virtumonde again [Résolu]

bonjour et


Remets là.   (vaut mieux un pc infecté avec des points de restau possible qu'un pc HS )

Ta fille a du attraper tout ça avec MSN.




1

Télécharge MSNFix.zip (!aur3n7[/#f]) sur ton Bureau.
Décompresse-le sur ton bureau (Clique-Droit/Extraire tout).
[#ff0000]
Il est indispensable que l'outil soit executé à partir du bureau.

Ouvre le dossier MSNFix puis double-clique sur MSNFix.bat.
- Exécute l'option R.
-- Si l'infection est détectée, presse une touche pour lancer le nettoyage.

[#ff0000]Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations.
Dans ce cas il suffit de redémarrer l'ordinateur manuellement.[/#f]

Poste le rapport situé dans le dossier MSNFix.
Le nom du rapport correspond au moment de sa création : date_heure.log

->Tutorial de Malekal<-


2

Télécharge MalwareByte's Anti-Malware sur ton Bureau.
Installe-le en double-cliquant sur le fichier Download_mbam-setup.exe.

Une fois l'installation et la mise à jour effectuées, redémarre en mode sans échec.
AIDE : Redémarrer en mode sans échec

Exécute maintenant MalwareByte's Anti-Malware. Si cela n'est pas déjà fait, sélectionne "Exécuter un examen complet".

Afin de lancer la recherche, clic sur"Rechercher".

Une fois le scan terminé, une fenêtre s'ouvre, clic sur OK. Deux possibilités s'offrent à toi :
-- si le programme n'a rien trouvé, appuie sur OK. Un rapport va apparaître, ferme-le.
-- si des infections sont présentes, clic sur "Afficher les résultats" puis sur "Supprimer la sélection". Enregistre le rapport sur ton Bureau afin de le poster dans ta prochaine réponse.
[#ff0000]REMARQUE : Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok.[/#f]

AIDE : Tuto en images sur MBAM

Merci bcp

En effet, le problème semble résolu. Visiblement, tant que je n'avais pas MSNFix, le problème était insoluble.

Je joins le log du résultat du fix:
MSNFix 1.725

C:\Documents and Settings\Philippe\Bureau\MSNFix
Fix exécuté le 22/06/2008 - 11:32:16,09 By Philippe
mode normal

************************ Recherche les fichiers présents

... C:\is15*32.exe
... C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini
... C:\WINDOWS\system32\mcrh.tmp
... C:\??????.exe
... C:\WINDOWS\cookies.ini
... C:\WINDOWS\system32\mcrh.tmp
... C:\WINDOWS\system32\tmp.txt

************************ Recherche les dossiers présents

Aucun dossier trouvé




************************ Suppression des fichiers

.. OK ... C:\is15*32.exe
.. OK ... C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini
.. OK ... C:\WINDOWS\system32\mcrh.tmp
/!\ ... C:\??????.exe
.. OK ... C:\WINDOWS\cookies.ini
.. OK ... C:\WINDOWS\system32\mcrh.tmp
.. OK ... C:\WINDOWS\system32\tmp.txt



************************ Nettoyage du registre



Les fichiers encore présents seront supprimés au prochain redémarrage


************************ Suppression des fichiers

.. OK ... C:\??????.exe



************************ Fichiers suspects

Aucun Fichier trouvé


Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 22062008_11351203.zip

************************ HKLM\...\Winlogon\Userinit

Userinit = C:\WINDOWS\system32\userinit.exe,

Important : http://msnfix.changelog.fr/index.php/2008/05/18/32-aler...


------------------------------------------------------------------------
Auteur : !aur3n7 Contact: http://changelog.fr
------------------------------------------------------------------------

--------------------------------------------- END ---------------------------------------------

Malwarebytes a ensuite éradiqué les virus qui ne semblent plus réapparus depuis ....jusqu'à nouvel ordre.

Merci bcp en tous cas

re

il me faut le rapport Malwarebytes pour continuer  

Re.

Voici le rapport Malwarebytes:

Malwarebytes' Anti-Malware 1.18
Version de la base de données: 876

12:09:33 22/06/2008
mbam-log-6-22-2008 (12-09-33).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 119339
Temps écoulé: 26 minute(s), 18 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 5
Valeur(s) du Registre infectée(s): 6
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 9

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\482ce489 (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Windows Acer Service (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bf (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bk (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\iu (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\mu (Trojan.Agent) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\wwqaofrq.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\qrfoaqww.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\qrfoaqww.ini2 (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Documents and Settings\Philippe\Local Settings\Temporary Internet Files\Content.IE5\E1BN3J92\is155932[1].exe (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\usb32.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\usb323.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\efcBsTNF.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\hgGwVOgD.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\clkcnt.txt (Trojan.Vundo) -> Quarantined and deleted successfully.


Un second passage après redémarrage a ensuite donné ça:

Malwarebytes' Anti-Malware 1.18
Version de la base de données: 876

12:18:23 22/06/2008
mbam-log-6-22-2008 (12-18-23).txt

Type de recherche: Examen rapide
Eléments examinés: 43755
Temps écoulé: 4 minute(s), 53 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

bonsoir

on continue  

Désactive ton antivirus et tout autre type de protection.
Télécharge ComboFix de sUBs :
ComboFix.exe
et sauvegarde le sur ton bureau et pas ailleurs!

