pack\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: BoontyBox 01net.lnk = C:\Program Files\Boonty\BoontyBox\BoontyBox.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavweb...
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls...
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/fl...
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

Re,

Boonty/BoontyBox est encore utilisé ?

Aucune idée. Par contre, je l'ai supprimé de la liste de démarrage car je ne pense pas qu'il soit utilisé bien souvent.

Par contre, j'ai lancé une analyse avec KAV (hors ligne), et voici le rapport (enfin, le début du rapport) :

Analyse du Poste de travail
---------------------------
Analysés : 234683
Infectés : 14
Non traités : 14
Lancement : 26/12/2007 14:05:23
Durée : 01:50:40
Fin : 26/12/2007 15:56:03


Infectés
--------
Etat Objet
---- -----
découvert : adware not-a-virus:AdWare.Win32.NaviPromo.gen Le fichier: C:\Program Files\Navilog1\Backupnavi\cltgpjb.exe//PE_Patch.PECompact//PecBundle//PECompact
découvert : adware not-a-virus:AdWare.Win32.NaviPromo.gen Le fichier: C:\Program Files\Navilog1\Backupnavi\dzxmjynlae.exe//PE_Patch.PECompact//PecBundle//PECompact
découvert : adware not-a-virus:AdWare.Win32.NaviPromo.gen Le fichier: C:\Program Files\Navilog1\Backupnavi\gdrvehvml.exe//PE_Patch.PECompact//PecBundle//PECompact
découvert : adware not-a-virus:AdWare.Win32.NaviPromo.gen Le fichier: C:\Program Files\Navilog1\Backupnavi\lrmtums.exe//PE_Patch.PECompact//PecBundle//PECompact
découvert : adware not-a-virus:AdWare.Win32.NaviPromo.gen Le fichier: C:\Program Files\Navilog1\Backupnavi\negkua.exe//PE_Patch.PECompact//PecBundle//PECompact
découvert : adware not-a-virus:AdWare.Win32.NaviPromo.gen Le fichier: C:\Program Files\Navilog1\Backupnavi\ohjsgm.exe//PE_Patch.PECompact//PecBundle//PECompact
découvert : adware not-a-virus:AdWare.Win32.NaviPromo.gen Le fichier: C:\Program Files\Navilog1\Backupnavi\piiagsocw.exe//PE_Patch.PECompact//PecBundle//PECompact
découvert : adware not-a-virus:AdWare.Win32.NaviPromo.gen Le fichier: C:\Program Files\Navilog1\Backupnavi\vejokpcibn.exe//PE_Patch.PECompact//PecBundle//PECompact
découvert : adware not-a-virus:AdWare.Win32.NaviPromo.gen Le fichier: C:\Program Files\Navilog1\Backupnavi\wyduwl.exe//PE_Patch.PECompact//PecBundle//PECompact
découvert : adware not-a-virus:AdWare.Win32.NaviPromo.gen Le fichier: C:\Program Files\Navilog1\Backupnavi\zpjfywa.exe//PE_Patch.PECompact//PecBundle//PECompact
découvert : cheval de Troie Backdoor.Win32.Rbot.clj Le fichier: C:\WINDOWS\system32\agldccoio32.exe//NSPack//PE_Patch.UPX//UPX
découvert : adware not-a-virus:AdWare.Win32.Virtumonde.id Le fichier: C:\WINDOWS\system32\ddccd.exe//Virtumonde//PE_Patch.UPX//UPX
découvert : cheval de Troie Backdoor.Win32.Nepoe.e Le fichier: C:\WINDOWS\system32\jvkb.exe//Expressor
découvert : cheval de Troie Backdoor.Win32.Rbot.cjs Le fichier: C:\WINDOWS\system32\Winaglern.exe//NSPack//PE_Patch.UPX//UPX

Il y a des restes, on prend un tool un peu plus puissant  

Désactive tes protections résidentes (antivirus...) ![/#f]

Télécharge [#ff0000]combofix.exe

(par sUBs) sur ton Bureau.

Double clique combofix.exe.

Tape sur la touche 1 (Yes) pour démarrer le scan.

Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

Le voici :

ComboFix 07-12-21.4 - Patricia 2007-12-26 16:53:17.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.66 [GMT 1:00]
Running from: C:\Documents and Settings\Patricia\Bureau\ComboFix.exe
* Created a new restore point
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\Patricia\Menu Démarrer\Programmes\MessengerSkinner
C:\WINDOWS\system32\.exe

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_NWSAPAGENT
-------\NwSapAgent


((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-11-26 to 2007-12-26 ))))))))))))))))))))))))))))))))))))
.

2007-12-26 13:59 . 2006-08-01 15:02 49,152 --a------ C:\WINDOWS\system32\ChCfg.exe
2007-12-26 13:58 . 2007-10-26 11:20 4,124,352 -ra------ C:\WINDOWS\system32\drivers\alcxwdm.sys
2007-12-26 13:57 . 2007-12-26 13:58 <REP> d-------- C:\Program Files\Realtek AC97
2007-12-26 13:57 . 2006-11-17 05:40 18,804,736 --a------ C:\WINDOWS\system32\alsndmgr.cpl
2007-12-26 13:57 . 2006-12-08 15:20 10,528,768 --a------ C:\WINDOWS\system32\RTLCPL.exe
2007-12-26 13:57 . 2007-04-16 15:28 577,536 --a------ C:\WINDOWS\soundman.exe
2007-12-26 13:57 . 2006-07-31 11:19 315,392 --a------ C:\WINDOWS\alcupd.exe
2007-12-26 13:57 . 2006-07-31 11:27 217,088 --a------ C:\WINDOWS\Alcrmv.exe
2007-12-26 13:57 . 2006-10-18 02:53 147,456 --a------ C:\WINDOWS\system32\RtlCPAPI.dll
2007-12-26 13:57 . 2002-02-05 13:54 141,016 --a------ C:\WINDOWS\system32\alsndmgr.wav
2007-12-26 13:52 . 2007-12-26 13:52 <REP> d-------- C:\Program Files\ma-config.com
2007-12-26 13:52 . 2007-12-26 13:52 <REP> d-------- C:\Documents and Settings\Patricia\Application Data\ma-config.com
2007-12-24 18:06 . 2007-12-24 21:05 <REP> d-------- C:\Program Files\Navilog1
2007-12-01 20:06 . 2006-11-29 13:06 3,426,072 --a------ C:\WINDOWS\system32\d3dx9_32.dll
2007-12-01 20:03 . 2007-12-01 20:03 <REP> d-------- C:\Program Files\Microsoft SQL Server Compact Edition
2007-12-01 19:45 . 2007-12-01 19:49 <REP> d--hsc--- C:\Program Files\Fichiers communs\WindowsLiveInstaller

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-26 16:01 11,208,992 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2007-12-26 16:00 --------- d-----w C:\Documents and Settings\All Users\Application Data\Kaspersky Lab
2007-12-26 15:59 492,576 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat
2007-12-26 15:59 48,248 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx
2007-12-26 15:59 153,236 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2007-12-26 13:02 8,461,389 ----a-w C:\WINDOWS\system32\drivers\fwdrv.err
2007-12-26 12:57 --------- d--h--w C:\Program Files\InstallShield Installation Information
2007-12-20 19:46 91,492 ----a-w C:\WINDOWS\system32\drivers\klin.dat
2007-12-12 20:29 85,860 ----a-w C:\WINDOWS\system32\drivers\klick.dat
2007-12-07 14:22 --------- d-----w C:\Program Files\BoontyGames
2007-12-06 21:14 --------- d-----w C:\Program Files\Fichiers communs\Ahead
2007-12-06 21:12 --------- d-----w C:\Program Files\Zylom Games
2007-12-04 20:13 --------- d-----w C:\Program Files\Fichiers communs\Symantec Shared
2007-12-01 19:04 --------- d-----w C:\Program Files\Windows Live
2007-12-01 18:45 --------- d-----w C:\Documents and Settings\All Users\Application Data\WLInstaller
2007-11-13 10:25 20,480 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
2007-11-01 20:38 --------- d-----w C:\Program Files\Windows Live Toolbar
2007-10-23 16:49 586,752 ----a-w C:\WINDOWS\WLXPGSS.SCR
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 15:09]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVP"="C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" [2007-01-29 22:02]
"SoundMan"="SOUNDMAN.EXE" [2007-04-16 15:28 C:\WINDOWS\soundman.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 15:09]
"Win32"="msinnt.exe" []

