PHISH/FraudTool.Reanimator.A [Résolu]

Salut...

Chemin d'accès ? ( emplacement )

Clique sur le lien dans ma signature, ça t'évitera de venir trop souvent ici.

 

Bonjour,

Vous avez beau me faire lire le dossier de prèvention, nous ne sommes pas censé savoir qu'un dossier n'est pas sûr quand on le reçoit et à chaque fois que antivir le signal il est trop tard, le ver est dans la pomme.
Il serait mieux qu'il nous dise de ne pas ouvrir ce dossier qui viens pourtant d'une connaissance.
Pour le chemin je vais regarder.

Merci

Voici ce que j'ai trouvé,
C:\System Volume Information\_Restore{A0F107DC-4A4B-4650-AA49-784C79908B66}\RP4\A0000096.exe
Mais je crois qu'il y a d'autres emplacements?
Je cherche et je vous dit quoi.
Merci

Re,

Permets-moi de douter du fait que tu aies lu le dossier en entier  



Ce n'est pourtant pas compliqué : ne pas ouvrir de liens sur msn  

Télécharge puis installe Hijackthis (Trend Micro)
Poste ensuite un rapport dans ta prochaine réponse.
AIDE : Comment utiliser Hijackthis v2.0.2

 

Bonjour,

Je n'ai pas MSN!

Alors j'ai installé Hijackthis mais il ne veut pas démarer lorsque je clique sur l'incone de mon bureau comme si le virus le bloquait.

 

Il y a un message d'erreur ?

Non rien ne se passe, je clique sur l'icone pour l'installer et rien ne démarre alors que tout le reste fonctionne bien.

Supprime ta version et retélécharge-la  

Si toujours rien, on fera autrement.

 

J'essaye de nouveau mais j'ai déjà fait.

Re,

Télécharge Deckard's System Scanner (DSS) (ou DSS) sur ton Bureau.
NB : Tu dois être connecté avec des droits d'Administrateur.

ferme toutes les applications et fenêtres

double-clique sur dss.exe pour le lancer et suis les instructions ci-dessous
Attention, il est conseillé de stopper temporairement les logiciels résidents de protection (pare-feu, antivirus, etc.)

s'il s'agit d'une première utilisation ou d'une nouvelle version de DSS :

tu devras cliquer 2 fois sur le OK des boîtes de dialogue
Attention, si tu tardes trop, la réponse Abandon sera automatiquement validée

quand le traitement est terminé (clique sur OK), deux fichiers texte s'affichent :
main.txt <- ouvert en premier plan et en plein écran
extra.txt <- ouvert en second plan et en fenêtré (regarde la barre des taches)
S'il s'agit d'une utilisation supplémentaire de DSS :

tu n'auras pas de boîte de dialogue (pas de OK)

quand le traitement est terminé, un fichier texte s'affiche :
main.txt <- ouvert en premier plan et en plein écran

copie (Ctrl+A puis Ctrl+C) et colle (Ctrl+V) le contenu de main.txt dans ton prochain post

copie de même le contenu de extra.txt dans ton prochain post, si tu as ce fichier (première utilisation)

n'oublie pas de réactiver les protections si elles ont été stoppées.



Ce que fait DSS :

crée un point de restauration dans Windows XP et Vista

nettoie les fichiers temporaires, DPF-Downloaded Program Files et le Cache Internet, vide la Corbeille de tous les lecteurs

vérifie quelques zones importantes de ton système et établit un rapport pour examen par ton conseiller en sécurité. DSS lance automatiquement HijackThis pour toi; il va aussi créer un raccourci HijackThis sur ton Bureau si tu n'as pas déjà HijackThis d'installé.

 

Alors c'est fois il a bien voulu l'installer, mais lorsque je clique sur le raccourci
rien ne se passe et aucune page ne s'affiche.
Merci

Alors DSS ne veut pas démarer non plus, je commence à m'inquièté fortement.

Re,

Tu es sous XP ou vista ?

Windows XP service Pack 1

Re,

Essaie ça et tente de relancer hijackthis et dss.

Télécharge ce fichier .zip   Ouvre-le et place le fichier qu'il contient sur ton bureau.
http://dougknox.com/xp/fileassoc/xp_exe_fix.zip

Utilisation du fichier:
- double cliquer sur le fichier (Bureau) / Accepter l'avertissement concernant la fusion / ne pas s'étonner de ne rien voir / valider le message disant que la fusion est terminée.

Tiens-moi au courant.

 

Je suis désolé, mais rien ne fonctionne.Ni Hijackthis Ni DSS

Re,

Fais un scan en ligne Kaspersky avec Internet Explorer :

Clique sur

Clique maintenant sur J'accepte.

Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.

Patiente pendant l'installation des Mises à jour.

Choisis par la suite l'analyse du Poste de travail

Sauvegarde puis colle le rapport généré en fin d'analyse.

AIDE : Tuto sur le scan en ligne

NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

 

Voici le rapport de Kaspersky

KASPERSKY ON-LINE SCANNER REPORT
Sunday, March 30, 2008 11:07:20 PM
Système d'exploitation : Microsoft Windows XP Professional, (Build 2600)
Kaspersky On-line Scanner version : 5.0.83.0
Dernière mise à jour de la base antivirus Kaspersky : 30/03/2008
Enregistrements dans la base antivirus Kaspersky : 604690


Paramètres d'analyse
Analyser avec la base antivirus suivante standard
Analyser les archives vrai
Analyser les bases de messagerie vrai

Cible de l'analyse Poste de travail
A:\
C:\
D:\
E:\

Statistiques de l'analyse
Total d'objets analysés 82747
Nombre de virus trouvés 2
Nombre d'objets infectés 6 / 0
Nombre d'objets suspects 0
Durée de l'analyse 01:41:48

Nom de l'objet infecté Nom du virus Dernière action
C:\Documents and Settings\LocalService\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\Napoleon\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Napoleon\Local Settings\Application Data\ApplicationHistory\hpqimzone.exe.3204510e.ini.inuse L'objet est verrouillé ignoré

C:\Documents and Settings\Napoleon\Local Settings\Application Data\HP\Digital Imaging\db\administrativeInfo.dbf L'objet est verrouillé ignoré

C:\Documents and Settings\Napoleon\Local Settings\Application Data\HP\Digital Imaging\db\albumImagesTable.cdx L'objet est verrouillé ignoré

C:\Documents and Settings\Napoleon\Local Settings\Application Data\HP\Digital Imaging\db\albumImagesTable.dbf L'objet est verrouillé ignoré

C:\Documents and Settings\Napoleon\Local Settings\Application Data\HP\Digital Imaging\db\albumTable.cdx L'objet est verrouillé ignoré

C:\Documents and Settings\Napoleon\Local Settings\Application Data\HP\Digital Imaging\db\albumTable.dbf L'objet est verrouillé ignoré

C:\Documents and Settings\Napoleon\Local Settings\Application Data\HP\Digital Imaging\db\CB_Server_Errors.txt L'objet est verrouillé ignoré

C:\Documents and Settings\Napoleon\Local Settings\Application Data\HP\Digital Imaging\db\EXIFTable.cdx L'objet est verrouillé ignoré

C:\Documents and Settings\Napoleon\Local Settings\Application Data\HP\Digital Imaging\db\EXIFTable.dbf L'objet est verrouillé ignoré

C:\Documents and Settings\Napoleon\Local Settings\Application Data\HP\Digital Imaging\db\imageTable.cdx L'objet est verrouillé ignoré

C:\Documents and Settings\Napoleon\Local Settings\Application Data\HP\Digital Imaging\db\imageTable.dbf L'objet est verrouillé ignoré

C:\Documents and Settings\Napoleon\Local Settings\Application Data\HP\Digital Imaging\db\imageTable.fpt L'objet est verrouillé ignoré

C:\Documents and Settings\Napoleon\Local Settings\Application Data\HP\Digital Imaging\db\keywordImagesTable.cdx L'objet est verrouillé ignoré

C:\Documents and Settings\Napoleon\Local Settings\Application Data\HP\Digital Imaging\db\keywordImagesTable.dbf L'objet est verrouillé ignoré

C:\Documents and Settings\Napoleon\Local Settings\Application Data\HP\Digital Imaging\db\keywordTable.cdx L'objet est verrouillé ignoré

C:\Documents and Settings\Napoleon\Local Settings\Application Data\HP\Digital Imaging\db\keywordTable.dbf L'objet est verrouillé ignoré

C:\Documents and Settings\Napoleon\Local Settings\Application Data\HP\Digital Imaging\db\managedFolderTable.dbf L'objet est verrouillé ignoré

C:\Documents and Settings\Napoleon\Local Settings\Application Data\HP\Digital Imaging\db\pathnameTable.cdx L'objet est verrouillé ignoré

C:\Documents and Settings\Napoleon\Local Settings\Application Data\HP\Digital Imaging\db\pathnameTable.dbf L'objet est verrouillé ignoré

C:\Documents and Settings\Napoleon\Local Settings\Application Data\HP\Digital Imaging\db\propertiesTable.cdx L'objet est verrouillé ignoré

C:\Documents and Settings\Napoleon\Local Settings\Application Data\HP\Digital Imaging\db\propertiesTable.dbf L'objet est verrouillé ignoré

C:\Documents and Settings\Napoleon\Local Settings\Application Data\HP\Digital Imaging\db\ROFImagesTable.cdx L'objet est verrouillé ignoré

C:\Documents and Settings\Napoleon\Local Settings\Application Data\HP\Digital Imaging\db\ROFImagesTable.dbf L'objet est verrouillé ignoré

C:\Documents and Settings\Napoleon\Local Settings\Application Data\HP\Digital Imaging\db\ROFTable.cdx L'objet est verrouillé ignoré

C:\Documents and Settings\Napoleon\Local Settings\Application Data\HP\Digital Imaging\db\ROFTable.dbf L'objet est verrouillé ignoré

C:\Documents and Settings\Napoleon\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Napoleon\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\Napoleon\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Napoleon\Local Settings\Historique\History.IE5\MSHist012008033020080331\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Napoleon\Local Settings\Temp\hpodvd09.log L'objet est verrouillé ignoré

C:\Documents and Settings\Napoleon\Local Settings\Temp\~DF254B.tmp L'objet est verrouillé ignoré

C:\Documents and Settings\Napoleon\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Napoleon\ntuser.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Napoleon\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\RECYCLER\S-1-5-21-515967899-448539723-682003330-1003\Dc7.gz/upload_moi.tar/sysvkqc.exe Infecté : not-virus:Hoax.Win32.Bravia.e ignoré

C:\RECYCLER\S-1-5-21-515967899-448539723-682003330-1003\Dc7.gz/upload_moi.tar Infecté : not-virus:Hoax.Win32.Bravia.e ignoré

C:\RECYCLER\S-1-5-21-515967899-448539723-682003330-1003\Dc7.gz GZIP: infecté - 2 ignoré

C:\System Volume Information\_restore{A0F107DC-4A4B-4650-AA49-784C79908B66}\RP5\change.log L'objet est verrouillé ignoré

C:\sysvkqc.exe Infecté : not-virus:Hoax.Win32.Bravia.e ignoré

C:\WINDOWS\cru629.dat Infecté : Backdoor.Win32.Small.cyb ignoré

C:\WINDOWS\Debug\oakley.log L'objet est verrouillé ignoré

C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré

C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré

C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\cru629.dat Infecté : Backdoor.Win32.Small.cyb ignoré

C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré

C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré

C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré

Analyse terminée.

