problème avec Win32/AutoRun.KS
Forum Sécurité - Virus : problème avec Win32/AutoRun.KS
bonjour,
J'ai un problème de ver qui se régénéré et qui sature tout mon réseau... (Win32/AutoRun.KS je crois)
si quelqu'un pouvait m'aider!!
merci beaucoup d'avance
Thibault
voici donc le rapport de mon antivirus (qui une fois mis à jour l'a détecté), et de hijackthis:
Journal de l'analyse
Version de la base des signatures de virus : 3253 (20080709)
Date : 09/07/2008 Heure : 12:25:36
Disques, dossiers et fichiers analysés : C:\Secteur d'amorçage;C:\;D:\Secteur d'amorçage;D:\
C:\pagefile.sys - erreur à l'ouverture [4]
C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys\179311cc06aed7d9fcfc0ffa8ea51e28_4a65cef9-5ec2-4315-9719-4db668c0e42b - erreur à l'ouverture [4]
C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys\680ceadf4def448b7e4e0b3165e808f1_4a65cef9-5ec2-4315-9719-4db668c0e42b - erreur à l'ouverture [4]
C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys\8b9541c1fbdf331b585fbca96a81e5c4_4a65cef9-5ec2-4315-9719-4db668c0e42b - erreur à l'ouverture [4]
C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys\ac3926b653213356c7e4c91509c2dacd_4a65cef9-5ec2-4315-9719-4db668c0e42b - erreur à l'ouverture [4]
C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys\d55084cc653cb8fc4bbecf51ff894177_4a65cef9-5ec2-4315-9719-4db668c0e42b - erreur à l'ouverture [4]
C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys\f31f992818a31a9ce3e7b58f87e188dc_4a65cef9-5ec2-4315-9719-4db668c0e42b - erreur à l'ouverture [4]
C:\Documents and Settings\All Users\Application Data\Microsoft\Dr Watson\user.dmp - erreur à l'ouverture [4]
C:\Documents and Settings\LocalService\NTUSER.DAT - erreur à l'ouverture [4]
C:\Documents and Settings\LocalService\ntuser.dat.LOG - erreur à l'ouverture [4]
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat - erreur à l'ouverture [4]
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG - erreur à l'ouverture [4]
C:\Documents and Settings\metra\NTUSER.DAT - erreur à l'ouverture [4]
C:\Documents and Settings\metra\ntuser.dat.LOG - erreur à l'ouverture [4]
C:\Documents and Settings\metra\Local Settings\Application Data\Identities\{08B3761B-080E-434C-84BC-26603FFE5597}\Microsoft\Outlook Express\Boîte de réception.dbx » DBX - est OK (analyse interne non effectuée)
C:\Documents and Settings\metra\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat - erreur à l'ouverture [4]
C:\Documents and Settings\metra\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG - erreur à l'ouverture [4]
C:\Documents and Settings\metra\Local Settings\Temp\IMGAC70.tmp - erreur à l'ouverture [4]
C:\Documents and Settings\NetworkService\NTUSER.DAT - erreur à l'ouverture [4]
C:\Documents and Settings\NetworkService\ntuser.dat.LOG - erreur à l'ouverture [4]
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat - erreur à l'ouverture [4]
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG - erreur à l'ouverture [4]
C:\Program Files\Fichiers communs\Java\Update\Base Images\jre1.6.0.b105\core3.zip » ZIP » lib/deploy/ffjcext.zip » ZIP » {CAFEEFAC-0016-0000-0000-ABCDEFFEDCBA}/chrome.manifest » MIME - est OK (analyse interne non effectuée)
C:\Program Files\Fichiers communs\Java\Update\Base Images\jre1.6.0.b105\core3.zip » ZIP » lib/resources.jar » ZIP » com/sun/org/apache/xerces/internal/impl/msg/XIncludeMessages.properties » MIME - est OK (analyse interne non effectuée)
C:\Program Files\Fichiers communs\Java\Update\Base Images\jre1.6.0.b105\core3.zip » ZIP » lib/resources.jar » ZIP » com/sun/xml/internal/fastinfoset/resources/ResourceBundle.properties » MIME - est OK (analyse interne non effectuée)
C:\Program Files\Fichiers communs\Java\Update\Base Images\jre1.6.0.b105\core3.zip » ZIP » lib/resources.jar » ZIP » javax/xml/bind/Messages.properties » MIME - est OK (analyse interne non effectuée)
C:\Program Files\Fichiers communs\Microsoft Shared\NoteSync Forms\inkform.src » MIME - est OK (analyse interne non effectuée)
C:\Program Files\Fichiers communs\Microsoft Shared\NoteSync Forms\voicefrm.src » MIME - est OK (analyse interne non effectuée)
C:\Program Files\Google\Google Earth\res\flightsim\controller\genius_maxfighter_f16u.ini » MIME - est OK (analyse interne non effectuée)
C:\Program Files\Google\Google Earth\res\flightsim\controller\logitech_attack3.ini » MIME - est OK (analyse interne non effectuée)
C:\Program Files\Google\Google Earth\res\flightsim\controller\logitech_extreme_3d.ini » MIME - est OK (analyse interne non effectuée)
C:\Program Files\Google\Google Earth\res\flightsim\controller\logitech_force_3d.ini » MIME - est OK (analyse interne non effectuée)
C:\Program Files\Google\Google Earth\res\flightsim\controller\logitech_freedom.ini » MIME - est OK (analyse interne non effectuée)
C:\Program Files\Google\Google Earth\res\flightsim\controller\saitek_cyborg_evo.ini » MIME - est OK (analyse interne non effectuée)
C:\Program Files\Google\Google Earth\res\flightsim\controller\saitek_x52.ini » MIME - est OK (analyse interne non effectuée)
C:\Program Files\Google\Google Earth\res\flightsim\controller\speed_link_black_hawk.ini » MIME - est OK (analyse interne non effectuée)
C:\Program Files\Google\Google Earth\res\flightsim\controller\speed_link_black_widow.ini » MIME - est OK (analyse interne non effectuée)
C:\Program Files\Google\Google Earth\res\flightsim\controller\speed_link_cougar_flightstick.ini » MIME - est OK (analyse interne non effectuée)
C:\Program Files\Google\Google Earth\res\flightsim\controller\speed_link_dark_tornado.ini » MIME - est OK (analyse interne non effectuée)
C:\Program Files\Google\Google Earth\res\flightsim\controller\xbox_360.ini » MIME - est OK (analyse interne non effectuée)
C:\Program Files\Java\jre1.6.0_03\lib\resources.jar » ZIP » com/sun/org/apache/xerces/internal/impl/msg/XIncludeMessages.properties » MIME - est OK (analyse interne non effectuée)
C:\Program Files\Java\jre1.6.0_03\lib\resources.jar » ZIP » com/sun/xml/internal/fastinfoset/resources/ResourceBundle.properties » MIME - est OK (analyse interne non effectuée)
C:\Program Files\Java\jre1.6.0_03\lib\resources.jar » ZIP » javax/xml/bind/Messages.properties » MIME - est OK (analyse interne non effectuée)
C:\Program Files\Java\jre1.6.0_03\lib\deploy\ffjcext.zip » ZIP » {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}/chrome.manifest » MIME - est OK (analyse interne non effectuée)
C:\Program Files\Java\jre1.6.0_05\lib\resources.jar » ZIP » com/sun/org/apache/xerces/internal/impl/msg/XIncludeMessages.properties » MIME - est OK (analyse interne non effectuée)
C:\Program Files\Java\jre1.6.0_05\lib\resources.jar » ZIP » com/sun/xml/internal/fastinfoset/resources/ResourceBundle.properties » MIME - est OK (analyse interne non effectuée)
C:\Program Files\Java\jre1.6.0_05\lib\resources.jar » ZIP » javax/xml/bind/Messages.properties » MIME - est OK (analyse interne non effectuée)
C:\Program Files\Java\jre1.6.0_05\lib\deploy\ffjcext.zip » ZIP » {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}/chrome.manifest » MIME - est OK (analyse interne non effectuée)