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"Winsock2 wqr1s"="EM32\LOL.EXE" []

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Notification Packages REG_MULTI_SZ scecli scecli

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^Patricia^Menu Démarrer^Programmes^Démarrage^BoontyBox 01net.lnk]
path=C:\Documents and Settings\Patricia\Menu Démarrer\Programmes\Démarrage\BoontyBox 01net.lnk
backup=C:\WINDOWS\pss\BoontyBox 01net.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Advanced DHTML Enable]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\cpanel]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
2004-08-19 15:09 15360 --a------ C:\WINDOWS\System32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2006-02-23 15:45 278528 --a------ C:\Program Files\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Local Security Authority Service]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
C:\Program Files\Messenger\msmsgs.exe /background

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Offices Monitorse]
C:\WINDOWS\System32\algose32.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
C:\Program Files\K-Lite Codec Pack\QuickTime\qttask.exe -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Services]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundService]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2007-09-25 00:11 132496 --a------ C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\User Input Services]
C:\WINDOWS\System32\ctfmon32.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Win32]
msinnt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Net]
dglhskwhkbd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Service]
pefxnguxa.exe

R1 fwdrv;Firewall Driver;C:\WINDOWS\system32\drivers\fwdrv.sys [2007-04-26 09:21]
R1 khips;Kerio HIPS Driver;C:\WINDOWS\system32\drivers\khips.sys [2007-04-26 09:21]
R2 SPF4;Sunbelt Personal Firewall 4;"C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe" [2007-04-26 09:21]
S3 Boonty Games;Boonty Games;"C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe" [2007-08-22 14:32]
S3 fbxusb;Carte réseau virtuelle FreeBox USB;C:\WINDOWS\system32\DRIVERS\fbxusb32.sys [2004-10-20 14:23]

.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2007-12-26 14:31:03 C:\WINDOWS\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job"
.
**************************************************************************

catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-26 17:00:54
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-12-26 17:04:13 - machine was rebooted
.
2007-12-13 20:57:18 --- E O F ---

J'ai un petit doute sur un fichier.

[#ff0000]Désactive tes protections résidentes (antivirus...) ![/#f]
Copie (Ctrl+C) le texte se situant dans le cadre ci-dessous :



Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte précedemment copié.
Sauvegarde ce fichier sous le nom de CFScript.txt.

Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :


Cela va relancer Combofix, tape sur 1 puis valide. Après redémarrage, poste le contenu du rapport Combofix.txt accompagné d'un rapport Hijackthis.
[#ff0000]NOTE : S'il n'y a pas de rédémarrage, poste quand même les rapports demandés.[/#f]

Analyse le fichier suivant sur VirusTotal puis poste le rapport :
C:\WINDOWS\system32\drivers\secdrv.sys

Le nouveau log de Combofix (après un reboot) :

ComboFix 07-12-21.4 - Patricia 2007-12-26 17:48:40.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.67 [GMT 1:00]
Running from: C:\Documents and Settings\Patricia\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\Patricia\Bureau\CFScript.txt
* Created a new restore point

FILE
C:\WINDOWS\system32\agldccoio32.exe
C:\WINDOWS\system32\ddccd.exe
C:\WINDOWS\system32\jvkb.exe
C:\WINDOWS\system32\Winaglern.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\agldccoio32.exe
C:\WINDOWS\system32\ddccd.exe
C:\WINDOWS\system32\jvkb.exe
C:\WINDOWS\system32\Winaglern.exe

.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-11-26 to 2007-12-26 ))))))))))))))))))))))))))))))))))))
.