Re,

Supprime les fichiers suivants en gras ( clic droit, supprimer ) puis vide ta corbeille.

Fais le en mode sans échec pour plus d'efficacité   ( F8 au démarrage )

C:\RECYCLER\S-1-5-21-515967899-448539723-682003330-1003\Dc7.gz
C:\sysvkqc.exe
C:\WINDOWS\cru629.dat

Ensuite fais ça :

Fais un scan en linge avec BitDefender, avec internet explorer ! Sauvegarde tes musiques et photos, il arrive que BitDefender les supprime  

http://www.bitdefender.fr/
et copie colle le résultat ici
* En bas, à gauche de la fenêtre, clique sur BitDefender SCAN ONLINE
* Dans la nouvelle fenêtre, clique sur I agree
* La fenêtre change encore, clique sur Click here to scan
* Les signatures se chargent, etc.

Tutorial en image : http://forum.pcastuces.com/sujet.asp?f=25&s=31584

Poste-moi le rapport en entier  

Vous allez peut être dire que je suis lourd, mais je ne trouve pas le fichier
C:\RECYCLERS\.................. Lorsque j'ouvre le disque C je ne trouve rien qui se nomme comme ça.

Re,

Pour les voir fais ça :

Affiche les fichiers et dossiers cachés …
Pour ce faire, tu vas dans un dossier, par ex. "Mes Images".
Ensuite, clique sur > Outils > Options des dossiers ...
clique sur l' onglet « Affichage » et ...
coche ---> Afficher les fichiers et dossiers cachés
décoche > Masquer les extensions des fichiers dont le type est connu
décoche > Masquer les fichiers protégés du système d' exploitation (recommandé).
« Appliquer » et « OK ».

 

Cela de vient de plus en plus grave, j'ai fait ce que vous avez demandé et ensuite le scan de bitdefender, lorsque il effectue le scan Iexplore me signale qu'il doit fermer la fenêtre car il y a une erreur ensuite l'écran devient noir et il apparait une page bleu texte blanc qui me signale qui si c'est la première fois que j'ai cette page je dois redémarer le pc, mais si ce n'est pas le première fois que je dois vérifier mes nouveaux programmes ou mes nouveaux matériels etc....

Re,

Tu as une sal***** c'est certain. Le problème c'est que tes applications ne semblent pas fonctionner normalement.

Essaie ça :

Désactive toute protection résidente ( antivirus…) !
Déconnecte-toi d’internet, ferme tous les programmes en cours et laisse combofix travailler : ne fais donc pas autre chose en même temps !

Télécharge Combofix de sUBs
Sauvegarde le sur ton bureau et pas ailleurs !
Redémarre en mode sans échecs : aide ici >>>
http://forum.telecharger.01net.com/telecharger/virus_et...
/!\ Ne jamais redémarrer en mode sans échec via msconfig ! /!\

Double-clic sur combofix, Il va te poser une question, réponds par la touche 1 et entrée pour valider, laisse toi guider.
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport. Il se trouve ici : C:\Combofix.txt

Combox fix ne veut pas fonctionné, mais si cela peut vous aider voici ce que me dit antivir à chaque démarage.
Il me signale deux fois que j'ai un virus la première fois voilà l'emplacement
C:\Documents and Settings\Napoleon\local settings\Temporary Internet Files\Content IE5\QZQRIXIJ\Installer2[1].exe
Pour le deuxième message l'emplacement est
C:\Windows\System32\winivstr.exe

Je ne sais pas si cela peux vous aider mais bon!
alors à chaque démarage j'ai ces deux avertissements d'antivir et j'ai beau les mettre en quarantaine, les supprimer etc.... ils reviennent à chaque démarrage.
Désolé de vous ennuyer comme cela et merci pour votre aide.

Re,

Si jamais tu comptes formater, préviens-moi que je ne perde pas mon temps inutilement à chercher une solution.  

Je me renseigne et demande ce qu'en pense les autres helpers. Quand tu dis que tu n'arrives pas à lancer les outils que je te demande d'utiliser, il n'y a vraiment aucun message d'erreur ?

Non aucun message et je viens encore d'essayer tous autres comme DSS, Hijackthis et rien ne veut fonctionné.
Formater j'aimerais bien évité si cela est possible, ceci dit j'ai un second disque dur de 320 G, je pourrais peut-être installé xp sur celui -la et tout transféré et ensuite effacé le c.
Mais pour cela il me faudrai de l'aide.

Re,

J'ai trouvé  

Si tu es sous Vista, désactive l'uac : http://bibou0007.com/tutos-f45/tutorial-desactiver-l-ua...

1) Télécharge Combofix de sUBs : Renomme le avant toute installation, par exemple, nomme le "KillBraviax". aide ici : http://forum.pcastuces.com/sujet.asp?f=25&s=37315
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Sauvegarde le sur ton bureau et pas ailleurs !
Maintenant supprime KIllBraviax de ton PC ( clic droit, supprimer ! )
/!\Surtout ne double clique pas dessus !!! /!\

2) Télécharge SDFix en le renommant avant le téléchargement, comme tu as fait pour Combofix ! Ceci est très important !!! (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
Guide d'utilisation : http://mickael.barroux.free.fr/securite/sdfix.php

Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

Redémarre ton ordinateur

Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).

A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.

Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".

Choisis ton compte.
Déroule la liste des instructions ci-dessous :

Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.bat pour lancer le script.

Appuie sur Y pour commencer le processus de nettoyage.

Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.

Appuie sur une touche pour redémarrer le PC.

Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.

Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.

Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.

Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.

Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum.
N.B.:
- Le fichier SDFIX_README.htm (dans le dossier SDFix) contient la liste des malwares pris en compte par l'outil.
- Andy fait plusieurs mises à jour, souvent plus d'une par jour... N'hésitez donc pas à demander de télécharger une nouvelle version lorsque le nettoyage dure et que l'outil ne semble pas tout voir.


Bonne nuit et à demain  

Bonjour,

Voici le rapport SDFIX, lorsqu'il a eu terminé et que les icones de mon bureau sont apparues deux icones supplémentaires se sont placées sur mon bureau, un fichier WinRar nommé catchme.zip et un fichier texte nommé
catchme.log


SDFix: Version 1.165

Run by Napoleon on mar. 01/04/2008 at 09:56

Microsoft Windows XP [version 5.1.2600]
Running From: C:\DOCUME~1\Napoleon\Bureau\SDFix

Checking Services :

Name:
efidriver

Path:
\??\C:\WINDOWS\system\efidriver.drv

efidriver - Deleted



Restoring Windows Registry Values
Restoring Windows Default Hosts File
Resetting AppInit_DLLs value


Rebooting


Infected beep.sys Found!

beep.sys File Locations:

"C:\WINDOWS\Drivers\beep.sys" 35840 29/03/2008 12:23
"C:\WINDOWS\system32\dllcache\beep.sys" 35840 29/03/2008 12:23
"C:\WINDOWS\system32\drivers\beep.sys" 35840 29/03/2008 12:23

Infected File Listed Below:

C:\WINDOWS\system32\dllcache\beep.sys
C:\WINDOWS\system32\drivers\beep.sys

File copied to Backups Folder
Attempting to replace beep.sys with original version


Original beep.sys Restored

"C:\WINDOWS\Drivers\beep.sys" 35840 29/03/2008 12:23
"C:\WINDOWS\system32\dllcache\beep.sys" 4224 31/03/2008 20:15
"C:\WINDOWS\system32\drivers\beep.sys" 4224 31/03/2008 20:15



Checking Files :

Trojan Files Found:

C:\115716~1 - Deleted
C:\WINDOWS\braviax.exe - Deleted
C:\WINDOWS\cru629.dat - Deleted
C:\WINDOWS\system32\braviax.exe - Deleted
C:\WINDOWS\system32\univrs32.dat - Deleted


Could Not Remove C:\WINDOWS\system32\cru629.dat



Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-01 10:05:23
Windows 5.1.2600 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

C:\WINDOWS\system32\CatRoot2\tmp.edb

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 1


Remaining Services :



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

Remaining Files :

C:\WINDOWS\system32\cru629.dat Found

File Backups: - C:\DOCUME~1\Napoleon\Bureau\SDFix\backups\backups.zip

Files with Hidden Attributes :

Sun 24 Feb 2008 48 A.SH. --- "C:\WINDOWS\SCE085B71.tmp"
Sat 24 Mar 2007 4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Wed 7 Mar 2001 311,296 A..HR --- "C:\WINDOWS\system32\Tools\AC2K.exe"
Wed 21 Feb 2001 310,784 A..HR --- "C:\WINDOWS\system32\Tools\AC98.exe"
Wed 21 Feb 2001 311,296 A..HR --- "C:\WINDOWS\system32\Tools\ACL98.exe"
Wed 21 Feb 2001 311,808 A..HR --- "C:\WINDOWS\system32\Tools\ACLME.exe"
Fri 27 Apr 2001 327,168 A..HR --- "C:\WINDOWS\system32\Tools\All.exe"
Fri 24 Nov 2000 316,416 A..HR --- "C:\WINDOWS\system32\Tools\AutoClick.exe"
Tue 16 Oct 2001 363,008 A..HR --- "C:\WINDOWS\system32\Tools\Change.exe"
Thu 11 Apr 2002 547,840 A..HR --- "C:\WINDOWS\system32\Tools\CheckPath.exe"
Fri 31 Aug 2001 381,440 A..HR --- "C:\WINDOWS\system32\Tools\Counter.exe"
Mon 21 Jan 2002 360,960 A..HR --- "C:\WINDOWS\system32\Tools\DelDv.exe"
Tue 20 Mar 2001 532,480 A..HR --- "C:\WINDOWS\system32\Tools\DeleteFiles.exe"
Mon 21 Jan 2002 360,960 A..HR --- "C:\WINDOWS\system32\Tools\DelT2.exe"
Mon 21 Jan 2002 360,960 A..HR --- "C:\WINDOWS\system32\Tools\DelT2Dv.exe"
Wed 6 Mar 2002 360,960 A..HR --- "C:\WINDOWS\system32\Tools\DelTools.exe"
Mon 11 Mar 2002 361,472 A..HR --- "C:\WINDOWS\system32\Tools\LostRun.exe"
Tue 3 Apr 2001 296,960 A..HR --- "C:\WINDOWS\system32\Tools\RegClean.exe"
Fri 8 Mar 2002 369,152 A..HR --- "C:\WINDOWS\system32\Tools\Regexe.exe"
Fri 8 Mar 2002 382,464 A..HR --- "C:\WINDOWS\system32\Tools\Restart.exe"
Fri 8 Mar 2002 374,784 A..HR --- "C:\WINDOWS\system32\Tools\RunAP.exe"
Fri 8 Mar 2002 360,960 A..HR --- "C:\WINDOWS\system32\Tools\RunRegexe.exe"
Fri 2 Nov 2001 379,392 A..HR --- "C:\WINDOWS\system32\Tools\SDW98ME.exe"
Fri 9 Mar 2001 312,832 A..HR --- "C:\WINDOWS\system32\Tools\SoundDrv.exe"
Sat 24 Mar 2007 4,348 A..H. --- "C:\Documents and Settings\Napoleon\Mes documents\Ma musique\Sauvegarde de la licence\drmv1key.bak"
Sat 24 Mar 2007 20 A..H. --- "C:\Documents and Settings\Napoleon\Mes documents\Ma musique\Sauvegarde de la licence\drmv1lic.bak"
Sat 24 Mar 2007 400 A..H. --- "C:\Documents and Settings\Napoleon\Mes documents\Ma musique\Sauvegarde de la licence\drmv2key.bak"
Sat 24 Mar 2007 1,536 A..H. --- "C:\Documents and Settings\Napoleon\Mes documents\Ma musique\Sauvegarde de la licence\drmv2lic.bak"
Fri 3 Aug 2007 2,883,072 A..H. --- "C:\Documents and Settings\Napoleon\Mes documents\SBM\L'‚cho des r‚unions\~WRL3551.tmp"
Fri 28 Dec 2007 286,720 A..H. --- "C:\Documents and Settings\Napoleon\Mes documents\SBM\Sommaires\~WRL0004.tmp"
Sat 29 Dec 2007 292,352 A..H. --- "C:\Documents and Settings\Napoleon\Mes documents\SBM\Sommaires\~WRL0005.tmp"
Sat 29 Dec 2007 299,520 A..H. --- "C:\Documents and Settings\Napoleon\Mes documents\SBM\Sommaires\~WRL1815.tmp"

Finished!