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » Ad-Aware SE Default.skn - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » arrow1.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » arrow2.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » bck1.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » bt11.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » bt12.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » bt13.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » bt21.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » bt22.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » bt23.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » bt31.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » bt32.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » bt33.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » bt41.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » bt42.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » bt43.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » bt51.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » bt52.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » bt53.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » bt61.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » bt62.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » checkbox1.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » checkbox2.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » checkbox3.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » checkbox4.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » defbtn1.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » defbtn2.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » defbtn3.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » glyph1.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » glyph2.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » glyph3.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » glyph4.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » glyph5.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » glyph6.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » glyph7.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » main.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » preview.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » sprite1.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Mozilla Firefox\chrome\browser.manifest » MIME - est OK (analyse interne non effectuée)
C:\Program Files\Mozilla Firefox\chrome\comm.manifest » MIME - est OK (analyse interne non effectuée)
C:\Program Files\Mozilla Firefox\chrome\pippki.manifest » MIME - est OK (analyse interne non effectuée)
C:\Program Files\Mozilla Firefox\chrome\toolkit.manifest » MIME - est OK (analyse interne non effectuée)
C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}\chrome.manifest » MIME - est OK (analyse interne non effectuée)
C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}\chrome.manifest » MIME - est OK (analyse interne non effectuée)
C:\Program Files\SuperCopier\SCUninst.exe » NSIS - erreur à la lecture de l'archive
C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe - Win32/AutoRun.KS ver - nettoyé par suppression (après le prochain redémarrage) - mis en quarantaine [1,2]
C:\WINDOWS\$hf_mig$\KB873339\update\eula.txt » MIME - est OK (analyse interne non effectuée)
C:\WINDOWS\$hf_mig$\KB885835\update\eula.txt » MIME - est OK (analyse interne non effectuée)
C:\WINDOWS\$hf_mig$\KB885836\update\eula.txt » MIME - est OK (analyse interne non effectuée)
C:\WINDOWS\$hf_mig$\KB886185\update\eula.txt » MIME - est OK (analyse interne non effectuée)
C:\WINDOWS\$hf_mig$\KB887472\update\eula.txt » MIME - est OK (analyse interne non effectuée)
C:\WINDOWS\$hf_mig$\KB888302\update\eula.txt » MIME - est OK (analyse interne non effectuée)
C:\WINDOWS\$hf_mig$\KB890859\update\eula.txt » MIME - est OK (analyse interne non effectuée)
C:\WINDOWS\$hf_mig$\KB891781\update\eula.txt » MIME - est OK (analyse interne non effectuée)
C:\WINDOWS\$hf_mig$\KB894391\update\eula.txt » MIME - est OK (analyse interne non effectuée)
C:\WINDOWS\$hf_mig$\KB896358\update\eula.txt » MIME - est OK (analyse interne non effectuée)
C:\WINDOWS\$hf_mig$\KB896428\update\eula.txt » MIME - est OK (analyse interne non effectuée)
C:\WINDOWS\$hf_mig$\KB898461\update\eula.txt » MIME - est OK (analyse interne non effectuée)
C:\WINDOWS\SoftwareDistribution\EventCache\{AC4A26BF-D356-4816-983C-DFD1DE6F8266}.bin - erreur à l'ouverture [4]
C:\WINDOWS\system32\CatRoot2\edb.log - erreur à l'ouverture [4]
C:\WINDOWS\system32\CatRoot2\tmp.edb - erreur à l'ouverture [4]
C:\WINDOWS\system32\config\default - erreur à l'ouverture [4]
C:\WINDOWS\system32\config\default.LOG - erreur à l'ouverture [4]
C:\WINDOWS\system32\config\SAM - erreur à l'ouverture [4]
C:\WINDOWS\system32\config\SAM.LOG - erreur à l'ouverture [4]
C:\WINDOWS\system32\config\SECURITY - erreur à l'ouverture [4]
C:\WINDOWS\system32\config\SECURITY.LOG - erreur à l'ouverture [4]
C:\WINDOWS\system32\config\software - erreur à l'ouverture [4]
C:\WINDOWS\system32\config\software.LOG - erreur à l'ouverture [4]
C:\WINDOWS\system32\config\system - erreur à l'ouverture [4]
C:\WINDOWS\system32\config\system.LOG - erreur à l'ouverture [4]
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:20:27, on 09/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
C:\Program Files\ESET\ESET Smart Security\ekrn.exe
C:\Program Files\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\ESET\ESET Smart Security\egui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\drive\calling.com
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/webhp?hl=fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.intranetajn.com/intra/l [...] =xm24gp3nh
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://professionnel/metra-book-images
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinVNC] "C:\WINDOWS\system32\rc\winvnc4.exe" -servicehelper
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [MS32DLL] C:\WINDOWS\MS32DLL.dll.vbs
O4 - HKLM\..\Run: [msennger] C:\WINDOWS\system32\drive\calling.com
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [hohohhaha] C:\WINDOWS\system32\drive\calling.com
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Accélérateur de démarrage AutoCAD.lnk = C:\Program Files\Fichiers communs\Autodesk Shared\acstart16.exe
O4 - Global Startup: NomUsersurStation.vbs
O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.intranetajn.com/intra/login.php?log=invite&pwd=xm24gp3nh
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = metra.local
O17 - HKLM\Software\..\Telephony: DomainName = metra.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = metra.local
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallShield Licensing Service - Macrovision - C:\Program Files\Fichiers communs\InstallShield Shared\Service\InstallShield Licensing Service.exe
O23 - Service: mental ray 3.5 Satellite (32-bit) (mi-raysat_3dsmax9_32) - Unknown owner - C:\Program Files\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Service Starter: Lerex (SRVStarter_Lerex) - Eng. Usama El-Mokadem - C:\WINDOWS\system32\Juchdp.exe
O23 - Service: Service Starter: nerw (SRVStarter_nerw) - Eng. Usama El-Mokadem - C:\WINDOWS\system32\Juchdp.exe
O23 - Service: VNC (WinVNC) - RealVNC Ltd. - C:\WINDOWS\system32\rc\winvnc4.exe
--
End of file - 7710 bytes
Bonjour,
Ton ordinateur est infecté, en effet.
Télécharge ComboFix (de sUBs) sur ton Bureau.
- Désactive temporairement toute protection résidente ! (Antivirus, antispywares..)
- Double clique sur ComboFix.exe.
- Accepte la licence en cliquant sur Oui.