2007-12-26 13:59 . 2006-08-01 15:02 49,152 --a------ C:\WINDOWS\system32\ChCfg.exe
2007-12-26 13:58 . 2007-10-26 11:20 4,124,352 -ra------ C:\WINDOWS\system32\drivers\alcxwdm.sys
2007-12-26 13:57 . 2007-12-26 13:58 <REP> d-------- C:\Program Files\Realtek AC97
2007-12-26 13:57 . 2006-11-17 05:40 18,804,736 --a------ C:\WINDOWS\system32\alsndmgr.cpl
2007-12-26 13:57 . 2006-12-08 15:20 10,528,768 --a------ C:\WINDOWS\system32\RTLCPL.exe
2007-12-26 13:57 . 2007-04-16 15:28 577,536 --a------ C:\WINDOWS\soundman.exe
2007-12-26 13:57 . 2006-07-31 11:19 315,392 --a------ C:\WINDOWS\alcupd.exe
2007-12-26 13:57 . 2006-07-31 11:27 217,088 --a------ C:\WINDOWS\Alcrmv.exe
2007-12-26 13:57 . 2006-10-18 02:53 147,456 --a------ C:\WINDOWS\system32\RtlCPAPI.dll
2007-12-26 13:57 . 2002-02-05 13:54 141,016 --a------ C:\WINDOWS\system32\alsndmgr.wav
2007-12-26 13:52 . 2007-12-26 13:52 <REP> d-------- C:\Program Files\ma-config.com
2007-12-26 13:52 . 2007-12-26 13:52 <REP> d-------- C:\Documents and Settings\Patricia\Application Data\ma-config.com
2007-12-24 18:06 . 2007-12-24 21:05 <REP> d-------- C:\Program Files\Navilog1
2007-12-01 20:06 . 2006-11-29 13:06 3,426,072 --a------ C:\WINDOWS\system32\d3dx9_32.dll
2007-12-01 20:03 . 2007-12-01 20:03 <REP> d-------- C:\Program Files\Microsoft SQL Server Compact Edition
2007-12-01 19:45 . 2007-12-01 19:49 <REP> d--hsc--- C:\Program Files\Fichiers communs\WindowsLiveInstaller

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-26 16:56 --------- d-----w C:\Documents and Settings\All Users\Application Data\Kaspersky Lab
2007-12-26 16:55 494,368 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat
2007-12-26 16:55 11,237,664 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2007-12-26 16:54 48,440 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx
2007-12-26 16:54 153,620 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2007-12-26 13:02 8,461,389 ----a-w C:\WINDOWS\system32\drivers\fwdrv.err
2007-12-26 12:57 --------- d--h--w C:\Program Files\InstallShield Installation Information
2007-12-20 19:46 91,492 ----a-w C:\WINDOWS\system32\drivers\klin.dat
2007-12-12 20:29 85,860 ----a-w C:\WINDOWS\system32\drivers\klick.dat
2007-12-07 14:22 --------- d-----w C:\Program Files\BoontyGames
2007-12-06 21:14 --------- d-----w C:\Program Files\Fichiers communs\Ahead
2007-12-06 21:12 --------- d-----w C:\Program Files\Zylom Games
2007-12-04 20:13 --------- d-----w C:\Program Files\Fichiers communs\Symantec Shared
2007-12-01 19:04 --------- d-----w C:\Program Files\Windows Live
2007-12-01 18:45 --------- d-----w C:\Documents and Settings\All Users\Application Data\WLInstaller
2007-11-13 10:25 20,480 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
2007-11-01 20:38 --------- d-----w C:\Program Files\Windows Live Toolbar
2007-10-23 16:49 586,752 ----a-w C:\WINDOWS\WLXPGSS.SCR
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 15:09]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVP"="C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" [2007-01-29 22:02]
"SoundMan"="SOUNDMAN.EXE" [2007-04-16 15:28 C:\WINDOWS\soundman.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 15:09]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"Winsock2 wqr1s"="EM32\LOL.EXE" []

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Notification Packages REG_MULTI_SZ scecli scecli

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^Patricia^Menu Démarrer^Programmes^Démarrage^BoontyBox 01net.lnk]
path=C:\Documents and Settings\Patricia\Menu Démarrer\Programmes\Démarrage\BoontyBox 01net.lnk
backup=C:\WINDOWS\pss\BoontyBox 01net.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Advanced DHTML Enable]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\cpanel]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
2004-08-19 15:09 15360 --a------ C:\WINDOWS\System32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2006-02-23 15:45 278528 --a------ C:\Program Files\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
C:\Program Files\Messenger\msmsgs.exe /background