 

Héhé, j'étais sûr que ça marcherait  

Poste maintenant un rapport hijackthis, de préférence en renommant hijackthis avant téléchargement  
Mais quelque me dit que le pc va déjà un peu mieux...  

Voici le rapport de Hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:32:55, on 1/04/2008
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls...
O20 - AppInit_DLLs: C:\WINDOWS\system32\cru629.dat
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

--
End of file - 4191 bytes

Re,

Télécharge MalwareByte's Anti-Malware sur ton Bureau.
Installe-le en double-cliquant sur le fichier Download_mbam-setup.exe.

Une fois l'installation et la mise à jour effectuées, redémarre en mode sans échec.
AIDE : Redémarrer en mode sans échec

Exécute maintenant MalwareByte's Anti-Malware. Si cela n'est pas déjà fait, sélectionne "Exécuter un examen complet".

Afin de lancer la recherche, clic sur"Rechercher".

Une fois le scan terminé, une fenêtre s'ouvre, clic sur OK. Deux possibilités s'offrent à toi :
-- si le programme n'a rien trouvé, appuie sur OK. Un rapport va apparaître, ferme-le.
-- si des infections sont présentes, clic sur "Afficher les résultats" puis sur "Supprimer la sélection". Enregistre le rapport sur ton Bureau afin de le poster dans ta prochaine réponse.
[#ff0000]REMARQUE : Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok.[/#f]

AIDE : Tuto en images sur MBAM

 

Voici le rapport,

Malwarebytes' Anti-Malware 1.09
Version de la base de données: 580

Type de recherche: Examen complet (A:\|C:\|D:\|E:\|)
Eléments examinés: 113523
Temps écoulé: 55 minute(s), 21 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{182c7ed7-e56d-4509-9d9b-ac49318d9895} (Trojan.Vundo) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Proxy) -> Data: c:\windows\system32\cru629.dat -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\VundoFix Backups\khhffgh.dll.bad (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\VundoFix Backups\wvututs.dll.bad (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\cru629.dat (Trojan.Proxy) -> Quarantined and deleted successfully.

Re,

Télécharge Deckard's System Scanner (DSS) (ou DSS) sur ton Bureau.
NB : Tu dois être connecté avec des droits d'Administrateur.

ferme toutes les applications et fenêtres

double-clique sur dss.exe pour le lancer et suis les instructions ci-dessous
Attention, il est conseillé de stopper temporairement les logiciels résidents de protection (pare-feu, antivirus, etc.)

s'il s'agit d'une première utilisation ou d'une nouvelle version de DSS :

tu devras cliquer 2 fois sur le OK des boîtes de dialogue
Attention, si tu tardes trop, la réponse Abandon sera automatiquement validée

quand le traitement est terminé (clique sur OK), deux fichiers texte s'affichent :
main.txt <- ouvert en premier plan et en plein écran
extra.txt <- ouvert en second plan et en fenêtré (regarde la barre des taches)
S'il s'agit d'une utilisation supplémentaire de DSS :

tu n'auras pas de boîte de dialogue (pas de OK)

quand le traitement est terminé, un fichier texte s'affiche :
main.txt <- ouvert en premier plan et en plein écran

copie (Ctrl+A puis Ctrl+C) et colle (Ctrl+V) le contenu de main.txt dans ton prochain post

copie de même le contenu de extra.txt dans ton prochain post, si tu as ce fichier (première utilisation)

n'oublie pas de réactiver les protections si elles ont été stoppées.



Ce que fait DSS :

crée un point de restauration dans Windows XP et Vista

nettoie les fichiers temporaires, DPF-Downloaded Program Files et le Cache Internet, vide la Corbeille de tous les lecteurs

vérifie quelques zones importantes de ton système et établit un rapport pour examen par ton conseiller en sécurité. DSS lance automatiquement HijackThis pour toi; il va aussi créer un raccourci HijackThis sur ton Bureau si tu n'as pas déjà HijackThis d'installé.

 

Voici les rapports,

Deckard's System Scanner v20071014.68
Run by Napoleon on 2008-04-02 00:38:43
Computer is in Normal Mode.
--------------------------------------------------------------------------------

-- System Restore --------------------------------------------------------------

Successfully created a Deckard's System Scanner Restore Point.


-- Last 5 Restore Point(s) --
8: 2008-04-01 22:38:48 UTC - RP8 - Deckard's System Scanner Restore Point
7: 2008-04-01 18:22:07 UTC - RP7 - Point de vérification système
6: 2008-03-31 17:32:59 UTC - RP6 - Point de vérification système
5: 2008-03-30 13:13:37 UTC - RP5 - Point de vérification système
4: 2008-03-29 12:37:26 UTC - RP4 - Spyware Terminator - restore point


-- First Restore Point --
1: 2008-03-27 13:00:07 UTC - RP1 - Point de vérification système


Backed up registry hives.
Performed disk cleanup.



-- HijackThis (run as Napoleon.exe) --------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 0:39:32, on 2/04/2008
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Documents and Settings\Napoleon\Bureau\dss.exe
C:\PROGRA~1\TRENDM~1\HIJACK~1\Napoleon.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls...
O20 - AppInit_DLLs: C:\WINDOWS\system32\cru629.dat
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

--
End of file - 4229 bytes

-- File Associations -----------------------------------------------------------

.cpl - cplfile - shell\cplopen\command - rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.reg - regfile - shell\open\command - regedit.exe"%1" %*
.scr - scrfile - shell\open\command - "%1" %*


-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------

R1 prodrv04 (Star Force copy protection driver v4) - c:\windows\system32\drivers\prodrv04.sys <Not Verified; Protection Technology Co.; Star Force copy protection>
R2 ousbehci (NEC PCI to USB Enhanced Host Controller) - c:\windows\system32\drivers\ousbehci.sys <Not Verified; OrangeWare Corporation; USB 2.0 Enhanced Host Controller Driver>
R3 ousb2hub (OrangeWare USB 2.0 Root Hub Support) - c:\windows\system32\drivers\ousb2hub.sys <Not Verified; OrangeWare Corporation; USB 2.0 Hub Driver>

S3 catchme - c:\docume~1\napoleon\locals~1\temp\catchme.sys (file missing)
S3 cmuda (C-Media WDM Audio Interface) - c:\windows\system32\drivers\cmuda.sys (file missing)
S3 IPFilter (Microsoft IntelliPoint Features driver) - c:\windows\system32\drivers\ipfilter.sys <Not Verified; Microsoft Corporation; Microsoft IntelliPoint>
S3 pcouffin (VSO Software pcouffin) - c:\windows\system32\drivers\pcouffin.sys <Not Verified; VSO Software; Patin couffin engine>


-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------

R2 AntiVirScheduler (AntiVir PersonalEdition Classic Scheduler) - "c:\program files\avira\antivir personaledition classic\sched.exe" <Not Verified; Avira GmbH; Scheduler>


-- Device Manager: Disabled ----------------------------------------------------

No disabled devices found.


-- Files created between 2008-03-02 and 2008-04-02 -----------------------------

2008-04-01 20:32:43 0 d-------- C:\Documents and Settings\Napoleon\Application Data\Malwarebytes
2008-04-01 20:32:28 0 d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-04-01 20:32:27 0 d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-04-01 19:31:41 0 d-------- C:\Program Files\Trend Micro
2008-04-01 09:53:00 0 d-------- C:\WINDOWS\ERUNT
2008-03-31 16:20:18 0 d-------- C:\WINDOWS\BDOSCAN8
2008-03-31 12:45:08 0 d--h----- C:\Documents and Settings\Administrateur\Voisinage réseau
2008-03-31 12:45:08 0 d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression
2008-03-31 12:45:08 0 dr-h----- C:\Documents and Settings\Administrateur\SendTo
2008-03-31 12:45:08 0 d--h----- C:\Documents and Settings\Administrateur\Recent
2008-03-31 12:45:08 0 d--h----- C:\Documents and Settings\Administrateur\Modèles
2008-03-31 12:45:08 0 d-------- C:\Documents and Settings\Administrateur\Mes documents
2008-03-31 12:45:08 0 dr------- C:\Documents and Settings\Administrateur\Menu Démarrer
2008-03-31 12:45:08 0 d--h----- C:\Documents and Settings\Administrateur\Local Settings
2008-03-31 12:45:08 0 d-------- C:\Documents and Settings\Administrateur\Favoris
2008-03-31 12:45:08 0 d---s---- C:\Documents and Settings\Administrateur\Cookies
2008-03-31 12:45:08 0 d-------- C:\Documents and Settings\Administrateur\Bureau
2008-03-31 12:45:08 0 dr-h----- C:\Documents and Settings\Administrateur\Application Data
2008-03-31 12:45:08 0 d---s---- C:\Documents and Settings\Administrateur\Application Data\Microsoft
2008-03-31 12:45:08 0 d-------- C:\Documents and Settings\Administrateur\Application Data\DivX
2008-03-31 12:45:07 1572864 --ah----- C:\Documents and Settings\Administrateur\NTUSER.DAT
2008-03-30 21:01:59 0 d-------- C:\WINDOWS\System32\Kaspersky Lab
2008-03-29 12:46:44 0 d-------- C:\Documents and Settings\LocalService\Mes documents
2008-03-29 12:46:05 0 d-------- C:\Documents and Settings\LocalService\Application Data\Adobe
2008-03-29 12:24:03 6144 --a------ C:\WINDOWS\System32\cru629.dat
2008-03-27 23:26:43 0 d-------- C:\Program Files\Microsoft Games
2008-03-27 14:57:50 0 d-------- C:\WINDOWS\Prefetch
2008-03-27 13:58:16 1415680 --a------ C:\WINDOWS\System32\wmv9vcm.dll <Not Verified; Microsoft Corporation; Windows Media Video 9 VCM>
2008-03-24 20:29:21 5378048 --a------ C:\Documents and Settings\Napoleon\ntuser.dat
2008-03-24 20:06:52 0 d-------- C:\DVR112D
2008-03-20 15:27:30 217127 --a------ C:\WINDOWS\System32\drv43260.dll <Not Verified; RealNetworks, Inc.; RealVideo 9 (32-bit)>
2008-03-20 15:27:30 208935 --a------ C:\WINDOWS\System32\drv33260.dll <Not Verified; RealNetworks, Inc.; RealVideo 8 (32-bit)>
2008-03-20 15:27:30 176165 --a------ C:\WINDOWS\System32\drv23260.dll <Not Verified; RealNetworks, Inc.; RealVideo G2 (32-bit)>
2008-03-20 15:27:30 65602 --a------ C:\WINDOWS\System32\cook3260.dll <Not Verified; RealNetworks, Inc.; RealPlayer 10>
2008-03-16 13:13:21 0 d-------- C:\WINDOWS\LogFiles