- Lorsque l'opération sera terminée, un rapport apparaîtra. Poste ce rapport dans ta prochaine réponse.
Le rapport se trouve ici : %systemdrive%\ComboFix.txt (%systemdrive% étant la partition où est installée Windows; C:\ en général)
Aide : Comment utiliser ComboFix.
&
Télécharge Flash Disinfector (de sUBs) sur ton Bureau.
- Connecte tous les périphériques externes. ( DD , USB , ..... )
- Double clique sur Flash Disinfector et laisse toi guider.
Répondre à XmichouX
bonjour,
merci pour ton aide rapide
voici le rapport combofix, et un nouveau depuis hjackthis
je reste disponible pour d'autres interventions, vu que le problème persiste!
merci encore
Thibault
ComboFix 08-07-08.5 - METRA 2008-07-09 15:01:56.3 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1485 [GMT 2:00]
Endroit: C:\Documents and Settings\metra\Bureau\ComboFix.exe
[color=red]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/color]
.
((((((((((((((((((((((((((((( Fichiers créés 2008-06-09 to 2008-07-09 ))))))))))))))))))))))))))))))))))))
.
2008-07-09 12:19 . 2008-07-09 12:19 <REP> d-------- C:\Program Files\Trend Micro
2008-07-09 09:30 . 2008-03-03 14:25 5,702 --ah----- C:\WINDOWS\nod32restoretemdono.reg
2008-07-09 09:30 . 2008-03-03 18:21 568 --ah----- C:\WINDOWS\nod32fixtemdono.reg
2008-07-09 09:23 . 2008-07-09 09:23 <REP> d-------- C:\Program Files\Lavasoft
2008-07-09 09:23 . 2008-07-09 09:23 <REP> d-------- C:\Documents and Settings\metra\Application Data\Lavasoft
2008-07-07 16:02 . 2008-07-07 16:11 2,866 --a------ C:\WINDOWS\system32\acdb.err
2008-07-02 12:20 . 2008-07-02 12:20 <REP> d-------- C:\Program Files\Fichiers communs\McNeel Shared
2008-07-02 12:20 . 2007-04-02 01:16 2,916,438 --a------ C:\WINDOWS\system32\rcm.dll
2008-07-02 12:20 . 2007-04-02 01:16 2,777,088 --a------ C:\WINDOWS\system32\rhrdk.10.v40.dll
2008-07-02 12:20 . 2007-04-02 01:16 196,608 --a------ C:\WINDOWS\system32\BongoSDK.10.v40.dll
2008-07-02 12:20 . 2007-04-02 01:16 192,512 --a------ C:\WINDOWS\system32\BongoSDK.dll
2008-07-02 12:20 . 2007-04-02 01:16 96 --a------ C:\WINDOWS\system32\vssver.scc
2008-07-02 12:19 . 2008-07-02 12:19 <REP> d-------- C:\Program Files\Fichiers communs\InstallShield Shared
2008-07-02 12:19 . 2008-07-02 12:19 <REP> d-------- C:\Program Files\ASGvis
2008-07-02 12:16 . 2008-07-02 12:16 <REP> d-------- C:\Program Files\Rhinoceros 4.0
2008-07-01 20:31 . 2008-07-01 20:31 64,281 --a------ C:\acadminidump.dmp
2008-07-01 13:07 . 2004-08-19 16:09 159,232 --a------ C:\WINDOWS\system32\ptpusd.dll
2008-07-01 13:07 . 2004-08-03 22:58 15,104 --a------ C:\WINDOWS\system32\drivers\usbscan.sys
2008-07-01 13:07 . 2004-08-03 22:58 15,104 --a--c--- C:\WINDOWS\system32\dllcache\usbscan.sys
2008-07-01 13:07 . 2001-08-23 17:47 5,632 --a------ C:\WINDOWS\system32\ptpusb.dll
2008-06-30 10:25 . 2008-07-09 15:02 <REP> d-------- C:\WINDOWS\system32\drive
2008-06-30 10:25 . 2008-06-30 12:49 1,290,890 --a------ C:\rq.exe
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-09 08:09 --------- d-----w C:\Program Files\Square One
2008-07-09 07:37 --------- d-----w C:\Program Files\ESET
2008-07-02 10:42 --------- d-----w C:\Documents and Settings\All Users\Application Data\McNeel
2008-07-02 10:19 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-07-02 08:20 1,103,742 ----a-w C:\rqr.exe
2008-07-01 06:10 4,700 --sha-w C:\WINDOWS\system32\wrda.sys
2008-07-01 06:07 18,988 --sha-w C:\WINDOWS\system32\ortecxar.pif
2008-05-19 09:28 --------- d-----w C:\Program Files\Google
2008-05-15 16:51 --------- d-----w C:\Documents and Settings\metra\Application Data\Apple Computer
2008-05-12 16:59 --------- d-----w C:\Documents and Settings\metra\Application Data\ACD Systems
2007-03-23 14:52 56,552 --sha-w C:\WINDOWS\system32\Juchdp.exe
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 16:09 15360]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-04-27 09:41 282624]
"hohohhaha"="C:\WINDOWS\system32\drive\calling.com" [2008-05-21 15:06 754176]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2004-08-02 20:03 4493312]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-04-27 09:41 282624]
"WinVNC"="C:\WINDOWS\system32\rc\winvnc4.exe" [2005-03-11 15:40 455632]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"egui"="C:\Program Files\ESET\ESET Smart Security\egui.exe" [2008-02-20 11:06 1443072]
"msennger"="C:\WINDOWS\system32\drive\calling.com" [2008-05-21 15:06 754176]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 16:09 15360]
C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Acc‚l‚rateur de d‚marrage AutoCAD.lnk - C:\Program Files\Fichiers communs\Autodesk Shared\acstart16.exe [2004-02-25 08:35:00 10872]
NomUsersurStation.vbs [2003-06-11 11:20:10 1788]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoWelcomeScreen"= 1 (0x1)
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2641\Scripts\Logon\0\0]
"Script"=AjouterIprimantes.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2641\Scripts\Logon\0\1]
"Script"=CopieFichiersenLocal.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2641\Scripts\Logon\0\2]
"Script"=DonneesTempetInt.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2641\Scripts\Logon\0\3]
"Script"=PurgeCacheIE.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2641\Scripts\Logon\0\4]
"Script"=Autocad.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2641\Scripts\Logon\0\5]
"Script"=CheminTemp.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2641\Scripts\Logon\0\6]
"Script"=Creation Temp.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2727\Scripts\Logon\0\0]
"Script"=AjouterIprimantes.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2727\Scripts\Logon\0\1]
"Script"=CopieFichiersenLocal.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2727\Scripts\Logon\0\2]
"Script"=DonneesTempetInt.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2727\Scripts\Logon\0\3]
"Script"=PurgeCacheIE.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2727\Scripts\Logon\0\4]
"Script"=Autocad.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2727\Scripts\Logon\0\5]
"Script"=CheminTemp.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2727\Scripts\Logon\0\6]
"Script"=Creation Temp.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2732\Scripts\Logon\0\0]
"Script"=AjouterIprimantes.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2732\Scripts\Logon\0\1]
"Script"=CopieFichiersenLocal.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2732\Scripts\Logon\0\2]
"Script"=DonneesTempetInt.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2732\Scripts\Logon\0\3]
"Script"=PurgeCacheIE.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2732\Scripts\Logon\0\4]
"Script"=Autocad.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2732\Scripts\Logon\0\5]
"Script"=CheminTemp.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2732\Scripts\Logon\0\6]
"Script"=Creation Temp.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4693\Scripts\Logon\0\0]
"Script"=AjouterIprimantes.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4693\Scripts\Logon\0\1]
"Script"=CopieFichiersenLocal.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4693\Scripts\Logon\0\2]
"Script"=DonneesTempetInt.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4693\Scripts\Logon\0\3]
"Script"=PurgeCacheIE.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4693\Scripts\Logon\0\4]
"Script"=Autocad.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4693\Scripts\Logon\0\5]
"Script"=CheminTemp.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4693\Scripts\Logon\0\6]
"Script"=Creation Temp.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4836\Scripts\Logon\0\0]
"Script"=AjouterIprimantes.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4836\Scripts\Logon\0\1]
"Script"=CopieFichiersenLocal.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4836\Scripts\Logon\0\2]
"Script"=DonneesTempetInt.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4836\Scripts\Logon\0\3]