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Offices Monitorse]
C:\WINDOWS\System32\algose32.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
C:\Program Files\K-Lite Codec Pack\QuickTime\qttask.exe -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Services]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundService]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2007-09-25 00:11 132496 --a------ C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Net]
dglhskwhkbd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Service]
pefxnguxa.exe

R1 fwdrv;Firewall Driver;C:\WINDOWS\system32\drivers\fwdrv.sys [2007-04-26 09:21]
R1 khips;Kerio HIPS Driver;C:\WINDOWS\system32\drivers\khips.sys [2007-04-26 09:21]
R2 SPF4;Sunbelt Personal Firewall 4;"C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe" [2007-04-26 09:21]
S3 Boonty Games;Boonty Games;"C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe" [2007-08-22 14:32]
S3 fbxusb;Carte réseau virtuelle FreeBox USB;C:\WINDOWS\system32\DRIVERS\fbxusb32.sys [2004-10-20 14:23]

.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2007-12-26 16:31:01 C:\WINDOWS\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job"
.
**************************************************************************

catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-26 17:55:55
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-12-26 18:00:18 - machine was rebooted
C:\ComboFix2.txt ... 2007-12-26 17:04
.
2007-12-13 20:57:18 --- E O F ---


Nouveau HJT :

Logfile of HijackThis v1.99.1
Scan saved at 18:10:44, on 26/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Documents and Settings\Patricia\Bureau\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavweb...
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls...
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/fl...
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe


Rapport Virus total sur C:\WINDOWS\system32\drivers\secdrv.sys :


Fichier secdrv.sys reçu le 2007.12.26 18:32:58 (CET)
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2007.12.27.10 2007.12.26 -
AntiVir 7.6.0.46 2007.12.26 -
Authentium 4.93.8 2007.12.26 -
Avast 4.7.1098.0 2007.12.26 -
AVG 7.5.0.516 2007.12.25 -
BitDefender 7.2 2007.12.26 -
CAT-QuickHeal 9.00 2007.12.25 -
ClamAV 0.91.2 2007.12.26 -
DrWeb 4.44.0.09170 2007.12.26 -
eSafe 7.0.15.0 2007.12.26 -
eTrust-Vet 31.3.5400 2007.12.24 -
Ewido 4.0 2007.12.26 -
FileAdvisor 1 2007.12.26 -
Fortinet 3.14.0.0 2007.12.26 -
F-Prot 4.4.2.54 2007.12.25 -
F-Secure 6.70.13030.0 2007.12.26 -
Ikarus T3.1.1.15 2007.12.26 -
Kaspersky 7.0.0.125 2007.12.26 -
McAfee 5192 2007.12.24 -
Microsoft 1.3109 2007.12.26 -
NOD32v2 2747 2007.12.25 -
Norman 5.80.02 2007.12.26 -
Panda 9.0.0.4 2007.12.25 -
Prevx1 V2 2007.12.26 -
Rising 20.24.21.00 2007.12.26 -
Sophos 4.24.0 2007.12.26 -
Sunbelt 2.2.907.0 2007.12.21 -
Symantec 10 2007.12.26 -
TheHacker 6.2.9.168 2007.12.22 -
VBA32 3.12.2.5 2007.12.26 -
VirusBuster 4.3.26:9 2007.12.26 -
Webwasher-Gateway 6.6.2 2007.12.26 -
Information additionnelle
File size: 20480 bytes
MD5: 90a3935d05b494a5a39d37e71f09a677
SHA1: 51613026e706f9bdcbc0c94cf2014bc9fb58a3e8
PEiD: -