Double-clic sur ComboFix, Il va te poser une question, suis les invites puis attends que combofix ait terminé, il est possible que ton PC reboot, c’est normal, un rapport sera créé.Poste le rapport:C:\Combofix.txt
clique dessus pour l'ouvrir, puis édition "sélectionner tout", édition "copier"

viens sur le forum et édition "coller"

ajoute un nouveau rapport Hijackthis.

err

Ca donne ça:

ComboFix 08-06-20.4 - Philippe 2008-06-24 13:30:08.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.626 [GMT 2:00]
Endroit: C:\Documents and Settings\Philippe\Bureau\ComboFix.exe
* Création d'un nouveau point de restauration

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\BM4b1fd715.xml
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\DcfMmnpo.ini
C:\WINDOWS\system32\DcfMmnpo.ini2
C:\WINDOWS\system32\eafnyrqj.ini
C:\WINDOWS\system32\mdm.exe
C:\WINDOWS\system32\mopcdqbh.ini
C:\WINDOWS\system32\wquckicw.ini
C:\WINDOWS\system32\wywcxrpd.ini

.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-05-24 to 2008-06-24 ))))))))))))))))))))))))))))))))))))
.

2008-06-22 20:36 . 2008-06-22 20:36 <REP> d-------- C:\Program Files\Avira
2008-06-22 20:36 . 2008-06-22 20:36 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2008-06-22 11:39 . 2008-06-22 11:39 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-06-22 11:39 . 2008-06-22 11:39 <REP> d-------- C:\Documents and Settings\Philippe\Application Data\Malwarebytes
2008-06-22 11:39 . 2008-06-22 11:39 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-06-22 11:39 . 2008-06-19 17:55 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-06-22 11:39 . 2008-06-19 17:55 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-06-22 01:48 . 2008-06-22 01:48 <REP> d-------- C:\fsaua.data
2008-06-21 18:58 . 2006-10-27 00:54 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage r‚seau
2008-06-21 18:58 . 2006-10-27 00:54 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression
2008-06-21 18:58 . 2006-10-27 00:00 <REP> d--h----- C:\Documents and Settings\Administrateur\ModŠles
2008-06-21 18:58 . 2006-10-27 00:54 <REP> d-------- C:\Documents and Settings\Administrateur\Mes documents
2008-06-21 18:58 . 2006-10-27 00:54 <REP> dr------- C:\Documents and Settings\Administrateur\Menu D‚marrer
2008-06-21 18:58 . 2006-10-27 00:54 <REP> d-------- C:\Documents and Settings\Administrateur\Favoris
2008-06-21 18:58 . 2006-10-27 00:54 <REP> d-------- C:\Documents and Settings\Administrateur\Bureau
2008-06-21 18:58 . 2008-06-21 18:58 <REP> d-------- C:\Documents and Settings\Administrateur
2008-06-21 18:46 . 2008-06-21 18:46 102,664 --a------ C:\WINDOWS\system32\drivers\tmcomm.sys
2008-06-21 15:41 . 2008-06-21 18:19 <REP> d-------- C:\WINDOWS\BDOSCAN8
2008-06-21 14:24 . 2008-06-21 14:52 <REP> d-------- C:\Program Files\Spyware Doctor
2008-06-21 14:24 . 2008-06-21 14:24 <REP> d-------- C:\Documents and Settings\Philippe\Application Data\PC Tools
2008-06-21 14:24 . 2008-06-21 18:05 <REP> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP
2008-06-21 14:24 . 2007-12-10 13:53 81,288 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2008-06-21 14:24 . 2007-12-10 13:53 66,952 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2008-06-21 14:24 . 2008-02-01 11:55 42,376 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2008-06-21 14:24 . 2007-12-10 13:53 29,576 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2008-06-20 22:35 . 2008-06-20 22:35 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Yahoo! Companion
2008-06-20 22:27 . 2008-06-20 22:27 <REP> d-------- C:\Program Files\Spybot - Search & Destroy
2008-06-20 22:27 . 2008-06-20 22:42 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-06-20 22:22 . 2008-06-20 22:22 1,230,133 ---hs---- C:\WINDOWS\system32\qrfoaqww.tmp
2008-06-20 22:10 . 2008-06-20 22:10 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Kaspersky Lab Setup Files
2008-06-20 21:28 . 2008-06-20 21:28 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-06-20 08:05 . 2008-06-20 08:05 90,112 --a------ C:\WINDOWS\system32\myvhaeqv.dll
2008-06-18 16:48 . 2008-06-18 16:49 <REP> d-------- C:\Program Files\Panda Security
2008-06-18 16:47 . 2008-06-21 18:57 143 --a------ C:\WINDOWS\system32\mcrh.MSNFix
2008-06-18 16:33 . 2008-06-18 16:33 <REP> d-------- C:\WINDOWS\system32\CatRoot_bak
2008-06-18 14:37 . 2008-04-13 09:36 144,384 --------- C:\WINDOWS\system32\drivers\hdaudbus.sys
2008-06-18 14:37 . 2008-04-13 11:40 10,240 --------- C:\WINDOWS\system32\drivers\sffp_mmc.sys
2008-06-18 14:36 . 2006-12-28 12:01 19,569 --a------ C:\WINDOWS\005351_.tmp
2008-06-18 13:44 . 2008-06-18 13:44 <REP> d-------- C:\Program Files\Lavasoft
2008-06-18 13:44 . 2008-06-18 13:45 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft
2008-06-18 10:29 . 2008-06-18 10:29 2,232 --a------ C:\is1551932.MSNFix
2008-06-17 18:19 . 2008-06-21 18:28 2,770 --a------ C:\WINDOWS\cookies.MSNFix
2008-06-17 03:54 . 2008-06-17 11:18 2,231 --a------ C:\iss.MSNFix
2008-06-11 03:08 . 2008-06-14 19:33 272,768 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
2008-06-11 03:08 . 2008-05-08 16:02 203,136 -----c--- C:\WINDOWS\system32\dllcache\rmcast.sys
2008-06-01 15:06 . 2008-06-01 15:06 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-06-01 15:06 . 2008-06-01 15:06 1,409 --a------ C:\WINDOWS\QTFont.for