"Script"=PurgeCacheIE.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4836\Scripts\Logon\0\4]
"Script"=Autocad.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4836\Scripts\Logon\0\5]
"Script"=CheminTemp.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4836\Scripts\Logon\0\6]
"Script"=Creation Temp.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4873\Scripts\Logon\0\0]
"Script"=AjouterIprimantes.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4873\Scripts\Logon\0\1]
"Script"=CopieFichiersenLocal.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4873\Scripts\Logon\0\2]
"Script"=DonneesTempetInt.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4873\Scripts\Logon\0\3]
"Script"=PurgeCacheIE.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4873\Scripts\Logon\0\4]
"Script"=Autocad.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4873\Scripts\Logon\0\5]
"Script"=CheminTemp.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4873\Scripts\Logon\0\6]
"Script"=Creation Temp.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5257\Scripts\Logon\0\0]
"Script"=AjouterIprimantes.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5257\Scripts\Logon\0\1]
"Script"=CopieFichiersenLocal.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5257\Scripts\Logon\0\2]
"Script"=DonneesTempetInt.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5257\Scripts\Logon\0\3]
"Script"=PurgeCacheIE.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5257\Scripts\Logon\0\4]
"Script"=Autocad.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5257\Scripts\Logon\0\5]
"Script"=CheminTemp.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5257\Scripts\Logon\0\6]
"Script"=Creation Temp.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5260\Scripts\Logon\0\0]
"Script"=AjouterIprimantes.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5260\Scripts\Logon\0\1]
"Script"=CopieFichiersenLocal.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5260\Scripts\Logon\0\2]
"Script"=DonneesTempetInt.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5260\Scripts\Logon\0\3]
"Script"=PurgeCacheIE.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5260\Scripts\Logon\0\4]
"Script"=Autocad.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5260\Scripts\Logon\0\5]
"Script"=CheminTemp.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5260\Scripts\Logon\0\6]
"Script"=Creation Temp.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5282\Scripts\Logon\0\0]
"Script"=AjouterIprimantes.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5282\Scripts\Logon\0\1]
"Script"=CopieFichiersenLocal.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5282\Scripts\Logon\0\2]
"Script"=DonneesTempetInt.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5282\Scripts\Logon\0\3]
"Script"=PurgeCacheIE.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5282\Scripts\Logon\0\4]
"Script"=Autocad.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5282\Scripts\Logon\0\5]
"Script"=CheminTemp.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5282\Scripts\Logon\0\6]
"Script"=Creation Temp.vbs
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Accélérateur de démarrage AutoCAD.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Accélérateur de démarrage AutoCAD.lnk
backup=C:\WINDOWS\pss\Accélérateur de démarrage AutoCAD.lnkCommon Startup
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Gamma Loader.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Gamma Loader.lnk
backup=C:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acrobat Assistant 7.0]
--a------ 2004-12-14 02:12 483328 C:\Program Files\Adobe\Acrobat 7.0\Distillr\acrotray.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
--a------ 2004-08-19 16:09 15360 C:\WINDOWS\system32\ctfmon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
--a------ 2004-08-02 20:03 4493312 C:\WINDOWS\system32\nvcpl.dll
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RoxioDragToDisc]
--a------ 2004-01-09 16:01 868352 C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RoxioEngineUtility]
--a------ 2003-05-01 18:44 65536 C:\Program Files\Fichiers communs\Roxio Shared\System\EngUtil.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2004-08-02 20:03 917504 C:\WINDOWS\system32\nwiz.exe
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
S2 NOD32FiXTemDono;Eset Nod32 Boot;C:\WINDOWS\system32\regedt32.exe [2003-04-24 16:00]
S2 SRVStarter_Lerex;Service Starter: Lerex;C:\WINDOWS\system32\Juchdp.exe [2007-03-23 16:52]
S2 SRVStarter_nerw;Service Starter: nerw;C:\WINDOWS\system32\Juchdp.exe [2007-03-23 16:52]
*Newly Created Service* - CATCHME
.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2008-06-28 19:41:00 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-09 15:02:28
Windows 5.1.2600 Service Pack 2 NTFS
Balayage processus cachés ...
Balayage caché autostart entries ...
Balayage des fichiers cachés ...
Scan terminé avec succès
Les fichiers cachés: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\SRVStarter_Lerex]
"ImagePath"="\"C:\WINDOWS\system32\Juchdp.exe\" /Name:SRVStarter_Lerex /App:\"C:\WINNT\system32\Juchde.exe\""
[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\SRVStarter_nerw]
"ImagePath"="\"C:\WINDOWS\system32\Juchdp.exe\" /Name:SRVStarter_nerw /App:\"C:\WINDOWS\system32\Juchde.exe\""
.
Temps d'accomplissement: 2008-07-09 15:02:50
ComboFix-quarantined-files.txt 2008-07-09 13:02:47
ComboFix2.txt 2008-07-09 12:54:34
ComboFix3.txt 2008-07-09 12:42:57
Pre-Run: 18,476,589,056 octets libres
Post-Run: 18,468,036,608 octets libres
247 --- E O F --- 2008-07-07 19:28:51
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:54, on 2008-07-09
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
C:\Program Files\ESET\ESET Smart Security\ekrn.exe
C:\Program Files\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\ESET\ESET Smart Security\egui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\drive\calling.com
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\imapi.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/webhp?hl=fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://professionnel/metra-book-images
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinVNC] "C:\WINDOWS\system32\rc\winvnc4.exe" -servicehelper
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [msennger] C:\WINDOWS\system32\drive\calling.com
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [hohohhaha] C:\WINDOWS\system32\drive\calling.com
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Accélérateur de démarrage AutoCAD.lnk = C:\Program Files\Fichiers communs\Autodesk Shared\acstart16.exe
O4 - Global Startup: NomUsersurStation.vbs
O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.intranetajn.com/intra/login.php?log=invite&pwd=xm24gp3nh
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = metra.local
O17 - HKLM\Software\..\Telephony: DomainName = metra.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = metra.local
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallShield Licensing Service - Macrovision - C:\Program Files\Fichiers communs\InstallShield Shared\Service\InstallShield Licensing Service.exe
O23 - Service: mental ray 3.5 Satellite (32-bit) (mi-raysat_3dsmax9_32) - Unknown owner - C:\Program Files\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Service Starter: Lerex (SRVStarter_Lerex) - Eng. Usama El-Mokadem - C:\WINDOWS\system32\Juchdp.exe
O23 - Service: Service Starter: nerw (SRVStarter_nerw) - Eng. Usama El-Mokadem - C:\WINDOWS\system32\Juchdp.exe
O23 - Service: VNC (WinVNC) - RealVNC Ltd. - C:\WINDOWS\system32\rc\winvnc4.exe
--
End of file - 7818 bytes
Message édité par thibolide le 09-07-2008 à 15:06:48
Re,
Je vais te demander d'uploader un dossier aux développeurs, ceci dans le but d'améliorer les outils 
Peux-tu chercher ce dossier : C:\Windows\system32\drive
Zippe-le et envoie le zip à ces adresse stp.