-- Find3M Report ---------------------------------------------------------------

2008-03-30 14:39:48 29040 --a------ C:\Documents and Settings\Napoleon\Application Data\GDIPFONTCACHEV1.DAT
2008-03-30 14:04:35 0 d-------- C:\Documents and Settings\Napoleon\Application Data\Vso
2008-03-30 11:29:00 445016 --a------ C:\WINDOWS\System32\perfh00C.dat
2008-03-30 11:29:00 63614 --a------ C:\WINDOWS\System32\perfc00C.dat
2008-03-27 23:11:42 0 d-------- C:\Documents and Settings\Napoleon\Application Data\Adobe
2008-03-27 14:58:10 0 d--h----- C:\Program Files\WindowsUpdate
2008-03-27 14:49:18 23700 --a------ C:\WINDOWS\System32\emptyregdb.dat
2008-03-27 14:48:44 0 d-------- C:\Program Files\Messenger
2008-03-24 17:55:48 0 d-------- C:\Program Files\Shareaza Applications
2008-03-24 17:55:42 0 d-------- C:\Program Files\Project64 1.6
2008-03-24 17:11:34 47360 --a------ C:\Documents and Settings\Napoleon\Application Data\pcouffin.sys <Not Verified; VSO Software; Patin couffin engine>
2008-03-24 17:11:34 33 --a------ C:\Documents and Settings\Napoleon\Application Data\pcouffin.log
2008-03-24 17:11:34 1144 --a------ C:\Documents and Settings\Napoleon\Application Data\pcouffin.inf
2008-03-24 17:11:34 7887 --a------ C:\Documents and Settings\Napoleon\Application Data\pcouffin.cat
2008-03-20 15:53:47 668 -----n--- C:\Documents and Settings\Napoleon\Application Data\vso_ts_preview.xml
2008-03-20 15:27:27 0 d-------- C:\Program Files\vso
2008-03-16 13:16:08 0 d-------- C:\Program Files\Fichiers communs\Adobe
2008-03-05 18:17:41 4212 --ah----- C:\WINDOWS\System32\zllictbl.dat
2008-02-24 18:37:03 0 d-------- C:\Program Files\Elaborate Bytes
2008-02-03 15:44:00 0 d-------- C:\Program Files\MOJOSOFT
2008-02-03 15:44:00 0 d-------- C:\Documents and Settings\Napoleon\Application Data\mojosoft
2008-01-04 23:58:50 3596288 --a------ C:\WINDOWS\System32\qt-dx331.dll
2008-01-04 23:57:22 196608 --a------ C:\WINDOWS\System32\dtu100.dll <Not Verified; DivX, Inc.; DivX, Inc. dtu100>
2008-01-04 23:57:22 81920 --a------ C:\WINDOWS\System32\dpl100.dll <Not Verified; DivX, Inc.; DivX, Inc. dpl100>
2008-01-04 23:57:12 823296 --a------ C:\WINDOWS\System32\divx_xx07.dll <Not Verified; DivX, Inc.; DivX®>
2008-01-04 23:57:10 802816 --a------ C:\WINDOWS\System32\divx_xx11.dll <Not Verified; DivX, Inc.; DivX?>
2008-01-04 23:57:10 823296 --a------ C:\WINDOWS\System32\divx_xx0c.dll <Not Verified; DivX, Inc.; DivX®>
2008-01-04 23:57:10 682496 --a------ C:\WINDOWS\System32\DivX.dll <Not Verified; DivX, Inc.; DivX®>
2008-01-04 23:56:24 12288 --a------ C:\WINDOWS\System32\DivXWMPExtType.dll


-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SiSUSBRG"="C:\WINDOWS\SiSUSBrg.exe" [26/04/2002 11:17]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [02/05/2003 09:19]
"nwiz"="nwiz.exe" [02/05/2003 09:19 C:\WINDOWS\system32\nwiz.exe]
"HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd2.exe" [12/05/2005 00:12]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [11/06/2007 16:53]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [04/01/2008 23:12]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [11/01/2008 23:16]
"KernelFaultCheck"="C:\WINDOWS\system32\dumprep 0 -k" []

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [28/08/2001 14:00]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"NvMediaCenter"=RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
D‚marrage rapide du logiciel HP Image Zone.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe [12/05/2005 1:49:24]
HP Digital Imaging Monitor.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe [12/05/2005 0:23:26]
Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [13/02/2001 10:01:04]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"=C:\WINDOWS\system32\cru629.dat

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll,




-- End of Deckard's System Scanner: finished at 2008-04-02 00:40:21 ------------

Deckard's System Scanner v20071014.68
Extra logfile - please post this as an attachment with your post.
--------------------------------------------------------------------------------

-- System Information ----------------------------------------------------------

Microsoft Windows XP Professionnel (build 2600)
Architecture: X86; Language: French

CPU 0: AMD Athlon(tm) XP 2400+
Percentage of Memory in Use: 28%
Physical Memory (total/avail): 767.48 MiB / 552.51 MiB
Pagefile Memory (total/avail): 1878.58 MiB / 1689.78 MiB
Virtual Memory (total/avail): 2047.88 MiB / 1932.03 MiB

A: is Removable (No Media)
C: is Fixed (NTFS) - 76.33 GiB total, 52.22 GiB free.
D: is CDROM (No Media)
E: is Fixed (NTFS) - 298.09 GiB total, 101.3 GiB free.

\\.\PHYSICALDRIVE0 - Maxtor 6Y080L0 - 76.33 GiB - 1 partition
\PARTITION0 (bootable) - Système de fichiers installable - 76.33 GiB - C:

\\.\PHYSICALDRIVE1 - ST3320620A - 298.09 GiB - 1 partition
\PARTITION0 - Système de fichiers installable - 298.09 GiB - E:



-- Security Center -------------------------------------------------------------

AUOptions is disabled.


-- Environment Variables -------------------------------------------------------

ALLUSERSPROFILE=C:\Documents and Settings\All Users
APPDATA=C:\Documents and Settings\Napoleon\Application Data
CLIENTNAME=Console
CommonProgramFiles=C:\Program Files\Fichiers communs
COMPUTERNAME=SBM-BFKIY24KPT4
ComSpec=C:\WINDOWS\system32\cmd.exe
HOMEDRIVE=C:
HOMEPATH=\Documents and Settings\Napoleon
LOGONSERVER=\\SBM-BFKIY24KPT4
NUMBER_OF_PROCESSORS=1
OS=Windows_NT
Path=C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\system32\WBEM
PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
PROCESSOR_ARCHITECTURE=x86
PROCESSOR_IDENTIFIER=x86 Family 6 Model 8 Stepping 1, AuthenticAMD
PROCESSOR_LEVEL=6
PROCESSOR_REVISION=0801
ProgramFiles=C:\Program Files
PROMPT=$P$G
SESSIONNAME=Console
SystemDrive=C:
SystemRoot=C:\WINDOWS
TEMP=C:\DOCUME~1\Napoleon\LOCALS~1\Temp
TMP=C:\DOCUME~1\Napoleon\LOCALS~1\Temp
USERDOMAIN=SBM-BFKIY24KPT4
USERNAME=Napoleon
USERPROFILE=C:\Documents and Settings\Napoleon
windir=C:\WINDOWS


-- User Profiles ---------------------------------------------------------------

Napoleon (admin)
Administrateur (new local, admin)


-- Add/Remove Programs ---------------------------------------------------------

--> C:\Program Files\DivX\DivXConverterUninstall.exe /CONVERTER
--> rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Adobe Flash Player 9 ActiveX --> C:\WINDOWS\System32\Macromed\Flash\FlashUtil9c.exe -uninstallUnlock
Adobe Flash Player ActiveX --> C:\WINDOWS\System32\Macromed\Flash\uninstall_activeX.exe
Adobe Reader 8.1.2 - Français --> MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A81200000003}
Adobe Shockwave Player --> C:\WINDOWS\system32\Macromed\SHOCKW~1\UNWISE.EXE C:\WINDOWS\system32\Macromed\SHOCKW~1\Install.log
Age of Mythology --> "C:\Program Files\Microsoft Games\Age of Mythology\UNINSTAL.EXE" /runtemp /addremove
AOpen Multimedia Utilities --> C:\WINDOWS\IsUninst.exe -f"C:\Program Files\AOpen\Multimedia Utilities\AOMUinst.isu"
Archiveur WinRAR --> C:\Program Files\WinRAR\uninstall.exe
Avira AntiVir PersonalEdition Classic --> C:\Program Files\Avira\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE
BusinessCardsMX 3.7 --> "C:\Program Files\MOJOSOFT\BusinessCardsMX3\unins000.exe"
C-Media WDM Audio Driver --> C:\WINDOWS\system32\cmirmdrv.exe
Casino Empire --> RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{42FA68A0-C0BC-11D6-B2FA-0010B5AC3B10}\setup.exe" -l0x40c
ConvertXtoDVD 2.1.14.223 --> "C:\Program Files\vso\ConvertXtoDVD\unins000.exe"
DFE-530TX Driver --> C:\PROGRA~1\FICHIE~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{F2BB456F-C07B-4EDE-975F-4D6DED19750A}
DivX Codec --> C:\Program Files\DivX\DivXCodecUninstall.exe /CODEC
DivX Content Uploader --> C:\Program Files\DivX\DivXContentUploaderUninstall.exe /CUPLOADER
DivX Converter --> C:\Program Files\DivX\DivXConverterUninstall.exe /CONVERTER
DivX Player --> C:\Program Files\DivX\DivXPlayerUninstall.exe /PLAYER
DivX Web Player --> C:\Program Files\DivX\DivXWebPlayerUninstall.exe /PLUGIN
HijackThis 2.0.2 --> "C:\Program Files\Trend Micro\HijackThis\HijackThis.exe" /uninstall
HP Document Viewer 5.3 --> C:\Program Files\HP\Digital Imaging\DocumentViewer\hpzscr01.exe -datfile hpqbud04.dat
HP Extended Capabilities 5.3 --> C:\Program Files\HP\Digital Imaging\ExtCapUninstall\hpzscr01.exe -datfile hpqhsc01.dat
HP Image Zone 5.3 --> C:\Program Files\HP\Digital Imaging\uninstall\hpzscr01.exe -datfile hpqscr01.dat
HP Imaging Device Functions 5.3 --> C:\Program Files\HP\Digital Imaging\DigitalImagingMonitor\hpzscr01.exe -datfile hpqbud01.dat
HP PSC & OfficeJet 5.3.B --> "C:\Program Files\HP\Digital Imaging\{5B79CFD1-6845-4158-9D7D-6BE89DF2C135}\setup\hpzscr01.exe" -datfile hposcr07.dat
HP Software Update --> MsiExec.exe /X{15EE79F4-4ED1-4267-9B0F-351009325D7D}
HP Solution Center & Imaging Support Tools 5.3 --> C:\Program Files\HP\Digital Imaging\eSupport\hpzscr01.exe -datfile hpqbud05.dat
J2SE Runtime Environment 5.0 Update 11 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150110}
Java(TM) 6 Update 2 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160020}
Kaspersky Online Scanner --> C:\WINDOWS\System32\KASPER~1\KASPER~1\kavuninstall.exe
Malwarebytes' Anti-Malware --> "C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft Office XP Professional avec FrontPage --> MsiExec.exe /I{9028040C-6000-11D3-8CFE-0050048383C9}
Microsoft Visio Professional 2002 [FRA] --> MsiExec.exe /I{9051040C-6D54-11D4-BEE3-00C04F990354}
MSXML4 Parser --> MsiExec.exe /I{01501EBA-EC35-4F9F-8889-3BE346E5DA13}
NVIDIA Windows 2000/XP Display Drivers --> rundll32.exe C:\WINDOWS\System32\nvinstnt.dll,NvUninstallNT4 nv4_disp.inf
QuickTime --> C:\WINDOWS\unvise32qt.exe C:\WINDOWS\System32\QuickTime\Uninstall.log
Shareaza version 2.3.0.0 --> "C:\Program Files\Shareaza\Uninstall\unins000.exe"
SiS Audio Driver --> C:\Progra~1\SiS7012\Uninst\uninst2k.exe PCI\VEN_1039&DEV_7012