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-24 11:38 --------- d-----w C:\Documents and Settings\Philippe\Application Data\OpenOffice.org2
2008-06-22 19:04 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2008-06-22 07:14 --------- d-----w C:\Program Files\Trend Micro
2008-06-20 20:24 --------- d-----w C:\Program Files\Yahoo!
2008-06-18 11:44 --------- d-----w C:\Program Files\Fichiers communs\Wise Installation Wizard
2008-06-14 17:33 272,768 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-05-19 15:31 --------- d-----w C:\Program Files\OpenOffice.org 2.4
2008-05-19 15:30 --------- d-----w C:\Program Files\Java
2008-05-10 19:23 --------- d-----w C:\Program Files\JS World
2008-05-08 14:02 203,136 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys
2008-05-04 16:41 --------- d-----r C:\Program Files\Bitmanagement Software
2008-04-13 17:34 769,024 ----a-w C:\WINDOWS\PCHealth\HelpCtr\Binaries\helpctr.exe
2008-04-13 17:34 744,448 ----a-w C:\WINDOWS\PCHealth\HelpCtr\Binaries\helpsvc.exe
2008-04-13 17:34 70,656 ----a-w C:\WINDOWS\notepad.exe
2008-04-13 17:34 32,866 ------w C:\WINDOWS\slrundll.exe
2008-04-13 17:34 288,256 ----a-w C:\WINDOWS\winhlp32.exe
2008-04-13 17:34 18,432 ----a-w C:\WINDOWS\PCHealth\HelpCtr\Binaries\hscupd.exe
2008-04-13 17:34 172,544 ----a-w C:\WINDOWS\PCHealth\HelpCtr\Binaries\msconfig.exe
2008-04-13 17:34 153,088 ----a-w C:\WINDOWS\regedit.exe
2008-04-13 17:34 10,752 ----a-w C:\WINDOWS\hh.exe
2008-04-13 17:34 1,037,824 ----a-w C:\WINDOWS\explorer.exe
2004-03-11 11:27 40,960 ----a-w C:\Program Files\Uninstall_CDS.exe
2006-05-06 16:42 7,260,160 ----a-w C:\Program Files\mozilla firefox\plugins\libvlc.dll
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2ebfd55a-18c9-443c-b0c8-e53ad9ae8d30}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6CEEAD5D-6384-4B2A-B5FD-5A804A047294}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{8C2D5069-F5EA-484A-8A51-453708DEDC68}]
C:\WINDOWS\system32\clbcat.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{BE7E4CE1-8CBA-44A6-956F-462A667D3286}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-13 19:34 15360]
"H/PC Connection Agent"="C:\Program Files\Microsoft ActiveSync\wcescomm.exe" [2005-11-15 21:21 1204224]
"MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 12:34 5724184]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Jet Detection"="C:\Program Files\Creative\SBAudigy\PROGRAM\ADGJDet.exe" [2001-04-20 14:52 28672]
"RemoteControl"="C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" [2003-10-31 19:42 32768]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-04-19 13:26 86016]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-06-29 06:24 286720]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2007-10-11 08:59 185632]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-04-19 13:26 7700480]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_04\bin\jusched.exe" [2007-12-14 03:42 144784]
"UserFaultCheck"="C:\WINDOWS\system32\dumprep 0 -u" [ ]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2008-04-13 19:34 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.I420"= vdrcodec.dll
"msacm.clmp3enc"= C:\PROGRA~1\CYBERL~2\Power2Go\CLMP3Enc.ACM
"vidc.yv12"= yv12vfw.dll
"vidc.DIV3"= DivXc32.dll
"vidc.DIV4"= DivXc32f.dll
"msacm.divxa32"= msaud32_divx.acm
"vidc.ffds"= C:\PROGRA~1\COMBIN~1\Filters\ff_vfw.dll
"vidc.wmv3"= C:\PROGRA~1\COMBIN~1\Filters\wmv9vcm.dll
"msacm.ctmp3"= C:\WINDOWS\system32\ctmp3.acm