http://upload.malekal.com
http://upload.changelog.fr/
http://www.bleepingcomputer.com/su [...] channel=12
http://www.bleepingcomputer.com/su [...] channel=27
http://www.bleepingcomputer.com/su [...] ?channel=4
Enfin, supprime le zip.
*********
Sélectionne l'intégralité du cadre ci-dessous :
Collect:: Suspect:: Folder:: Driver:: Registry:: |
- Copie/colle le dans le Bloc Notes (Démarrer\Tous les programmes\Accessoires\Bloc notes.)
- Enregistre le sous sur ton bureau sous le nom de CFScript.txt
- Glisse maintenant le fichier CFScript.txt dans ComboFix.exe comme ci-dessous :
- Cela va relancer Combofix.
- ComboFix créera ces fichiers sur ton Bureau :
- Un fichier zippé nommé Submit [Date Time].zip
- Un second fichier nommé - CF-Submit.htm
- ComboFix peut exiger un redémarrage pour compléter son travail. Accepte.
- Lorsque l'outil aura terminé, un rapport ComboFix.log apparaîtra à l'écran.
- Une nouvelle fenêtre avec invite "Submit Files for further analysis" s'ouvrira. Clique "OK"
- Ton navigateur se lancera automatiquement avec le fichier CF-Submit.htm et une fenêtre s'ouvrira :
- Clique sur le bouton "Browse"("Parcourir" ) et navigue vers le fichier
Submit [Date Time].zip qui est sur ton Bureau.
- Clique sur le fichier afin de le sélectionner.
- Soumets le fichier en cliquant "OK"
- Lorsque cette opération sera complétée, tu peux supprimer ces deux fichiers qui se trouvent sur ton Bureau.
Poste le contenu du rapport ComboFix.txt après redémarrage s'il y en a un.
***********
- Poste de travail/outils/option des dossiers/affichage/cocher afficher les fichiers et dossiers cachés/Appliquer - - > OK
- Poste de travail/outils/option des dossiers/affichage/décocher masquer les fichiers protégés du système d'exploitation./Appliquer - - > OK
- Poste de travail/outils/option des dossiers/affichage/décocher masquer les extensions dont le type est connu/Appliquer - - > OK
N'oublie pas de recacher à nouveau les fichiers cachés et protégés du système d'exploitation en fin de désinfection, c'est important
Fais analyser ce(s) fichier(s) sur ce site >> Virustotal <<
- Clique sur Parcourir en haut, choisis Poste de travail et cherche ce fichier : C:\WINDOWS\system32\acdb.err
- Clique maintenant sur Envoyer le fichier.
- Poste le rapport (De Fichier *** reçu le *** jusqu'à SHA1 : ***)
Message édité par XmichouX le 09-07-2008 à 15:40:03
Répondre à XmichouX
et bien.... voilà qui est assez originale comme manipulation...
voici donc le nouveau rapport combofix
ComboFix 08-07-08.5 - METRA 2008-07-09 17:42:16.4 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1638 [GMT 2:00]
Endroit: C:\Documents and Settings\metra\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\metra\Bureau\CFScript.txt
* Création d'un nouveau point de restauration
* Resident AV is active
[color=red]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/color]
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\rq.exe
C:\rqr.exe
C:\WINDOWS\system32\drive
C:\WINDOWS\system32\drive\358.reg
C:\WINDOWS\system32\drive\360.reg
C:\WINDOWS\system32\drive\418.reg
C:\WINDOWS\system32\drive\603.reg
C:\WINDOWS\system32\drive\652.reg
C:\WINDOWS\system32\drive\717.reg
C:\WINDOWS\system32\drive\8272202.INS
C:\WINDOWS\system32\drive\86102025.INS
C:\WINDOWS\system32\drive\940.reg
C:\WINDOWS\system32\drive\aliases.ini
C:\WINDOWS\system32\drive\calling.com
C:\WINDOWS\system32\drive\dbqp.fon
C:\WINDOWS\system32\drive\lam1.exe
C:\WINDOWS\system32\drive\lam2.exe
C:\WINDOWS\system32\drive\lam5.exe
C:\WINDOWS\system32\drive\lmz.exe
C:\WINDOWS\system32\drive\lmz1.bmp
C:\WINDOWS\system32\drive\lmz2.bmp
C:\WINDOWS\system32\drive\lmz3.bmp
C:\WINDOWS\system32\drive\mirc.ini
C:\WINDOWS\system32\drive\msn.dll
C:\WINDOWS\system32\drive\poiyu
C:\WINDOWS\system32\drive\qaz
C:\WINDOWS\system32\drive\Refix.ocx
C:\WINDOWS\system32\drive\systemac.dll
C:\WINDOWS\system32\drive\winreg.oce
C:\WINDOWS\system32\drive\wsx
C:\WINDOWS\system32\ortecxar.pif
C:\WINDOWS\system32\wrda.sys
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_SRVSTARTER_NERW
-------\Service_SRVStarter_nerw
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-06-09 to 2008-07-09 ))))))))))))))))))))))))))))))))))))
.