-- Application Event Log -------------------------------------------------------

Event Record #/Type300 / Error
Event Submitted/Written: 04/02/2008 00:39:50 AM
Event ID/Source: 8 / crypt32
Event Description:
Échec de la récupération de la mise à jour automatique du numéro de séquence de la liste racine tierce partie à partir de : <http://www.download.windowsupdate.com/msdownload/update...; avec l'erreur : 0x2

Event Record #/Type297 / Error
Event Submitted/Written: 04/01/2008 08:34:21 PM
Event ID/Source: 8193 / VSS
Event Description:
Erreur du service de cliché instantané des volumes : erreur lors de l'appel de la routine CoCreateInstance. hr = 0x80040206.

Event Record #/Type296 / Error
Event Submitted/Written: 04/01/2008 08:34:20 PM
Event ID/Source: 4609 / EventSystem
Event Description:
Le système d'événements de COM+ a détecté un code de renvoi erroné lors de son traitement interne. Le HRESULT est 8007043C à partir de la ligne 44 de d:\nt\com\com1x\src\events\tier1\eventsystemobj.cpp. Contactez les services du Support Technique Microsoft pour signaler cette erreur.

Event Record #/Type295 / Warning
Event Submitted/Written: 04/01/2008 10:05:10 AM
Event ID/Source: 4113 / H+BEDV AntiVir
Event Description:
AntiVir has detected 'TR/Agent.35840.48'
in the file
C:\DOCUME~1\Napoleon\Bureau\SDFix\backups\beep.sys

Event Record #/Type292 / Error
Event Submitted/Written: 04/01/2008 09:51:45 AM
Event ID/Source: 8193 / VSS
Event Description:
Erreur du service de cliché instantané des volumes : erreur lors de l'appel de la routine CoCreateInstance. hr = 0x80040206.



-- Security Event Log ----------------------------------------------------------

No Errors/Warnings found.


-- System Event Log ------------------------------------------------------------

Event Record #/Type95050 / Error
Event Submitted/Written: 04/01/2008 09:41:03 PM
Event ID/Source: 7026 / Service Control Manager
Event Description:
Le pilote de démarrage système ou d'amorçage suivant n'a pas pu se charger :
Jis49

Event Record #/Type95043 / Error
Event Submitted/Written: 04/01/2008 09:38:43 PM
Event ID/Source: 10005 / DCOM
Event Description:
DCOM a reçu l'erreur "%%1084" lors de la mise en route du service EventSystem avec les arguments ""
pour démarrer le serveur :
{1BE1F766-5536-11D1-B726-00C04FB926AF}

Event Record #/Type95042 / Error
Event Submitted/Written: 04/01/2008 09:38:37 PM
Event ID/Source: 10005 / DCOM
Event Description:
DCOM a reçu l'erreur "%%1084" lors de la mise en route du service netman avec les arguments ""
pour démarrer le serveur :
{BA126AE5-2166-11D1-B1D0-00805FC1270E}

Event Record #/Type95041 / Error
Event Submitted/Written: 04/01/2008 08:35:57 PM
Event ID/Source: 7026 / Service Control Manager
Event Description:
Le pilote de démarrage système ou d'amorçage suivant n'a pas pu se charger :
avipbb
Fips
IPSec
Jis49
MRxSmb
NetBIOS
NetBT
prodrv04
RasAcd
Rdbss
ssmdrv
Tcpip

Event Record #/Type95040 / Error
Event Submitted/Written: 04/01/2008 08:35:57 PM
Event ID/Source: 7001 / Service Control Manager
Event Description:
Le service Services IPSEC dépend du service Pilote IPSEC qui n'a pas pu démarrer en raison de l'erreur :
%%31



-- End of Deckard's System Scanner: finished at 2008-04-02 00:40:21 ------------

Bonjour,
On n'est pas au bout de nos peines car en démarrant le PC ce matin, antivir me signale un trojan qui serait encore dans la machine.

 

T'ai-je dit qu'on avait terminé ?  

1) Ton windows est-il cracké ?

2) Télécharge ces fichiers .zip   Ouvre-les et place les fichiers qu'ils contiennent sur ton bureau.
http://dougknox.com/xp/fileassoc/xp_cpl_file_assoc.zip
http://dougknox.com/xp/fileassoc/xp_regfile.zip
http://dougknox.com/xp/fileassoc/xp_scr_fix.zip

Utilisation du fichier: ( tu en a donc trois à faire )
- double cliquer sur le fichier (Bureau) / Accepter l'avertissement concernant la fusion / ne pas s'étonner de ne rien voir / valider le message disant que la fusion est terminée.

3) Télécharger OTMoveIt2 par OldTimer.

Enregistrer ce fichier sur le Bureau.

Faire un double clic sur OTMoveIt2.exe pour lancer l'exécution de l'outil. (Note: Si vous utilisez Vista, faire un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur).

Copier les lignes de la zone "Code" ci-dessous en les sélectionnant TOUTES puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier):

C:\WINDOWS\System32\cru629.dat

Retourner dans la fenêtre de OTMoveIt2, faire un clic droit dans la zone "Paste Standard List of Files/Folders to Move" (sous la barre bleu clair) puis choisir Coller.

Copier les lignes de la zone "Code" ci-dessous en les sélectionnant TOUTES puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier):

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"=-

Retourner dans la fenêtre de OTMoveIt2, faire un clic droit dans la zone "Paste Custom List of Files/Folders to moved" (sous la barre jaune clair normalement) puis choisir Coller.

Cliquer sur le bouton rouge Moveit!.

Copier tout ce qui se trouve dans la zone Results (sous la barre verte) en sélectionnant TOUTES LES LIGNES puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier), et coller ces résulats en réponse sur le forum.

Fermer OTMoveIt2

Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire afin de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes. Dans ce cas, après le redémarrage, ouvrir le Bloc-notes (Démarrer->Tous les programmes->Accessoires->Bloc-notes), cliquer sur Fichier->Ouvrir, dans la zone "Nom du fichier" taper *.log et appuyer sur la touche Entrée, naviguer jusqu'au dossier C:\_OTMoveIt\MovedFiles, puis ouvrir le fichier .log le plus récent; ensuite faire un copier/coller du contenu de ce document en réponse sur le forum.

Si tu obtiens un message comme quoi le rapport ne peut pas être créé, copie/colle ce qui apparaît dans la colonne droite de l’outil.

 

Bonjour,
Les trois fichiers sur le bureau ne fonctionne pas enfin quand je doubleclique sur le fichier une fenêtre s'ouvre en disant impossible de trouver le fichier..............
Et cela le fait avec les trois fichiers.

 

Hum... oki tant pis, fais la suite  

Sinon tu as un CD de windows ?

Bonjour,

Voila je n'arrive pas à trouver comment faire pour avoir la ligne compléte de la zone code.
j'ai été par le lecteur C mais alors j'ai le fichier et pas la ligne;
Je suis désolé de vous ennuyer comme cela.
Pour le CD oui j'ai XP pro.

Re,

Pas de souci, on procédera autrement !

En attendant, insère ton CD xp pro dans ton lecteur. Ne le lance pas et ferme tout application.

Cliquez sur le menu Démarrer

Sélectionnez executer

tapez SFC /scannow puis cliquez sur OK

Poste ensuite un nouveau rapport DSS scan  

Voici le rapport DSS,

Deckard's System Scanner v20071014.68
Run by Napoleon on 2008-04-03 20:36:03
Computer is in Normal Mode.
--------------------------------------------------------------------------------



-- HijackThis (run as Napoleon.exe) --------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:36:06, on 3/04/2008
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Documents and Settings\Napoleon\Bureau\dss.exe
C:\PROGRA~1\TRENDM~1\HIJACK~1\Napoleon.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls...
O20 - AppInit_DLLs: C:\WINDOWS\system32\cru629.dat
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

--
End of file - 4264 bytes

-- Files created between 2008-03-03 and 2008-04-03 -----------------------------

2008-04-01 20:32:43 0 d-------- C:\Documents and Settings\Napoleon\Application Data\Malwarebytes
2008-04-01 20:32:28 0 d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-04-01 20:32:27 0 d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-04-01 19:31:41 0 d-------- C:\Program Files\Trend Micro
2008-04-01 09:53:00 0 d-------- C:\WINDOWS\ERUNT
2008-03-31 16:20:18 0 d-------- C:\WINDOWS\BDOSCAN8
2008-03-31 12:45:08 0 d--h----- C:\Documents and Settings\Administrateur\Voisinage réseau
2008-03-31 12:45:08 0 d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression
2008-03-31 12:45:08 0 dr-h----- C:\Documents and Settings\Administrateur\SendTo
2008-03-31 12:45:08 0 d--h----- C:\Documents and Settings\Administrateur\Recent
2008-03-31 12:45:08 0 d--h----- C:\Documents and Settings\Administrateur\Modèles
2008-03-31 12:45:08 0 d-------- C:\Documents and Settings\Administrateur\Mes documents
2008-03-31 12:45:08 0 dr------- C:\Documents and Settings\Administrateur\Menu Démarrer
2008-03-31 12:45:08 0 d--h----- C:\Documents and Settings\Administrateur\Local Settings
2008-03-31 12:45:08 0 d-------- C:\Documents and Settings\Administrateur\Favoris
2008-03-31 12:45:08 0 d---s---- C:\Documents and Settings\Administrateur\Cookies
2008-03-31 12:45:08 0 d-------- C:\Documents and Settings\Administrateur\Bureau
2008-03-31 12:45:08 0 dr-h----- C:\Documents and Settings\Administrateur\Application Data
2008-03-31 12:45:08 0 d---s---- C:\Documents and Settings\Administrateur\Application Data\Microsoft
2008-03-31 12:45:08 0 d-------- C:\Documents and Settings\Administrateur\Application Data\DivX
2008-03-31 12:45:07 1572864 --ah----- C:\Documents and Settings\Administrateur\NTUSER.DAT
2008-03-30 21:01:59 0 d-------- C:\WINDOWS\System32\Kaspersky Lab
2008-03-29 12:46:44 0 d-------- C:\Documents and Settings\LocalService\Mes documents
2008-03-29 12:46:05 0 d-------- C:\Documents and Settings\LocalService\Application Data\Adobe
2008-03-29 12:24:03 6144 --a------ C:\WINDOWS\System32\cru629.dat
2008-03-27 23:26:43 0 d-------- C:\Program Files\Microsoft Games
2008-03-27 14:57:50 0 d-------- C:\WINDOWS\Prefetch
2008-03-27 13:58:16 1415680 --a------ C:\WINDOWS\System32\wmv9vcm.dll <Not Verified; Microsoft Corporation; Windows Media Video 9 VCM>
2008-03-24 20:29:21 5378048 --a------ C:\Documents and Settings\Napoleon\ntuser.dat
2008-03-24 20:06:52 0 d-------- C:\DVR112D
2008-03-20 15:27:30 217127 --a------ C:\WINDOWS\System32\drv43260.dll <Not Verified; RealNetworks, Inc.; RealVideo 9 (32-bit)>
2008-03-20 15:27:30 208935 --a------ C:\WINDOWS\System32\drv33260.dll <Not Verified; RealNetworks, Inc.; RealVideo 8 (32-bit)>
2008-03-20 15:27:30 176165 --a------ C:\WINDOWS\System32\drv23260.dll <Not Verified; RealNetworks, Inc.; RealVideo G2 (32-bit)>
2008-03-20 15:27:30 65602 --a------ C:\WINDOWS\System32\cook3260.dll <Not Verified; RealNetworks, Inc.; RealPlayer 10>
2008-03-16 13:13:21 0 d-------- C:\WINDOWS\LogFiles