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTxfiHlp]
--a------ 2006-08-11 15:56 18944 C:\WINDOWS\system32\CTXFIHLP.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2007-07-10 09:18 270648 C:\Program Files\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LDM]
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MBBalloon]
--a------ 2007-02-09 15:28 789120 C:\Program Files\HOTALBUMMyBOX\MBBalloon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2007-04-19 13:26 1626112 C:\WINDOWS\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PinnacleDriverCheck]
--a------ 2003-11-10 16:06 406016 C:\WINDOWS\system32\PSDrvCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\USB2Check]
--a------ 2005-12-21 10:14 73728 C:\WINDOWS\system32\PCLECoInst.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UserFaultCheck]
C:\WINDOWS\system32\dumprep 0 -u

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VGAUtil]
--a------ 2006-07-12 16:27 544768 C:\Program Files\GigaByte\VGA Utility Manager\G-VGA.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Synology Disk Station Assistant\\DSAssistant.exe"=
"C:\\Program Files\\adslTV\\vlc.exe"=
"C:\\Program Files\\Fritivi\\fritivi.exe"=
"C:\\Program Files\\eMule\\emule.exe"=
"C:\\Program Files\\GigaByte\\VGA Utility Manager\\G-VGA.exe"=
"C:\\Program Files\\GigaByte\\VGA Utility Manager\\gvupdate.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
"C:\\Program Files\\Java\\jre1.5.0_09\\bin\\javaw.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\Sony\\Station\\LaunchPad\\LaunchPad.exe"=
"C:\\Program Files\\iTunes\\iTunes.exe"=
"C:\\WINDOWS\\system32\\mmc.exe"=
"C:\Program Files\Microsoft ActiveSync\rapimgr.exe"= C:\Program Files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"C:\Program Files\Microsoft ActiveSync\wcescomm.exe"= C:\Program Files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"C:\Program Files\Microsoft ActiveSync\WCESMgr.exe"= C:\Program Files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Documents and Settings\\All Users\\Application Data\\Kaspersky Lab Setup Files\\Kaspersky Anti-Virus 2009\\french\\setup.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R0 PzWDM;PzWDM;C:\WINDOWS\system32\Drivers\PzWDM.sys [2008-03-07 20:05]
R1 vobiw;vobiw;C:\WINDOWS\system32\drivers\vobiw.sys [2004-07-02 08:44]
R3 Cdrdrv;Cdrdrv;C:\WINDOWS\system32\Drivers\Cdrdrv.sys [2004-06-01 12:41]
S3 GPCIDrv;GPCIDrv;C:\WINDOWS\GPCIDrv.sys [2007-08-07 09:16]
S3 GVTDrv;GVTDrv;C:\WINDOWS\system32\Drivers\GVTDrv.sys [2007-08-07 09:16]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
\Shell\AutoRun\command - D:\autorun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c977c393-72ee-11db-87d8-0017318e0e7f}]
\Shell\AutoRun\command - G:\start.exe
\Shell\FramaKey\command - G:\start.exe

.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2008-06-20 20:36:12 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-24 13:36:17
Windows 5.1.2600 Service Pack 3 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...


**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\CTSVCCDA.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Program Files\HOTALBUMMyBOX\MediaChecker.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.exe
C:\PROGRA~1\MICROS~4\rapimgr.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.bin
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-06-24 13:48:15 - machine was rebooted
ComboFix-quarantined-files.txt 2008-06-24 11:47:13

Pre-Run: 83,006,619,648 octets libres
Post-Run: 83,324,833,792 octets libres

217 --- E O F --- 2008-06-20 20:19:37

bonsoir

Copie (Ctrl+C) le texte ci-dessous :



Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte que tu viens de copier.
Sauvegarde ce fichier sous le nom de CFScript.txt

Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Le rapport:


ComboFix 08-06-20.4 - Philippe 2008-06-25 10:26:14.2 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.518 [GMT 2:00]
Endroit: C:\Documents and Settings\Philippe\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\Philippe\Bureau\CFScript.TXT
* Création d'un nouveau point de restauration

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

FILE ::
C:\is1551932.MSNFix
C:\iss.MSNFix
C:\WINDOWS\005351_.tmp
C:\WINDOWS\cookies.MSNFix
C:\WINDOWS\system32\mcrh.MSNFix
C:\WINDOWS\system32\myvhaeqv.dll
C:\WINDOWS\system32\qrfoaqww.tmp
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\is1551932.MSNFix
C:\iss.MSNFix
C:\WINDOWS\005351_.tmp
C:\WINDOWS\cookies.MSNFix
C:\WINDOWS\system32\mcrh.MSNFix
C:\WINDOWS\system32\myvhaeqv.dll
C:\WINDOWS\system32\qrfoaqww.tmp

.
((((((((((((((((((((((((((((( Fichiers créés 2008-05-25 to 2008-06-25 ))))))))))))))))))))))))))))))))))))
.