2008-07-09 12:19 . 2008-07-09 12:19 <REP> d-------- C:\Program Files\Trend Micro
2008-07-09 09:30 . 2008-03-03 14:25 5,702 --ah----- C:\WINDOWS\nod32restoretemdono.reg
2008-07-09 09:30 . 2008-03-03 18:21 568 --ah----- C:\WINDOWS\nod32fixtemdono.reg
2008-07-09 09:23 . 2008-07-09 09:23 <REP> d-------- C:\Program Files\Lavasoft
2008-07-09 09:23 . 2008-07-09 09:23 <REP> d-------- C:\Documents and Settings\metra\Application Data\Lavasoft
2008-07-07 16:02 . 2008-07-07 16:11 2,866 --a------ C:\WINDOWS\system32\acdb.err
2008-07-02 12:20 . 2008-07-02 12:20 <REP> d-------- C:\Program Files\Fichiers communs\McNeel Shared
2008-07-02 12:20 . 2007-04-02 01:16 2,916,438 --a------ C:\WINDOWS\system32\rcm.dll
2008-07-02 12:20 . 2007-04-02 01:16 2,777,088 --a------ C:\WINDOWS\system32\rhrdk.10.v40.dll
2008-07-02 12:20 . 2007-04-02 01:16 196,608 --a------ C:\WINDOWS\system32\BongoSDK.10.v40.dll
2008-07-02 12:20 . 2007-04-02 01:16 192,512 --a------ C:\WINDOWS\system32\BongoSDK.dll
2008-07-02 12:20 . 2007-04-02 01:16 96 --a------ C:\WINDOWS\system32\vssver.scc
2008-07-02 12:19 . 2008-07-02 12:19 <REP> d-------- C:\Program Files\Fichiers communs\InstallShield Shared
2008-07-02 12:19 . 2008-07-02 12:19 <REP> d-------- C:\Program Files\ASGvis
2008-07-02 12:16 . 2008-07-02 12:16 <REP> d-------- C:\Program Files\Rhinoceros 4.0
2008-07-01 20:31 . 2008-07-01 20:31 64,281 --a------ C:\acadminidump.dmp
2008-07-01 19:21 . 2008-02-11 06:07 118,784 --a------ C:\WINDOWS\system32\cscaer.exe
2008-07-01 19:21 . 2007-03-23 16:52 56,552 --ahs---- C:\WINDOWS\system32\Juchdp.exe
2008-07-01 19:21 . 2005-04-09 21:12 30,720 --a------ C:\WINDOWS\system32\reotspnwy.dll
2008-07-01 19:21 . 2008-07-01 07:04 30,512 --ahs---- C:\WINDOWS\system32\brecxar.CPX
2008-07-01 19:21 . 2008-03-04 08:55 24,493 --ahs---- C:\WINDOWS\system32\erecxar.CPX
2008-07-01 19:21 . 2008-05-22 08:20 21,031 --ahs---- C:\WINDOWS\system32\arecxar.CPX
2008-07-01 19:21 . 2007-03-05 23:59 8,091 --ahs---- C:\WINDOWS\system32\crecxar.CPX
2008-07-01 19:21 . 2008-07-01 09:11 391 --ahs---- C:\WINDOWS\system32\vburcs.cmd
2008-07-01 19:21 . 2008-07-01 07:53 282 --ahs---- C:\WINDOWS\system32\dremxar.CPX
2008-07-01 13:07 . 2004-08-19 16:09 159,232 --a------ C:\WINDOWS\system32\ptpusd.dll
2008-07-01 13:07 . 2004-08-03 22:58 15,104 --a------ C:\WINDOWS\system32\drivers\usbscan.sys
2008-07-01 13:07 . 2004-08-03 22:58 15,104 --a--c--- C:\WINDOWS\system32\dllcache\usbscan.sys
2008-07-01 13:07 . 2001-08-23 17:47 5,632 --a------ C:\WINDOWS\system32\ptpusb.dll
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-09 08:09 --------- d-----w C:\Program Files\Square One
2008-07-09 07:37 --------- d-----w C:\Program Files\ESET
2008-07-02 10:42 --------- d-----w C:\Documents and Settings\All Users\Application Data\McNeel
2008-07-02 10:19 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-05-19 09:28 --------- d-----w C:\Program Files\Google
2008-05-15 16:51 --------- d-----w C:\Documents and Settings\metra\Application Data\Apple Computer
2008-05-12 16:59 --------- d-----w C:\Documents and Settings\metra\Application Data\ACD Systems
2007-03-23 14:52 56,552 --sha-w C:\WINDOWS\system32\Juchdp.exe
.
((((((((((((((((((((((((((((( snapshot@2008-07-09_14.42.47,67 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-07-09 07:31:51 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-07-09 15:44:04 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2005-10-20 18:02:28 163,328 ----a-w C:\WINDOWS\erdnt\subs\ERDNT.EXE
+ 2008-07-09 15:33:26 10,892 ----a-w C:\WINDOWS\SoftwareDistribution\EventCache\{C6C1BF37-49D6-439F-893C-0E45C46259CD}.bin
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 16:09 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2004-08-02 20:03 4493312]
"WinVNC"="C:\WINDOWS\system32\rc\winvnc4.exe" [2005-03-11 15:40 455632]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"egui"="C:\Program Files\ESET\ESET Smart Security\egui.exe" [2008-02-20 11:06 1443072]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 16:09 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoWelcomeScreen"= 1 (0x1)
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2641\Scripts\Logon\0\0]
"Script"=AjouterIprimantes.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2641\Scripts\Logon\0\1]
"Script"=CopieFichiersenLocal.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2641\Scripts\Logon\0\2]
"Script"=DonneesTempetInt.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2641\Scripts\Logon\0\3]
"Script"=PurgeCacheIE.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2641\Scripts\Logon\0\4]
"Script"=Autocad.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2641\Scripts\Logon\0\5]
"Script"=CheminTemp.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2641\Scripts\Logon\0\6]
"Script"=Creation Temp.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2727\Scripts\Logon\0\0]
"Script"=AjouterIprimantes.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2727\Scripts\Logon\0\1]
"Script"=CopieFichiersenLocal.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2727\Scripts\Logon\0\2]
"Script"=DonneesTempetInt.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2727\Scripts\Logon\0\3]
"Script"=PurgeCacheIE.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2727\Scripts\Logon\0\4]
"Script"=Autocad.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2727\Scripts\Logon\0\5]
"Script"=CheminTemp.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2727\Scripts\Logon\0\6]
"Script"=Creation Temp.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2732\Scripts\Logon\0\0]
"Script"=AjouterIprimantes.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2732\Scripts\Logon\0\1]
"Script"=CopieFichiersenLocal.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2732\Scripts\Logon\0\2]
"Script"=DonneesTempetInt.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2732\Scripts\Logon\0\3]
"Script"=PurgeCacheIE.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2732\Scripts\Logon\0\4]
"Script"=Autocad.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2732\Scripts\Logon\0\5]
"Script"=CheminTemp.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2732\Scripts\Logon\0\6]
"Script"=Creation Temp.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4693\Scripts\Logon\0\0]
"Script"=AjouterIprimantes.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4693\Scripts\Logon\0\1]
"Script"=CopieFichiersenLocal.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4693\Scripts\Logon\0\2]
"Script"=DonneesTempetInt.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4693\Scripts\Logon\0\3]
"Script"=PurgeCacheIE.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4693\Scripts\Logon\0\4]
"Script"=Autocad.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4693\Scripts\Logon\0\5]
"Script"=CheminTemp.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4693\Scripts\Logon\0\6]
"Script"=Creation Temp.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4836\Scripts\Logon\0\0]
"Script"=AjouterIprimantes.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4836\Scripts\Logon\0\1]
"Script"=CopieFichiersenLocal.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4836\Scripts\Logon\0\2]
"Script"=DonneesTempetInt.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4836\Scripts\Logon\0\3]
"Script"=PurgeCacheIE.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4836\Scripts\Logon\0\4]
"Script"=Autocad.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4836\Scripts\Logon\0\5]