-- Find3M Report ---------------------------------------------------------------

2008-03-30 14:39:48 29040 --a------ C:\Documents and Settings\Napoleon\Application Data\GDIPFONTCACHEV1.DAT
2008-03-30 14:04:35 0 d-------- C:\Documents and Settings\Napoleon\Application Data\Vso
2008-03-30 11:29:00 445016 --a------ C:\WINDOWS\System32\perfh00C.dat
2008-03-30 11:29:00 63614 --a------ C:\WINDOWS\System32\perfc00C.dat
2008-03-27 23:11:42 0 d-------- C:\Documents and Settings\Napoleon\Application Data\Adobe
2008-03-27 14:58:10 0 d--h----- C:\Program Files\WindowsUpdate
2008-03-27 14:49:18 23700 --a------ C:\WINDOWS\System32\emptyregdb.dat
2008-03-27 14:48:44 0 d-------- C:\Program Files\Messenger
2008-03-24 17:55:48 0 d-------- C:\Program Files\Shareaza Applications
2008-03-24 17:55:42 0 d-------- C:\Program Files\Project64 1.6
2008-03-24 17:11:34 47360 --a------ C:\Documents and Settings\Napoleon\Application Data\pcouffin.sys <Not Verified; VSO Software; Patin couffin engine>
2008-03-24 17:11:34 33 --a------ C:\Documents and Settings\Napoleon\Application Data\pcouffin.log
2008-03-24 17:11:34 1144 --a------ C:\Documents and Settings\Napoleon\Application Data\pcouffin.inf
2008-03-24 17:11:34 7887 --a------ C:\Documents and Settings\Napoleon\Application Data\pcouffin.cat
2008-03-20 15:53:47 668 -----n--- C:\Documents and Settings\Napoleon\Application Data\vso_ts_preview.xml
2008-03-20 15:27:27 0 d-------- C:\Program Files\vso
2008-03-16 13:16:08 0 d-------- C:\Program Files\Fichiers communs\Adobe
2008-03-05 18:17:41 4212 --ah----- C:\WINDOWS\System32\zllictbl.dat
2008-02-24 18:37:03 0 d-------- C:\Program Files\Elaborate Bytes
2008-02-03 15:44:00 0 d-------- C:\Program Files\MOJOSOFT
2008-02-03 15:44:00 0 d-------- C:\Documents and Settings\Napoleon\Application Data\mojosoft
2008-01-04 23:58:50 3596288 --a------ C:\WINDOWS\System32\qt-dx331.dll
2008-01-04 23:57:22 196608 --a------ C:\WINDOWS\System32\dtu100.dll <Not Verified; DivX, Inc.; DivX, Inc. dtu100>
2008-01-04 23:57:22 81920 --a------ C:\WINDOWS\System32\dpl100.dll <Not Verified; DivX, Inc.; DivX, Inc. dpl100>
2008-01-04 23:57:12 823296 --a------ C:\WINDOWS\System32\divx_xx07.dll <Not Verified; DivX, Inc.; DivX®>
2008-01-04 23:57:10 802816 --a------ C:\WINDOWS\System32\divx_xx11.dll <Not Verified; DivX, Inc.; DivX?>
2008-01-04 23:57:10 823296 --a------ C:\WINDOWS\System32\divx_xx0c.dll <Not Verified; DivX, Inc.; DivX®>
2008-01-04 23:57:10 682496 --a------ C:\WINDOWS\System32\DivX.dll <Not Verified; DivX, Inc.; DivX®>
2008-01-04 23:56:24 12288 --a------ C:\WINDOWS\System32\DivXWMPExtType.dll


-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SiSUSBRG"="C:\WINDOWS\SiSUSBrg.exe" [26/04/2002 11:17]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [02/05/2003 09:19]
"nwiz"="nwiz.exe" [02/05/2003 09:19 C:\WINDOWS\system32\nwiz.exe]
"HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd2.exe" [12/05/2005 00:12]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [11/06/2007 16:53]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [04/01/2008 23:12]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [11/01/2008 23:16]
"KernelFaultCheck"="C:\WINDOWS\system32\dumprep 0 -k" []

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [28/08/2001 14:00]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"NvMediaCenter"=RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
D‚marrage rapide du logiciel HP Image Zone.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe [12/05/2005 1:49:24]
HP Digital Imaging Monitor.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe [12/05/2005 0:23:26]
Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [13/02/2001 10:01:04]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"=C:\WINDOWS\system32\cru629.dat

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll,




-- End of Deckard's System Scanner: finished at 2008-04-03 20:36:45 ------------

 

1) Affiche les fichiers et dossiers cachés …
Pour ce faire, tu vas dans un dossier, par ex. "Mes Images".
Ensuite, clique sur > Outils > Options des dossiers ...
clique sur l' onglet « Affichage » et ...
coche ---> Afficher les fichiers et dossiers cachés
décoche > Masquer les extensions des fichiers dont le type est connu
décoche > Masquer les fichiers protégés du système d' exploitation (recommandé).
« Appliquer » et « OK ».

2) Désactive toute protection résidente ( antivirus…) !
Déconnecte-toi d’internet, ferme tous les programmes en cours et laisse combofix travailler : ne fais donc pas autre chose en même temps !

Télécharge Combofix de sUBs
Sauvegarde le sur ton bureau et pas ailleurs !
Redémarre en mode sans échecs : aide ici >>>
http://forum.telecharger.01net.com/telecharger/virus_et...
/!\ Ne jamais redémarrer en mode sans échec via msconfig ! /!\

Double-clic sur combofix, Il va te poser une question, réponds par la touche 1 et entrée pour valider, laisse toi guider.
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport. Il se trouve ici : C:\Combofix.txt

3) Copie/colle un nouveau rapport HiJackThis avec.

 

Voici le rapport comboxfix,

ComboFix 08-03-30.3 - Napoleon 2008-04-04 12:07:55.4 - NTFSx86 MINIMAL
Microsoft Windows XP Professionnel 5.1.2600.0.1252.33.1036.18.635 [GMT 2:00]
Endroit: C:\Documents and Settings\Napoleon\Bureau\ComboFix.exe

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\Napoleon\Application Data\inst.exe
C:\WINDOWS\system32\cru629.dat

.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-03-04 to 2008-04-04 ))))))))))))))))))))))))))))))))))))
.