2008-06-22 20:36 . 2008-06-22 20:36 <REP> d-------- C:\Program Files\Avira
2008-06-22 20:36 . 2008-06-22 20:36 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2008-06-22 11:39 . 2008-06-22 11:39 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-06-22 11:39 . 2008-06-22 11:39 <REP> d-------- C:\Documents and Settings\Philippe\Application Data\Malwarebytes
2008-06-22 11:39 . 2008-06-22 11:39 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-06-22 11:39 . 2008-06-19 17:55 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-06-22 11:39 . 2008-06-19 17:55 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-06-22 01:48 . 2008-06-22 01:48 <REP> d-------- C:\fsaua.data
2008-06-21 18:58 . 2006-10-27 00:54 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage réseau
2008-06-21 18:58 . 2006-10-27 00:54 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression
2008-06-21 18:58 . 2006-10-27 00:00 <REP> d--h----- C:\Documents and Settings\Administrateur\Modèles
2008-06-21 18:58 . 2006-10-27 00:54 <REP> d-------- C:\Documents and Settings\Administrateur\Mes documents
2008-06-21 18:58 . 2006-10-27 00:54 <REP> dr------- C:\Documents and Settings\Administrateur\Menu Démarrer
2008-06-21 18:58 . 2006-10-27 00:54 <REP> d-------- C:\Documents and Settings\Administrateur\Favoris
2008-06-21 18:58 . 2006-10-27 00:54 <REP> d-------- C:\Documents and Settings\Administrateur\Bureau
2008-06-21 18:58 . 2008-06-21 18:58 <REP> d-------- C:\Documents and Settings\Administrateur
2008-06-21 18:46 . 2008-06-21 18:46 102,664 --a------ C:\WINDOWS\system32\drivers\tmcomm.sys
2008-06-21 15:41 . 2008-06-21 18:19 <REP> d-------- C:\WINDOWS\BDOSCAN8
2008-06-21 14:24 . 2008-06-21 14:52 <REP> d-------- C:\Program Files\Spyware Doctor
2008-06-21 14:24 . 2008-06-21 14:24 <REP> d-------- C:\Documents and Settings\Philippe\Application Data\PC Tools
2008-06-21 14:24 . 2008-06-21 18:05 <REP> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP
2008-06-21 14:24 . 2007-12-10 13:53 81,288 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2008-06-21 14:24 . 2007-12-10 13:53 66,952 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2008-06-21 14:24 . 2008-02-01 11:55 42,376 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2008-06-21 14:24 . 2007-12-10 13:53 29,576 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2008-06-20 22:35 . 2008-06-20 22:35 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Yahoo! Companion
2008-06-20 22:27 . 2008-06-20 22:27 <REP> d-------- C:\Program Files\Spybot - Search & Destroy
2008-06-20 22:27 . 2008-06-20 22:42 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-06-20 22:10 . 2008-06-20 22:10 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Kaspersky Lab Setup Files
2008-06-20 21:28 . 2008-06-20 21:28 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-06-18 16:48 . 2008-06-18 16:49 <REP> d-------- C:\Program Files\Panda Security
2008-06-18 16:33 . 2008-06-18 16:33 <REP> d-------- C:\WINDOWS\system32\CatRoot_bak
2008-06-18 14:37 . 2008-04-13 09:36 144,384 --------- C:\WINDOWS\system32\drivers\hdaudbus.sys
2008-06-18 14:37 . 2008-04-13 11:40 10,240 --------- C:\WINDOWS\system32\drivers\sffp_mmc.sys
2008-06-18 13:44 . 2008-06-18 13:44 <REP> d-------- C:\Program Files\Lavasoft
2008-06-18 13:44 . 2008-06-18 13:45 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft
2008-06-11 03:08 . 2008-06-14 19:33 272,768 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
2008-06-11 03:08 . 2008-05-08 16:02 203,136 -----c--- C:\WINDOWS\system32\dllcache\rmcast.sys
2008-06-01 15:06 . 2008-06-01 15:06 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-06-01 15:06 . 2008-06-01 15:06 1,409 --a------ C:\WINDOWS\QTFont.for