"Script"=CheminTemp.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4836\Scripts\Logon\0\6]
"Script"=Creation Temp.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4873\Scripts\Logon\0\0]
"Script"=AjouterIprimantes.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4873\Scripts\Logon\0\1]
"Script"=CopieFichiersenLocal.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4873\Scripts\Logon\0\2]
"Script"=DonneesTempetInt.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4873\Scripts\Logon\0\3]
"Script"=PurgeCacheIE.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4873\Scripts\Logon\0\4]
"Script"=Autocad.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4873\Scripts\Logon\0\5]
"Script"=CheminTemp.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4873\Scripts\Logon\0\6]
"Script"=Creation Temp.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5257\Scripts\Logon\0\0]
"Script"=AjouterIprimantes.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5257\Scripts\Logon\0\1]
"Script"=CopieFichiersenLocal.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5257\Scripts\Logon\0\2]
"Script"=DonneesTempetInt.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5257\Scripts\Logon\0\3]
"Script"=PurgeCacheIE.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5257\Scripts\Logon\0\4]
"Script"=Autocad.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5257\Scripts\Logon\0\5]
"Script"=CheminTemp.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5257\Scripts\Logon\0\6]
"Script"=Creation Temp.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5260\Scripts\Logon\0\0]
"Script"=AjouterIprimantes.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5260\Scripts\Logon\0\1]
"Script"=CopieFichiersenLocal.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5260\Scripts\Logon\0\2]
"Script"=DonneesTempetInt.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5260\Scripts\Logon\0\3]
"Script"=PurgeCacheIE.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5260\Scripts\Logon\0\4]
"Script"=Autocad.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5260\Scripts\Logon\0\5]
"Script"=CheminTemp.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5260\Scripts\Logon\0\6]
"Script"=Creation Temp.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5282\Scripts\Logon\0\0]
"Script"=AjouterIprimantes.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5282\Scripts\Logon\0\1]
"Script"=CopieFichiersenLocal.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5282\Scripts\Logon\0\2]
"Script"=DonneesTempetInt.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5282\Scripts\Logon\0\3]
"Script"=PurgeCacheIE.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5282\Scripts\Logon\0\4]
"Script"=Autocad.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5282\Scripts\Logon\0\5]
"Script"=CheminTemp.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5282\Scripts\Logon\0\6]
"Script"=Creation Temp.vbs
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Accélérateur de démarrage AutoCAD.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Accélérateur de démarrage AutoCAD.lnk
backup=C:\WINDOWS\pss\Accélérateur de démarrage AutoCAD.lnkCommon Startup
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Gamma Loader.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Gamma Loader.lnk
backup=C:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acrobat Assistant 7.0]
--a------ 2004-12-14 02:12 483328 C:\Program Files\Adobe\Acrobat 7.0\Distillr\acrotray.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
--a------ 2004-08-19 16:09 15360 C:\WINDOWS\system32\ctfmon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
--a------ 2004-08-02 20:03 4493312 C:\WINDOWS\system32\nvcpl.dll
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RoxioDragToDisc]
--a------ 2004-01-09 16:01 868352 C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RoxioEngineUtility]
--a------ 2003-05-01 18:44 65536 C:\Program Files\Fichiers communs\Roxio Shared\System\EngUtil.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2004-08-02 20:03 917504 C:\WINDOWS\system32\nwiz.exe
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
S2 NOD32FiXTemDono;Eset Nod32 Boot;C:\WINDOWS\system32\regedt32.exe [2003-04-24 16:00]
.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2008-06-28 19:41:00 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-09 17:44:31
Windows 5.1.2600 Service Pack 2 NTFS
Balayage processus cach‚s ...
Balayage cach‚ autostart entries ...
Balayage des fichiers cach‚s ...
Scan termin‚ avec succŠs
Les fichiers cach‚s: 0
**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
C:\Program Files\ESET\ESET Smart Security\ekrn.exe
C:\Program Files\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\MsPMSPSv.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-07-09 17:45:50 - machine was rebooted
ComboFix-quarantined-files.txt 2008-07-09 15:45:47
ComboFix2.txt 2008-07-09 13:02:51
ComboFix3.txt 2008-07-09 12:54:34
ComboFix4.txt 2008-07-09 12:42:57
Pre-Run: 18,421,927,936 octets libres
Post-Run: 18,347,888,640 octets libres
297 --- E O F --- 2008-07-07 19:28:51
c'est trop complexe pour moi!
il y a deux autres lignes disponible sur le rapport virustotal, après SHA1
dis moi si tu veux que je mes rajoute
voici donc le rapport de virus total... 0%....
Fichier acdb.err reçu le 2008.07.09 17:54:40 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 0/32 (0%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 2.
L'heure estimée de démarrage est entre 43 et 62 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.
Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.7.9.2 2008.07.09 -
AntiVir 7.8.0.64 2008.07.09 -
Authentium 5.1.0.4 2008.07.08 -
Avast 4.8.1195.0 2008.07.09 -
AVG 7.5.0.516 2008.07.09 -
BitDefender 7.2 2008.07.09 -
CAT-QuickHeal 9.50 2008.07.09 -
ClamAV 0.93.1 2008.07.09 -
DrWeb 4.44.0.09170 2008.07.09 -
eSafe 7.0.17.0 2008.07.08 -
eTrust-Vet 31.6.5940 2008.07.09 -
Ewido 4.0 2008.07.09 -
F-Prot 4.4.4.56 2008.07.08 -
F-Secure 7.60.13501.0 2008.07.08 -
Fortinet 3.14.0.0 2008.07.09 -
GData 2.0.7306.1023 2008.07.09 -
Ikarus T3.1.1.26.0 2008.07.09 -
Kaspersky 7.0.0.125 2008.07.09 -
McAfee 5334 2008.07.08 -
Microsoft 1.3704 2008.07.09 -
NOD32v2 3255 2008.07.09 -
Norman 5.80.02 2008.07.09 -
Panda 9.0.0.4 2008.07.08 -
Rising 20.52.22.00 2008.07.09 -
Sophos 4.31.0 2008.07.09 -
Sunbelt 3.1.1509.1 2008.07.04 -
Symantec 10 2008.07.09 -
TheHacker 6.2.96.374 2008.07.07 -
TrendMicro 8.700.0.1004 2008.07.09 -
VBA32 3.12.6.8 2008.07.08 -
VirusBuster 4.5.11.0 2008.07.09 -
Webwasher-Gateway 6.6.2 2008.07.09 -
Information additionnelle
File size: 2866 bytes
MD5...: 62c72f53534ec8675c42d3f3eceea4bb
SHA1..: 1249f3d951e321e222db93193f66e79abf2f30fb
en tout cas, tout marche magnifiquement bien désormais!
sauf si tu as d'autres manipulations à me faire faire
je te remercie GRANDEMENT
Thibault
Re,
On a pas fini
Tu fais ou utilises des scripts VBS ?
Je vois que tu utilises un crack plus que douteux pour Nod32, qui t'a qui sait peut-être amener l'infection. Nous allons donc le supprimer.
On prendra un bon antivirus gratuit pour compenser ça ..
Sélectionne l'intégralité du cadre ci-dessous :
Collect::
|
- Copie/colle le dans le Bloc Notes (Démarrer\Tous les programmes\Accessoires\Bloc notes.)
- Enregistre le sous sur ton bureau sous le nom de CFScript.txt
- Glisse maintenant le fichier CFScript.txt dans ComboFix.exe comme ci-dessous :
- Cela va relancer Combofix.