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2007.12.27.10 2007.12.26 -
AntiVir 7.6.0.46 2007.12.26 -
Authentium 4.93.8 2007.12.26 -
Avast 4.7.1098.0 2007.12.26 -
AVG 7.5.0.516 2007.12.25 -
BitDefender 7.2 2007.12.26 -
CAT-QuickHeal 9.00 2007.12.25 -
ClamAV 0.91.2 2007.12.26 -
DrWeb 4.44.0.09170 2007.12.26 -
eSafe 7.0.15.0 2007.12.26 -
eTrust-Vet 31.3.5400 2007.12.24 -
Ewido 4.0 2007.12.26 -
FileAdvisor 1 2007.12.26 -
Fortinet 3.14.0.0 2007.12.26 -
F-Prot 4.4.2.54 2007.12.25 -
F-Secure 6.70.13030.0 2007.12.26 -
Ikarus T3.1.1.15 2007.12.26 -
Kaspersky 7.0.0.125 2007.12.26 -
McAfee 5192 2007.12.24 -
Microsoft 1.3109 2007.12.26 -
NOD32v2 2747 2007.12.25 -
Norman 5.80.02 2007.12.26 -
Panda 9.0.0.4 2007.12.25 -
Prevx1 V2 2007.12.26 -
Rising 20.24.21.00 2007.12.26 -
Sophos 4.24.0 2007.12.26 -
Sunbelt 2.2.907.0 2007.12.21 -
Symantec 10 2007.12.26 -
TheHacker 6.2.9.168 2007.12.22 -
VBA32 3.12.2.5 2007.12.26 -
VirusBuster 4.3.26:9 2007.12.26 -
Webwasher-Gateway 6.6.2 2007.12.26 -

Information additionnelle
File size: 20480 bytes
MD5: 90a3935d05b494a5a39d37e71f09a677
SHA1: 51613026e706f9bdcbc0c94cf2014bc9fb58a3e8
PEiD: -

J'ai édité le script, il y avait une coquille.

Je viens donc de refaire un ComboFix donc voici le résultat (log avant reboot) :

ComboFix 07-12-21.4 - Patricia 2007-12-26 21:11:08.3 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.56 [GMT 1:00]Running from: C:\Documents and Settings\Patricia\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\Patricia\Bureau\CFScript.txt
* Created a new restore point
.

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-11-26 to 2007-12-26 ))))))))))))))))))))))))))))))))))))
.

2007-12-26 13:59 . 2006-08-01 15:02 49,152 --a------ C:\WINDOWS\system32\ChCfg.exe
2007-12-26 13:58 . 2007-10-26 11:20 4,124,352 -ra------ C:\WINDOWS\system32\drivers\alcxwdm.sys
2007-12-26 13:57 . 2007-12-26 13:58 <REP> d-------- C:\Program Files\Realtek AC97
2007-12-26 13:57 . 2006-11-17 05:40 18,804,736 --a------ C:\WINDOWS\system32\alsndmgr.cpl
2007-12-26 13:57 . 2006-12-08 15:20 10,528,768 --a------ C:\WINDOWS\system32\RTLCPL.exe
2007-12-26 13:57 . 2007-04-16 15:28 577,536 --a------ C:\WINDOWS\soundman.exe
2007-12-26 13:57 . 2006-07-31 11:19 315,392 --a------ C:\WINDOWS\alcupd.exe
2007-12-26 13:57 . 2006-07-31 11:27 217,088 --a------ C:\WINDOWS\Alcrmv.exe
2007-12-26 13:57 . 2006-10-18 02:53 147,456 --a------ C:\WINDOWS\system32\RtlCPAPI.dll
2007-12-26 13:57 . 2002-02-05 13:54 141,016 --a------ C:\WINDOWS\system32\alsndmgr.wav
2007-12-26 13:52 . 2007-12-26 13:52 <REP> d-------- C:\Program Files\ma-config.com
2007-12-26 13:52 . 2007-12-26 13:52 <REP> d-------- C:\Documents and Settings\Patricia\Application Data\ma-config.com
2007-12-24 18:06 . 2007-12-24 21:05 <REP> d-------- C:\Program Files\Navilog1
2007-12-01 20:06 . 2006-11-29 13:06 3,426,072 --a------ C:\WINDOWS\system32\d3dx9_32.dll
2007-12-01 20:03 . 2007-12-01 20:03 <REP> d-------- C:\Program Files\Microsoft SQL Server Compact Edition
2007-12-01 19:45 . 2007-12-01 19:49 <REP> d--hsc--- C:\Program Files\Fichiers communs\WindowsLiveInstaller