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-24 11:38 --------- d-----w C:\Documents and Settings\Philippe\Application Data\OpenOffice.org2
2008-06-22 19:04 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2008-06-22 07:14 --------- d-----w C:\Program Files\Trend Micro
2008-06-20 20:24 --------- d-----w C:\Program Files\Yahoo!
2008-06-20 19:54 3,314 ----a-w C:\WINDOWS\system32\tmp.reg
2008-06-18 11:44 --------- d-----w C:\Program Files\Fichiers communs\Wise Installation Wizard
2008-06-14 17:33 272,768 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-05-19 15:31 --------- d-----w C:\Program Files\OpenOffice.org 2.4
2008-05-19 15:30 --------- d-----w C:\Program Files\Java
2008-05-10 19:23 --------- d-----w C:\Program Files\JS World
2008-05-08 14:02 203,136 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys
2008-05-07 05:11 1,294,336 ----a-w C:\WINDOWS\system32\quartz.dll
2008-05-04 16:41 --------- d-----r C:\Program Files\Bitmanagement Software
2008-04-23 04:16 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-04-13 17:50 1,804 ----a-w C:\WINDOWS\system32\dcache.bin
2008-04-13 17:37 332,800 ----a-w C:\WINDOWS\system32\netsetup.exe
2008-04-13 17:33 98,816 ----a-w C:\WINDOWS\system32\psbase.dll
2008-04-13 17:32 764,416 ----a-w C:\WINDOWS\system32\winntbbu.dll
2008-04-13 17:32 61,471 ----a-w C:\WINDOWS\system32\odbcji32.dll
2008-04-13 17:32 5,632 ----a-w C:\WINDOWS\system32\wmi.dll
2008-04-13 17:08 2,191,104 ----a-w C:\WINDOWS\system32\ntoskrnl.exe
2008-04-13 17:07 2,067,968 ----a-w C:\WINDOWS\system32\ntkrnlpa.exe
2008-04-13 17:06 4,096 ----a-w C:\WINDOWS\system32\dsprpres.dll
2008-04-13 17:04 93,184 ------w C:\WINDOWS\system32\msxml6r.dll
2008-04-13 17:03 81,920 ------w C:\WINDOWS\system32\msshavmsg.dll
2008-04-13 17:02 50,688 ----a-w C:\WINDOWS\system32\inetres.dll
2008-04-13 17:01 572,416 ----a-w C:\WINDOWS\system32\shdoclc.dll
2008-04-13 16:59 10,240 ----a-w C:\WINDOWS\system32\gpkrsrc.dll
2008-04-13 16:58 1,845,760 ----a-w C:\WINDOWS\system32\win32k.sys
2008-04-13 16:58 1,647,616 ----a-w C:\WINDOWS\system32\winbrand.dll
2008-04-13 16:57 70,144 ----a-w C:\WINDOWS\system32\browselc.dll
2008-04-13 16:54 103,936 ----a-w C:\WINDOWS\system32\dpcdll.dll
2008-04-13 09:45 17,664 ----a-w C:\WINDOWS\system32\watchdog.sys
2008-04-13 09:40 445,440 ------w C:\WINDOWS\system32\xpob2res.dll
2008-04-13 09:36 2,986,496 ----a-w C:\WINDOWS\system32\xpsp2res.dll
2008-04-13 09:35 24,064 ----a-w C:\WINDOWS\system32\pidgen.dll
2008-04-13 09:35 197,632 ----a-w C:\WINDOWS\system32\xpsp1res.dll
2008-04-13 09:31 7,424 ----a-w C:\WINDOWS\system32\kd1394.dll
2008-04-13 09:30 61,440 ----a-w C:\WINDOWS\system32\msvcrt40.dll
2008-04-13 08:37 208,384 ----a-w C:\WINDOWS\system32\rsaenh.dll
2008-04-13 08:37 138,752 ----a-w C:\WINDOWS\system32\dssenh.dll
2008-04-13 08:26 12,288 ----a-w C:\WINDOWS\system32\odbcp32r.dll
2008-04-13 08:26 12,288 ----a-w C:\WINDOWS\system32\mscpx32r.dll
2008-04-13 08:21 733,696 ----a-w C:\WINDOWS\system32\qedwipes.dll
2008-04-13 07:45 216,064 ----a-w C:\WINDOWS\system32\moricons.dll
2008-04-13 07:23 48,128 ----a-w C:\WINDOWS\system32\msprivs.dll
2008-04-13 06:39 884,736 ----a-w C:\WINDOWS\system32\msimsg.dll
2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll
2008-03-25 04:51 194,144 ----a-w C:\WINDOWS\system32\msjint40.dll
2004-03-11 11:27 40,960 ----a-w C:\Program Files\Uninstall_CDS.exe
2006-05-06 16:42 7,260,160 ----a-w C:\Program Files\mozilla firefox\plugins\libvlc.dll
.

((((((((((((((((((((((((((((( snapshot@2008-06-24_13.46.54.84 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-06-23 17:45:14 63,470 ----a-w C:\WINDOWS\system32\perfc009.dat
+ 2008-06-24 11:40:16 63,470 ----a-w C:\WINDOWS\system32\perfc009.dat
- 2008-06-23 17:45:14 77,468 ----a-w C:\WINDOWS\system32\perfc00C.dat
+ 2008-06-24 11:40:17 77,468 ----a-w C:\WINDOWS\system32\perfc00C.dat
- 2008-06-23 17:45:14 405,888 ----a-w C:\WINDOWS\system32\perfh009.dat
+ 2008-06-24 11:40:17 405,888 ----a-w C:\WINDOWS\system32\perfh009.dat
- 2008-06-23 17:45:14 473,864 ----a-w C:\WINDOWS\system32\perfh00C.dat
+ 2008-06-24 11:40:18 473,864 ----a-w C:\WINDOWS\system32\perfh00C.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-13 19:34 15360]
"H/PC Connection Agent"="C:\Program Files\Microsoft ActiveSync\wcescomm.exe" [2005-11-15 21:21 1204224]
"MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 12:34 5724184]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Jet Detection"="C:\Program Files\Creative\SBAudigy\PROGRAM\ADGJDet.exe" [2001-04-20 14:52 28672]
"RemoteControl"="C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" [2003-10-31 19:42 32768]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-04-19 13:26 86016]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-06-29 06:24 286720]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2007-10-11 08:59 185632]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-04-19 13:26 7700480]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_04\bin\jusched.exe" [2007-12-14 03:42 144784]
"UserFaultCheck"="C:\WINDOWS\system32\dumprep 0 -u" [ ]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2008-04-13 19:34 15360]