2008-04-03 20:31 . 2001-08-17 21:28 794,654 --a--c--- C:\WINDOWS\system32\dllcache\usr1801.sys
2008-04-03 20:30 . 2001-08-23 17:18 899,914 --a--c--- C:\WINDOWS\system32\dllcache\r2mdkxga.sys
2008-04-03 20:29 . 2001-08-23 17:12 1,873,920 --a--c--- C:\WINDOWS\system32\dllcache\ntkrpamp.exe
2008-04-03 20:28 . 2001-08-17 21:28 802,683 --a--c--- C:\WINDOWS\system32\dllcache\ltsm.sys
2008-04-03 20:27 . 2001-08-23 17:46 1,733,120 --a--c--- C:\WINDOWS\system32\dllcache\g400d.dll
2008-04-03 20:26 . 2001-08-23 17:04 980,034 --a--c--- C:\WINDOWS\system32\dllcache\cicap.sys
2008-04-03 20:25 . 2001-08-17 21:28 871,388 --a--c--- C:\WINDOWS\system32\dllcache\bcmdm.sys
2008-04-03 20:24 . 2001-08-23 17:12 1,902,080 --a--c--- C:\WINDOWS\system32\dllcache\ntkrnlmp.exe
2008-04-02 00:38 . 2008-04-02 00:38 <REP> d-------- C:\Deckard
2008-04-01 20:32 . 2008-04-01 20:32 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-04-01 20:32 . 2008-04-01 20:32 <REP> d-------- C:\Documents and Settings\Napoleon\Application Data\Malwarebytes
2008-04-01 20:32 . 2008-04-01 20:32 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-04-01 19:31 . 2008-04-01 19:31 <REP> d-------- C:\Program Files\Trend Micro
2008-04-01 09:53 . 2008-04-01 09:53 <REP> d-------- C:\WINDOWS\ERUNT
2008-03-31 16:20 . 2008-03-31 16:36 <REP> d-------- C:\WINDOWS\BDOSCAN8
2008-03-31 13:15 . 2008-03-31 13:15 13,312 --ahs---- C:\Thumbs.db
2008-03-31 12:45 . 2007-02-07 23:00 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage r‚seau
2008-03-31 12:45 . 2007-02-07 23:00 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression
2008-03-31 12:45 . 2007-04-29 00:00 <REP> d--h----- C:\Documents and Settings\Administrateur\ModŠles
2008-03-31 12:45 . 2007-02-07 23:00 <REP> d-------- C:\Documents and Settings\Administrateur\Mes documents
2008-03-31 12:45 . 2007-02-07 23:00 <REP> dr------- C:\Documents and Settings\Administrateur\Menu D‚marrer
2008-03-31 12:45 . 2007-02-07 23:00 <REP> d-------- C:\Documents and Settings\Administrateur\Favoris
2008-03-31 12:45 . 2007-02-07 23:00 <REP> d-------- C:\Documents and Settings\Administrateur\Bureau
2008-03-31 12:45 . 2007-10-09 11:50 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\DivX
2008-03-30 21:01 . 2008-03-30 21:01 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-03-29 12:46 . 2008-03-29 12:46 <REP> d-------- C:\Documents and Settings\LocalService\Mes documents
2008-03-27 23:26 . 2008-03-27 23:26 <REP> d-------- C:\Program Files\Microsoft Games
2008-03-27 15:33 . 2008-04-04 12:11 804,839,424 --a------ C:\WINDOWS\MEMORY.DMP
2008-03-27 14:54 . 2001-08-28 14:00 1,875,968 --a--c--- C:\WINDOWS\system32\dllcache\msir3jp.lex
2008-03-27 14:53 . 2001-08-28 14:00 13,463,552 --a--c--- C:\WINDOWS\system32\dllcache\hwxjpn.dll
2008-03-27 14:52 . 2001-08-28 14:00 270,336 --a--c--- C:\WINDOWS\system32\dllcache\certwiz.ocx
2008-03-27 14:52 . 2001-08-28 14:00 249,344 --a--c--- C:\WINDOWS\system32\dllcache\adsiis51.dll
2008-03-27 14:52 . 2001-05-23 05:15 188,480 --a--c--- C:\WINDOWS\system32\dllcache\cfgwiz.exe
2008-03-27 14:52 . 2001-08-28 14:00 96,768 --a--c--- C:\WINDOWS\system32\dllcache\certmap.ocx
2008-03-27 14:52 . 2001-08-28 14:00 71,680 --a--c--- C:\WINDOWS\system32\dllcache\cnfgprts.ocx
2008-03-27 14:52 . 2001-08-28 14:00 43,008 --a--c--- C:\WINDOWS\system32\dllcache\coadmin.dll
2008-03-27 14:52 . 2001-08-28 14:00 34,816 --a--c--- C:\WINDOWS\system32\dllcache\admwprox.dll
2008-03-27 14:52 . 2001-05-23 05:15 20,540 --a--c--- C:\WINDOWS\system32\dllcache\author.dll
2008-03-27 14:52 . 2001-05-23 05:15 20,540 --a--c--- C:\WINDOWS\system32\dllcache\admin.dll
2008-03-27 14:52 . 2001-05-23 05:15 16,439 --a--c--- C:\WINDOWS\system32\dllcache\author.exe
2008-03-27 14:52 . 2001-05-23 05:15 16,439 --a--c--- C:\WINDOWS\system32\dllcache\admin.exe
2008-03-27 14:50 . 2008-03-27 14:50 749 -rah----- C:\WINDOWS\WindowsShell.Manifest
2008-03-27 14:50 . 2008-03-27 14:50 749 -rah----- C:\WINDOWS\system32\wuaucpl.cpl.manifest
2008-03-27 14:50 . 2008-03-27 14:50 749 -rah----- C:\WINDOWS\system32\sapi.cpl.manifest
2008-03-27 14:50 . 2008-03-27 14:50 749 -rah----- C:\WINDOWS\system32\nwc.cpl.manifest
2008-03-27 14:50 . 2008-03-27 14:50 749 -rah----- C:\WINDOWS\system32\ncpa.cpl.manifest
2008-03-27 14:50 . 2008-03-27 14:50 488 -rah----- C:\WINDOWS\system32\logonui.exe.manifest
2008-03-27 14:49 . 2002-12-11 19:09 217,600 --a--c--- C:\WINDOWS\system32\dllcache\npdrmv2.dll
2008-03-27 14:49 . 2001-08-28 14:00 159,744 --a--c--- C:\WINDOWS\system32\dllcache\icwhelp.dll
2008-03-27 14:49 . 2001-08-28 14:00 73,728 --a--c--- C:\WINDOWS\system32\dllcache\icwtutor.exe
2008-03-27 14:49 . 2001-08-28 14:00 65,536 --a--c--- C:\WINDOWS\system32\dllcache\icwres.dll
2008-03-27 14:49 . 2001-08-28 14:00 57,344 --a--c--- C:\WINDOWS\system32\dllcache\icwconn.dll
2008-03-27 14:49 . 2001-08-28 14:00 45,056 --a--c--- C:\WINDOWS\system32\dllcache\icwutil.dll
2008-03-27 14:49 . 2001-08-28 14:00 40,960 --a--c--- C:\WINDOWS\system32\dllcache\trialoc.dll
2008-03-27 14:49 . 2001-08-28 14:00 24,576 --a--c--- C:\WINDOWS\system32\dllcache\icwrmind.exe
2008-03-27 14:49 . 2002-12-11 18:34 9,728 --a--c--- C:\WINDOWS\system32\dllcache\npwmsdrm.dll
2008-03-27 14:46 . 2002-05-22 10:11 27,392 --a------ C:\WINDOWS\system32\drivers\SISAGP.SYS
2008-03-27 14:46 . 2002-05-22 10:11 27,392 --a--c--- C:\WINDOWS\system32\dllcache\sisagp.sys
2008-03-27 14:42 . 2001-08-23 18:47 117,248 --a------ C:\WINDOWS\system32\ksproxy.ax
2008-03-27 14:42 . 2001-08-23 18:47 117,248 --a--c--- C:\WINDOWS\system32\dllcache\ksproxy.ax
2008-03-27 14:42 . 2001-08-23 18:47 4,096 --a------ C:\WINDOWS\system32\ksuser.dll
2008-03-27 14:42 . 2001-08-23 18:47 4,096 --a--c--- C:\WINDOWS\system32\dllcache\ksuser.dll
2008-03-27 14:31 . 2003-05-02 09:19 4,640,768 -ra------ C:\WINDOWS\system32\nvcpl.dll
2008-03-27 13:58 . 2003-06-23 02:44 1,415,680 --a------ C:\WINDOWS\system32\wmv9vcm.dll
2008-03-27 13:58 . 2003-08-29 01:55 423,424 --a------ C:\WINDOWS\system32\WMAVDS32.ax
2008-03-27 13:58 . 2001-03-26 04:41 245,760 --a------ C:\WINDOWS\system32\mp4sds32.ax
2008-03-24 20:06 . 2008-03-24 20:06 <REP> d-------- C:\DVR112D
2008-03-20 15:27 . 2006-09-29 13:24 217,127 --a------ C:\WINDOWS\system32\drv43260.dll
2008-03-20 15:27 . 2006-09-29 13:25 208,935 --a------ C:\WINDOWS\system32\drv33260.dll
2008-03-20 15:27 . 2006-09-29 13:26 176,165 --a------ C:\WINDOWS\system32\drv23260.dll
2008-03-20 15:27 . 2007-03-18 21:37 65,602 --a------ C:\WINDOWS\system32\cook3260.dll
2008-03-16 13:13 . 2008-03-16 13:13 <REP> d-------- C:\WINDOWS\LogFiles

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-31 18:15 4,224 ----a-w C:\WINDOWS\system32\drivers\beep.sys
2008-03-30 12:39 29,040 ----a-w C:\Documents and Settings\Napoleon\Application Data\GDIPFONTCACHEV1.DAT
2008-03-30 12:04 --------- d-----w C:\Documents and Settings\Napoleon\Application Data\Vso
2008-03-29 12:35 --------- d-----w C:\Program Files\Spybot - Search & Destroy
2008-03-29 12:23 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-03-24 15:55 --------- d-----w C:\Program Files\Shareaza Applications
2008-03-24 15:55 --------- d-----w C:\Program Files\Project64 1.6
2008-03-24 15:11 47,360 ----a-w C:\Documents and Settings\Napoleon\Application Data\pcouffin.sys
2008-03-20 13:27 --------- d-----w C:\Program Files\vso
2008-03-16 11:16 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2008-02-24 16:37 --------- d-----w C:\Program Files\Elaborate Bytes
2008-02-24 16:35 --------- d-----w C:\Documents and Settings\All Users\Application Data\Elaborate Bytes
2007-05-27 11:29 67,494 ----a-w C:\WINDOWS\Internet Logs\zlclient_2nd_2007_05_27_13_27_28_small.dmp.zip
2007-05-11 18:57 20,242,800 ----a-w C:\WINDOWS\Internet Logs\vsmon_on_demand_2007_05_10_19_55_35_full.dmp.zip
2007-04-18 16:33 16,079,863 ----a-w C:\WINDOWS\Internet Logs\vsmon_on_demand_2007_04_17_18_01_50_full.dmp.zip
2007-04-18 12:52 136,085 ----a-w C:\WINDOWS\Internet Logs\vsmon_2nd_2007_04_17_18_01_13_small.dmp.zip
2007-04-14 07:08 20,102,209 ----a-w C:\WINDOWS\Internet Logs\vsmon_on_demand_2007_04_13_20_39_41_full.dmp.zip
2007-03-05 15:46 57,810 ----a-w C:\WINDOWS\Internet Logs\vsmon_2nd_2007_03_04_23_30_57_small.dmp.zip
2005-05-11 22:36 12,288 ----a-w C:\WINDOWS\Fonts\RandFont.dll
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2001-08-28 14:00 13312]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SiSUSBRG"="C:\WINDOWS\SiSUSBrg.exe" [2002-04-26 11:17 102400]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2003-05-02 09:19 4640768]
"nwiz"="nwiz.exe" [2003-05-02 09:19 323584 C:\WINDOWS\system32\nwiz.exe]
"HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd2.exe" [2005-05-12 00:12 49152]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-06-11 16:53 282624]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-01-04 23:12 249896]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2001-08-28 14:00 13312]
"NvMediaCenter"="C:\WINDOWS\System32\NVMCTRAY.DLL" [2003-05-02 09:19 49152]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\DRIVERS\avgntmgr.sys [2007-07-18 15:22]
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2007-08-09 14:04]
R1 prodrv04;Star Force copy protection driver v4;C:\WINDOWS\System32\drivers\prodrv04.sys [2007-07-29 13:33]
R2 ousbehci;NEC PCI to USB Enhanced Host Controller;C:\WINDOWS\System32\Drivers\ousbehci.sys [2002-12-24 13:52]
R3 ousb2hub;OrangeWare USB 2.0 Root Hub Support;C:\WINDOWS\System32\DRIVERS\ousb2hub.sys [2002-12-24 13:52]
R3 SiS7012;Service for AC'97 Sample Driver (WDM);C:\WINDOWS\System32\drivers\sis7012.sys [2002-04-23 09:02]
S3 MBAMCatchMe;MBAMCatchMe;C:\Program Files\Malwarebytes' Anti-Malware\catchme.sys [2008-03-19 18:31]
S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\System32\DRIVERS\usbscan.sys [2001-08-17 22:53]
S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\System32\DRIVERS\USBSTOR.SYS [2001-08-28 14:00]

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-04 12:12:16
Windows 5.1.2600 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\savedump.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-04-04 12:15:10 - machine was rebooted
ComboFix-quarantined-files.txt 2008-04-04 10:15:08
ComboFix2.txt 2007-12-16 11:59:49
Pre-Run: 54,384,848,896 octets libres
Post-Run: 54,402,125,824 octets libres

Voici le rapport Hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:17:51, on 4/04/2008
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls...
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

--
End of file - 4414 bytes

Re,

Fais un scan en ligne Kaspersky avec Internet Explorer :

Clique sur

Clique maintenant sur J'accepte.

Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.

Patiente pendant l'installation des Mises à jour.

Choisis par la suite l'analyse du Poste de travail

Sauvegarde puis colle le rapport généré en fin d'analyse.