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-26 20:20 --------- d-----w C:\Documents and Settings\All Users\Application Data\Kaspersky Lab
2007-12-26 20:19 495,648 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat
2007-12-26 20:19 11,260,960 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2007-12-26 20:18 48,560 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx
2007-12-26 20:18 153,956 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2007-12-26 13:02 8,461,389 ----a-w C:\WINDOWS\system32\drivers\fwdrv.err
2007-12-26 12:57 --------- d--h--w C:\Program Files\InstallShield Installation Information
2007-12-20 19:46 91,492 ----a-w C:\WINDOWS\system32\drivers\klin.dat
2007-12-12 20:29 85,860 ----a-w C:\WINDOWS\system32\drivers\klick.dat
2007-12-07 14:22 --------- d-----w C:\Program Files\BoontyGames
2007-12-06 21:14 --------- d-----w C:\Program Files\Fichiers communs\Ahead
2007-12-06 21:12 --------- d-----w C:\Program Files\Zylom Games
2007-12-04 20:13 --------- d-----w C:\Program Files\Fichiers communs\Symantec Shared
2007-12-01 19:04 --------- d-----w C:\Program Files\Windows Live
2007-12-01 18:45 --------- d-----w C:\Documents and Settings\All Users\Application Data\WLInstaller
2007-11-13 10:25 20,480 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
2007-11-01 20:38 --------- d-----w C:\Program Files\Windows Live Toolbar
2007-10-23 16:49 586,752 ----a-w C:\WINDOWS\WLXPGSS.SCR
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 15:09]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVP"="C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" [2007-01-29 22:02]
"SoundMan"="SOUNDMAN.EXE" [2007-04-16 15:28 C:\WINDOWS\soundman.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 15:09]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"Winsock2 wqr1s"="EM32\LOL.EXE" []

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Notification Packages REG_MULTI_SZ scecli scecli

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^Patricia^Menu Démarrer^Programmes^Démarrage^BoontyBox 01net.lnk]
path=C:\Documents and Settings\Patricia\Menu Démarrer\Programmes\Démarrage\BoontyBox 01net.lnk
backup=C:\WINDOWS\pss\BoontyBox 01net.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Advanced DHTML Enable]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\cpanel]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
2004-08-19 15:09 15360 --a------ C:\WINDOWS\System32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2006-02-23 15:45 278528 --a------ C:\Program Files\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
C:\Program Files\Messenger\msmsgs.exe /background

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Offices Monitorse]
C:\WINDOWS\System32\algose32.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
C:\Program Files\K-Lite Codec Pack\QuickTime\qttask.exe -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Services]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundService]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2007-09-25 00:11 132496 --a------ C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

R1 fwdrv;Firewall Driver;C:\WINDOWS\system32\drivers\fwdrv.sys [2007-04-26 09:21]
R1 khips;Kerio HIPS Driver;C:\WINDOWS\system32\drivers\khips.sys [2007-04-26 09:21]
R2 SPF4;Sunbelt Personal Firewall 4;"C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe" [2007-04-26 09:21]
S3 Boonty Games;Boonty Games;"C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe" [2007-08-22 14:32]
S3 fbxusb;Carte réseau virtuelle FreeBox USB;C:\WINDOWS\system32\DRIVERS\fbxusb32.sys [2004-10-20 14:23]

.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2007-12-26 17:31:00 C:\WINDOWS\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job"
.
**************************************************************************

catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-26 21:20:32
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-12-26 21:24:08 - machine was rebooted
C:\ComboFix2.txt ... 2007-12-26 18:00
C:\ComboFix3.txt ... 2007-12-26 17:04
.
2007-12-13 20:57:18 --- E O F ---


Et il a reboot après.  

Là c'est oki  

C'est tout propre nickel chrome ?

Over nicke  

En lançant un scan avec KAV, il m'a retrouvé les trojans dans la restauration du système. Je l'ai désactivée et réactivée. Ça suffit ?

Oui  
T'as de bons réflexes !

Oki doki !

Encore une fois (j'ai arrêté de les compter), merci Angel pour ton aide. Normalement, je ne vais pas en récupérer d'autres avant un bon moment  .

T'as pas un cousin super éloigné ?  

Bon, je vais faire des recherches alors... s'ils sont tous aussi doués les uns que les autres avec un PC, je peux te fournir du boulot pour le restant de tes jours.  

On va éviter, passe de bonnes fêtes  

Toi aussi et merci encore !