C:\Documents and Settings\Philippe\Menu D‚marrer\Programmes\D‚marrage\
OpenOffice.org 2.4.lnk - C:\Program Files\OpenOffice.org 2.4\program\quickstart.exe [2008-01-21 15:41:28 393216]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
MediaChecker.lnk - C:\Program Files\HOTALBUMMyBOX\MediaChecker.exe [2007-02-13 23:38:50 915096]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.I420"= vdrcodec.dll
"msacm.clmp3enc"= C:\PROGRA~1\CYBERL~2\Power2Go\CLMP3Enc.ACM
"vidc.yv12"= yv12vfw.dll
"vidc.DIV3"= DivXc32.dll
"vidc.DIV4"= DivXc32f.dll
"msacm.divxa32"= msaud32_divx.acm
"vidc.ffds"= C:\PROGRA~1\COMBIN~1\Filters\ff_vfw.dll
"vidc.wmv3"= C:\PROGRA~1\COMBIN~1\Filters\wmv9vcm.dll
"msacm.ctmp3"= C:\WINDOWS\system32\ctmp3.acm

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTxfiHlp]
--a------ 2006-08-11 15:56 18944 C:\WINDOWS\system32\CTXFIHLP.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2007-07-10 09:18 270648 C:\Program Files\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LDM]
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MBBalloon]
--a------ 2007-02-09 15:28 789120 C:\Program Files\HOTALBUMMyBOX\MBBalloon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2007-04-19 13:26 1626112 C:\WINDOWS\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PinnacleDriverCheck]
--a------ 2003-11-10 16:06 406016 C:\WINDOWS\system32\PSDrvCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\USB2Check]
--a------ 2005-12-21 10:14 73728 C:\WINDOWS\system32\PCLECoInst.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UserFaultCheck]
C:\WINDOWS\system32\dumprep 0 -u

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VGAUtil]
--a------ 2006-07-12 16:27 544768 C:\Program Files\GigaByte\VGA Utility Manager\G-VGA.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Synology Disk Station Assistant\\DSAssistant.exe"=
"C:\\Program Files\\adslTV\\vlc.exe"=
"C:\\Program Files\\Fritivi\\fritivi.exe"=
"C:\\Program Files\\eMule\\emule.exe"=
"C:\\Program Files\\GigaByte\\VGA Utility Manager\\G-VGA.exe"=
"C:\\Program Files\\GigaByte\\VGA Utility Manager\\gvupdate.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
"C:\\Program Files\\Java\\jre1.5.0_09\\bin\\javaw.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\Sony\\Station\\LaunchPad\\LaunchPad.exe"=
"C:\\Program Files\\iTunes\\iTunes.exe"=
"C:\\WINDOWS\\system32\\mmc.exe"=
"C:\Program Files\Microsoft ActiveSync\rapimgr.exe"= C:\Program Files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"C:\Program Files\Microsoft ActiveSync\wcescomm.exe"= C:\Program Files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"C:\Program Files\Microsoft ActiveSync\WCESMgr.exe"= C:\Program Files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Documents and Settings\\All Users\\Application Data\\Kaspersky Lab Setup Files\\Kaspersky Anti-Virus 2009\\french\\setup.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R0 PzWDM;PzWDM;C:\WINDOWS\system32\Drivers\PzWDM.sys [2008-03-07 20:05]
R1 vobiw;vobiw;C:\WINDOWS\system32\drivers\vobiw.sys [2004-07-02 08:44]
R3 Cdrdrv;Cdrdrv;C:\WINDOWS\system32\Drivers\Cdrdrv.sys [2004-06-01 12:41]
S3 GPCIDrv;GPCIDrv;C:\WINDOWS\GPCIDrv.sys [2007-08-07 09:16]
S3 GVTDrv;GVTDrv;C:\WINDOWS\system32\Drivers\GVTDrv.sys [2007-08-07 09:16]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
\Shell\AutoRun\command - D:\autorun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c977c393-72ee-11db-87d8-0017318e0e7f}]
\Shell\AutoRun\command - G:\start.exe
\Shell\FramaKey\command - G:\start.exe

.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2008-06-20 20:36:12 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-25 10:29:01
Windows 5.1.2600 Service Pack 3 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...