AIDE : Tuto sur le scan en ligne

NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

 

Voici le rapport,

KASPERSKY ON-LINE SCANNER REPORT
Friday, April 04, 2008 2:35:02 PM
Système d'exploitation : Microsoft Windows XP Professional, (Build 2600)
Kaspersky On-line Scanner version : 5.0.83.0
Dernière mise à jour de la base antivirus Kaspersky : 4/04/2008
Enregistrements dans la base antivirus Kaspersky : 611793


Paramètres d'analyse
Analyser avec la base antivirus suivante standard
Analyser les archives vrai
Analyser les bases de messagerie vrai

Cible de l'analyse Poste de travail
A:\
C:\
D:\
E:\

Statistiques de l'analyse
Total d'objets analysés 45403
Nombre de virus trouvés 3
Nombre d'objets infectés 27 / 0
Nombre d'objets suspects 0
Durée de l'analyse 01:10:01

Nom de l'objet infecté Nom du virus Dernière action
C:\Documents and Settings\LocalService\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\Napoleon\Bureau\SDFix\backups\backups.zip/backups/braviax.exe Infecté : not-virus:Hoax.Win32.Renos.bji ignoré

C:\Documents and Settings\Napoleon\Bureau\SDFix\backups\backups.zip/backups/cru629.dat Infecté : Backdoor.Win32.Small.cyb ignoré

C:\Documents and Settings\Napoleon\Bureau\SDFix\backups\backups.zip ZIP: infecté - 2 ignoré

C:\Documents and Settings\Napoleon\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Napoleon\Local Settings\Application Data\ApplicationHistory\hpqimzone.exe.3204510e.ini.inuse L'objet est verrouillé ignoré

C:\Documents and Settings\Napoleon\Local Settings\Application Data\HP\Digital Imaging\db\administrativeInfo.dbf L'objet est verrouillé ignoré

C:\Documents and Settings\Napoleon\Local Settings\Application Data\HP\Digital Imaging\db\albumImagesTable.cdx L'objet est verrouillé ignoré

C:\Documents and Settings\Napoleon\Local Settings\Application Data\HP\Digital Imaging\db\albumImagesTable.dbf L'objet est verrouillé ignoré

C:\Documents and Settings\Napoleon\Local Settings\Application Data\HP\Digital Imaging\db\albumTable.cdx L'objet est verrouillé ignoré

C:\Documents and Settings\Napoleon\Local Settings\Application Data\HP\Digital Imaging\db\albumTable.dbf L'objet est verrouillé ignoré

C:\Documents and Settings\Napoleon\Local Settings\Application Data\HP\Digital Imaging\db\CB_Server_Errors.txt L'objet est verrouillé ignoré

C:\Documents and Settings\Napoleon\Local Settings\Application Data\HP\Digital Imaging\db\EXIFTable.cdx L'objet est verrouillé ignoré

C:\Documents and Settings\Napoleon\Local Settings\Application Data\HP\Digital Imaging\db\EXIFTable.dbf L'objet est verrouillé ignoré

C:\Documents and Settings\Napoleon\Local Settings\Application Data\HP\Digital Imaging\db\imageTable.cdx L'objet est verrouillé ignoré

C:\Documents and Settings\Napoleon\Local Settings\Application Data\HP\Digital Imaging\db\imageTable.dbf L'objet est verrouillé ignoré

C:\Documents and Settings\Napoleon\Local Settings\Application Data\HP\Digital Imaging\db\imageTable.fpt L'objet est verrouillé ignoré

C:\Documents and Settings\Napoleon\Local Settings\Application Data\HP\Digital Imaging\db\keywordImagesTable.cdx L'objet est verrouillé ignoré

C:\Documents and Settings\Napoleon\Local Settings\Application Data\HP\Digital Imaging\db\keywordImagesTable.dbf L'objet est verrouillé ignoré

C:\Documents and Settings\Napoleon\Local Settings\Application Data\HP\Digital Imaging\db\keywordTable.cdx L'objet est verrouillé ignoré

C:\Documents and Settings\Napoleon\Local Settings\Application Data\HP\Digital Imaging\db\keywordTable.dbf L'objet est verrouillé ignoré

C:\Documents and Settings\Napoleon\Local Settings\Application Data\HP\Digital Imaging\db\managedFolderTable.dbf L'objet est verrouillé ignoré

C:\Documents and Settings\Napoleon\Local Settings\Application Data\HP\Digital Imaging\db\pathnameTable.cdx L'objet est verrouillé ignoré

C:\Documents and Settings\Napoleon\Local Settings\Application Data\HP\Digital Imaging\db\pathnameTable.dbf L'objet est verrouillé ignoré

C:\Documents and Settings\Napoleon\Local Settings\Application Data\HP\Digital Imaging\db\propertiesTable.cdx L'objet est verrouillé ignoré

C:\Documents and Settings\Napoleon\Local Settings\Application Data\HP\Digital Imaging\db\propertiesTable.dbf L'objet est verrouillé ignoré

C:\Documents and Settings\Napoleon\Local Settings\Application Data\HP\Digital Imaging\db\ROFImagesTable.cdx L'objet est verrouillé ignoré

C:\Documents and Settings\Napoleon\Local Settings\Application Data\HP\Digital Imaging\db\ROFImagesTable.dbf L'objet est verrouillé ignoré

C:\Documents and Settings\Napoleon\Local Settings\Application Data\HP\Digital Imaging\db\ROFTable.cdx L'objet est verrouillé ignoré

C:\Documents and Settings\Napoleon\Local Settings\Application Data\HP\Digital Imaging\db\ROFTable.dbf L'objet est verrouillé ignoré

C:\Documents and Settings\Napoleon\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Napoleon\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\Napoleon\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Napoleon\Local Settings\Historique\History.IE5\MSHist012008040420080405\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Napoleon\Local Settings\Temp\hpodvd09.log L'objet est verrouillé ignoré

C:\Documents and Settings\Napoleon\Local Settings\Temp\~DFDDC2.tmp L'objet est verrouillé ignoré

C:\Documents and Settings\Napoleon\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Napoleon\ntuser.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Napoleon\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\QooBox\Quarantine\C\WINDOWS\system32\cru629.dat.vir Infecté : Backdoor.Win32.Small.cyb ignoré

C:\System Volume Information\_restore{A0F107DC-4A4B-4650-AA49-784C79908B66}\RP2\A0000066.exe Infecté : not-virus:Hoax.Win32.Renos.bji ignoré

C:\System Volume Information\_restore{A0F107DC-4A4B-4650-AA49-784C79908B66}\RP5\A0000193.exe Infecté : not-virus:Hoax.Win32.Renos.bji ignoré

C:\System Volume Information\_restore{A0F107DC-4A4B-4650-AA49-784C79908B66}\RP5\A0000217.exe Infecté : not-virus:Hoax.Win32.Renos.bji ignoré

C:\System Volume Information\_restore{A0F107DC-4A4B-4650-AA49-784C79908B66}\RP5\A0000218.exe Infecté : not-virus:Hoax.Win32.Renos.bji ignoré

C:\System Volume Information\_restore{A0F107DC-4A4B-4650-AA49-784C79908B66}\RP5\A0000222.exe Infecté : not-virus:Hoax.Win32.Bravia.e ignoré

C:\System Volume Information\_restore{A0F107DC-4A4B-4650-AA49-784C79908B66}\RP5\A0000229.exe Infecté : not-virus:Hoax.Win32.Bravia.e ignoré

C:\System Volume Information\_restore{A0F107DC-4A4B-4650-AA49-784C79908B66}\RP5\A0000240.exe Infecté : not-virus:Hoax.Win32.Renos.bji ignoré

C:\System Volume Information\_restore{A0F107DC-4A4B-4650-AA49-784C79908B66}\RP5\A0001240.exe Infecté : not-virus:Hoax.Win32.Renos.bji ignoré

C:\System Volume Information\_restore{A0F107DC-4A4B-4650-AA49-784C79908B66}\RP5\A0002240.exe Infecté : not-virus:Hoax.Win32.Renos.bji ignoré

C:\System Volume Information\_restore{A0F107DC-4A4B-4650-AA49-784C79908B66}\RP5\A0003240.exe Infecté : not-virus:Hoax.Win32.Renos.bji ignoré

C:\System Volume Information\_restore{A0F107DC-4A4B-4650-AA49-784C79908B66}\RP5\A0003249.exe Infecté : not-virus:Hoax.Win32.Renos.bji ignoré

C:\System Volume Information\_restore{A0F107DC-4A4B-4650-AA49-784C79908B66}\RP5\A0003250.exe Infecté : not-virus:Hoax.Win32.Renos.bji ignoré

C:\System Volume Information\_restore{A0F107DC-4A4B-4650-AA49-784C79908B66}\RP5\A0004249.exe Infecté : not-virus:Hoax.Win32.Renos.bji ignoré

C:\System Volume Information\_restore{A0F107DC-4A4B-4650-AA49-784C79908B66}\RP5\A0005249.exe Infecté : not-virus:Hoax.Win32.Renos.bji ignoré

C:\System Volume Information\_restore{A0F107DC-4A4B-4650-AA49-784C79908B66}\RP5\A0006249.exe Infecté : not-virus:Hoax.Win32.Renos.bji ignoré

C:\System Volume Information\_restore{A0F107DC-4A4B-4650-AA49-784C79908B66}\RP5\A0006259.exe Infecté : not-virus:Hoax.Win32.Renos.bji ignoré

C:\System Volume Information\_restore{A0F107DC-4A4B-4650-AA49-784C79908B66}\RP5\A0006260.exe Infecté : not-virus:Hoax.Win32.Renos.bji ignoré

C:\System Volume Information\_restore{A0F107DC-4A4B-4650-AA49-784C79908B66}\RP5\A0006263.exe Infecté : not-virus:Hoax.Win32.Renos.bji ignoré

C:\System Volume Information\_restore{A0F107DC-4A4B-4650-AA49-784C79908B66}\RP6\A0006279.exe Infecté : not-virus:Hoax.Win32.Renos.bji ignoré

C:\System Volume Information\_restore{A0F107DC-4A4B-4650-AA49-784C79908B66}\RP6\A0006280.exe Infecté : not-virus:Hoax.Win32.Renos.bji ignoré

C:\System Volume Information\_restore{A0F107DC-4A4B-4650-AA49-784C79908B66}\RP6\A0006290.exe Infecté : not-virus:Hoax.Win32.Renos.bji ignoré

C:\System Volume Information\_restore{A0F107DC-4A4B-4650-AA49-784C79908B66}\RP6\A0006291.exe Infecté : not-virus:Hoax.Win32.Renos.bji ignoré

C:\System Volume Information\_restore{A0F107DC-4A4B-4650-AA49-784C79908B66}\RP6\A0006301.exe Infecté : not-virus:Hoax.Win32.Renos.bji ignoré

C:\System Volume Information\_restore{A0F107DC-4A4B-4650-AA49-784C79908B66}\RP9\change.log L'objet est verrouillé ignoré

C:\WINDOWS\Debug\oakley.log L'objet est verrouillé ignoré

C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré

C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré

C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré

C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré

C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré

E:\System Volume Information\_restore{A0F107DC-4A4B-4650-AA49-784C79908B66}\RP9\change.log L'objet est verrouillé ignoré

Analyse terminée.

Re,

Poste un nouveau rapport hijackthis.

Comment va le PC ? Toujours des problèmes ?

 

Non apparament le Pc tourne bien, à part quand je vais sur le net j'ai énormément de message d'erreur qui me demande si je veux effectuer un débogage chose que je n'avais pas avant, mais je ne sais pas si c'est lier aux virus que j'ai eu.

Voici le rapport HijackThis,

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:07:19, on 4/04/2008
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls...
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

--
End of file - 4487 bytes

Re,

1) Mets à jour ton windows via le site de microsoft update. Relance les mises à jour autant de fois que nécessaire afin d'être bien certain de toutes les avoir récupérées.

2) Passe à IE 7.

3) Poste-moi un nouveau rapport hijackthis  

:super:

Bonjour,
J'aimerais savoir pourquoi je dois mettre windows à jour et changer d'internet explorer.
J'aimerais autant rester avec mon ancien systeme si cela est possible.