**************************************************************************
.
Temps d'accomplissement: 2008-06-25 10:32:30
ComboFix-quarantined-files.txt 2008-06-25 08:31:27
ComboFix2.txt 2008-06-24 11:48:16

Pre-Run: 83,289,792,512 octets libres
Post-Run: 83,285,299,200 octets libres

238 --- E O F --- 2008-06-20 20:19:37

bonsoir

supprime
C:\qoobox

~Fais une analyse antivirus en ligne sur le site de Kaspersky
http://webscanner.kaspersky.fr/

~ Clique sur Online Scanner.
~Accepte l'installation du contrôle ActiveX en cliquant sur le bouton Install.

~Sélectionne le poste de travail comme analyse.

~Enregistre le rapport en cliquant sur le bouton "Enregistrer rapport sous". Nomme-le, tu feras un copier/coller dans ta prochaine réponse.

Tuto du scan en ligne

Rebonjour:

Voilà
-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Saturday, June 28, 2008 6:08:12 PM
Système d'exploitation : Microsoft Windows XP Home Edition, Service Pack 3 (Build 2600)
Kaspersky On-line Scanner version : 5.0.83.0
Dernière mise à jour de la base antivirus Kaspersky : 28/06/2008
Enregistrements dans la base antivirus Kaspersky : 796449
-------------------------------------------------------------------------------

Paramètres d'analyse:
Analyser avec la base antivirus suivante: standard
Analyser les archives: vrai
Analyser les bases de messagerie: vrai

Cible de l'analyse - Poste de travail:
A:\
C:\
D:\

Statistiques de l'analyse:
Total d'objets analysés: 93717
Nombre de virus trouvés: 0
Nombre d'objets infectés: 0 / 0
Nombre d'objets suspects: 0
Durée de l'analyse: 07:51:21

Nom de l'objet infecté / Nom du virus / Dernière action
C:\Documents and Settings\LocalService\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\Philippe\Application Data\$_hpcst$.hpc L'objet est verrouillé ignoré
C:\Documents and Settings\Philippe\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Philippe\Local Settings\Application Data\Microsoft\Feeds Cache\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Philippe\Local Settings\Application Data\Microsoft\Messenger\bruneouak@hotmail.fr\SharingMetadata\Logs\Dfsr00005.log L'objet est verrouillé ignoré
C:\Documents and Settings\Philippe\Local Settings\Application Data\Microsoft\Messenger\bruneouak@hotmail.fr\SharingMetadata\pending.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Philippe\Local Settings\Application Data\Microsoft\Messenger\bruneouak@hotmail.fr\SharingMetadata\Working\database_9048_2CFD_482C_E426\dfsr.db L'objet est verrouillé ignoré
C:\Documents and Settings\Philippe\Local Settings\Application Data\Microsoft\Messenger\bruneouak@hotmail.fr\SharingMetadata\Working\database_9048_2CFD_482C_E426\fsr.log L'objet est verrouillé ignoré
C:\Documents and Settings\Philippe\Local Settings\Application Data\Microsoft\Messenger\bruneouak@hotmail.fr\SharingMetadata\Working\database_9048_2CFD_482C_E426\fsrtmp.log L'objet est verrouillé ignoré
C:\Documents and Settings\Philippe\Local Settings\Application Data\Microsoft\Messenger\bruneouak@hotmail.fr\SharingMetadata\Working\database_9048_2CFD_482C_E426\tmp.edb L'objet est verrouillé ignoré
C:\Documents and Settings\Philippe\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Philippe\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\Philippe\Local Settings\Application Data\Microsoft\Windows Live Contacts\bruneouak@hotmail.fr\real\members.stg L'objet est verrouillé ignoré
C:\Documents and Settings\Philippe\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Philippe\Local Settings\Historique\History.IE5\MSHist012008062820080629\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Philippe\Local Settings\Temp\WCESLog.log L'objet est verrouillé ignoré
C:\Documents and Settings\Philippe\Local Settings\Temp\~DF9968.tmp L'objet est verrouillé ignoré
C:\Documents and Settings\Philippe\Local Settings\Temp\~DF9A81.tmp L'objet est verrouillé ignoré
C:\Documents and Settings\Philippe\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Philippe\ntuser.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Philippe\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
C:\System Volume Information\_restore{6AB5C785-2282-409E-B1E7-C0CEB2AD7263}\RP7\change.log L'objet est verrouillé ignoré
C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré
C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré
C:\WINDOWS\SoftwareDistribution\EventCache\{D77DA5F3-BB6C-4A96-A5AC-C0F59927FC10}.bin L'objet est verrouillé ignoré
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré
C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\Internet.evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré
C:\WINDOWS\system32\LogFiles\WUDF\WUDFTrace.etl L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré
C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré
C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré
C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré

Analyse terminée.

MAerci

parfait  

Supprime tous les programmes installés pour la désinfection.


Merci de consulter ce dossier (en pdf) pour en connaître davantage sur les risques du Net.



Si tu trouves ce document intéressant, n'hésite pas à le transmettre à tes contacts.

~Edite ton premier message (en cliquant sur la gomme) et marque [résolu] dans le titre.

 

Bonjour

Merci beaucoup pour cette aide efficace.
Bonne journée

de rien
bon surf
 
Le titre de ce sujet a été édité par Sham_Rock