- ComboFix créera ces fichiers sur ton Bureau :
- Un fichier zippé nommé Submit [Date Time].zip
- Un second fichier nommé - CF-Submit.htm
- ComboFix peut exiger un redémarrage pour compléter son travail. Accepte.
- Lorsque l'outil aura terminé, un rapport ComboFix.log apparaîtra à l'écran.
- Une nouvelle fenêtre avec invite "Submit Files for further analysis" s'ouvrira. Clique "OK"
- Ton navigateur se lancera automatiquement avec le fichier CF-Submit.htm et une fenêtre s'ouvrira :
- Clique sur le bouton "Browse"("Parcourir" ) et navigue vers le fichier
Submit [Date Time].zip qui est sur ton Bureau.
- Clique sur le fichier afin de le sélectionner.
- Soumets le fichier en cliquant "OK"
- Lorsque cette opération sera complétée, tu peux supprimer ces deux fichiers qui se trouvent sur ton Bureau.
Poste le contenu du rapport ComboFix.txt après redémarrage s'il y en a un.
Répondre à XmichouX
bonjour,
désolé, mais non, je ne fais rien, ni ne connait quoi que se soit aux scripts... :-(
en revanche, je commence à maitriser combo fix! :-D
plus sérieusement, il n' pas créé de fichier zip cette fois;
peut être aprce que je n'avais pas etteint l'anti-virus, et qu'il a bloqué un truc pendant l'action de combofix
faut il que je refasse la manipulation?
en tout cas, voici le rapport combofix:
ComboFix 08-07-08.5 - METRA 2008-07-10 13:17:47.5 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1660 [GMT 2:00]
Endroit: C:\Documents and Settings\metra\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\metra\Bureau\CFScript.txt
* Création d'un nouveau point de restauration
* Resident AV is active
[color=red]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/color]
FILE ::
C:\WINDOWS\nod32fixtemdono.reg
C:\WINDOWS\nod32restoretemdono.reg
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\nod32fixtemdono.reg
C:\WINDOWS\nod32restoretemdono.reg
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Service_NOD32FiXTemDono
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-06-10 to 2008-07-10 ))))))))))))))))))))))))))))))))))))
.
2008-07-09 12:19 . 2008-07-09 12:19 <REP> d-------- C:\Program Files\Trend Micro
2008-07-09 09:23 . 2008-07-09 09:23 <REP> d-------- C:\Program Files\Lavasoft
2008-07-09 09:23 . 2008-07-09 09:23 <REP> d-------- C:\Documents and Settings\metra\Application Data\Lavasoft
2008-07-07 16:02 . 2008-07-07 16:11 2,866 --a------ C:\WINDOWS\system32\acdb.err
2008-07-02 12:20 . 2008-07-02 12:20 <REP> d-------- C:\Program Files\Fichiers communs\McNeel Shared
2008-07-02 12:20 . 2007-04-02 01:16 2,916,438 --a------ C:\WINDOWS\system32\rcm.dll
2008-07-02 12:20 . 2007-04-02 01:16 2,777,088 --a------ C:\WINDOWS\system32\rhrdk.10.v40.dll
2008-07-02 12:20 . 2007-04-02 01:16 196,608 --a------ C:\WINDOWS\system32\BongoSDK.10.v40.dll
2008-07-02 12:20 . 2007-04-02 01:16 192,512 --a------ C:\WINDOWS\system32\BongoSDK.dll
2008-07-02 12:20 . 2007-04-02 01:16 96 --a------ C:\WINDOWS\system32\vssver.scc
2008-07-02 12:19 . 2008-07-02 12:19 <REP> d-------- C:\Program Files\Fichiers communs\InstallShield Shared
2008-07-02 12:19 . 2008-07-02 12:19 <REP> d-------- C:\Program Files\ASGvis
2008-07-02 12:16 . 2008-07-02 12:16 <REP> d-------- C:\Program Files\Rhinoceros 4.0
2008-07-01 20:31 . 2008-07-01 20:31 64,281 --a------ C:\acadminidump.dmp
2008-07-01 19:21 . 2008-02-11 06:07 118,784 --a------ C:\WINDOWS\system32\cscaer.exe
2008-07-01 19:21 . 2007-03-23 16:52 56,552 --ahs---- C:\WINDOWS\system32\Juchdp.exe
2008-07-01 19:21 . 2005-04-09 21:12 30,720 --a------ C:\WINDOWS\system32\reotspnwy.dll
2008-07-01 19:21 . 2008-07-01 07:04 30,512 --ahs---- C:\WINDOWS\system32\brecxar.CPX
2008-07-01 19:21 . 2008-03-04 08:55 24,493 --ahs---- C:\WINDOWS\system32\erecxar.CPX
2008-07-01 19:21 . 2008-05-22 08:20 21,031 --ahs---- C:\WINDOWS\system32\arecxar.CPX
2008-07-01 19:21 . 2007-03-05 23:59 8,091 --ahs---- C:\WINDOWS\system32\crecxar.CPX
2008-07-01 19:21 . 2008-07-01 09:11 391 --ahs---- C:\WINDOWS\system32\vburcs.cmd
2008-07-01 19:21 . 2008-07-01 07:53 282 --ahs---- C:\WINDOWS\system32\dremxar.CPX
2008-07-01 13:07 . 2004-08-19 16:09 159,232 --a------ C:\WINDOWS\system32\ptpusd.dll
2008-07-01 13:07 . 2004-08-03 22:58 15,104 --a------ C:\WINDOWS\system32\drivers\usbscan.sys
2008-07-01 13:07 . 2004-08-03 22:58 15,104 --a--c--- C:\WINDOWS\system32\dllcache\usbscan.sys
2008-07-01 13:07 . 2001-08-23 17:47 5,632 --a------ C:\WINDOWS\system32\ptpusb.dll
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-09 08:09 --------- d-----w C:\Program Files\Square One
2008-07-09 07:37 --------- d-----w C:\Program Files\ESET
2008-07-02 10:42 --------- d-----w C:\Documents and Settings\All Users\Application Data\McNeel
2008-07-02 10:19 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-05-19 09:28 --------- d-----w C:\Program Files\Google
2008-05-15 16:51 --------- d-----w C:\Documents and Settings\metra\Application Data\Apple Computer
2008-05-12 16:59 --------- d-----w C:\Documents and Settings\metra\Application Data\ACD Systems
2007-03-23 14:52 56,552 --sha-w C:\WINDOWS\system32\Juchdp.exe
.
((((((((((((((((((((((((((((( snapshot@2008-07-09_14.42.47,67 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-07-09 07:31:51 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-07-10 11:19:34 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2005-10-20 18:02:28 163,328 ----a-w C:\WINDOWS\erdnt\subs\ERDNT.EXE
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 16:09 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2004-08-02 20:03 4493312]
"WinVNC"="C:\WINDOWS\system32\rc\winvnc4.exe" [2005-03-11 15:40 455632]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"egui"="C:\Program Files\ESET\ESET Smart Security\egui.exe" [2008-02-20 11:06 1443072]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 16:09 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoWelcomeScreen"= 1 (0x1)
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2641\Scripts\Logon\0\0]
"Script"=AjouterIprimantes.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2641\Scripts\Logon\0\1]
"Script"=CopieFichiersenLocal.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2641\Scripts\Logon\0\2]
"Script"=DonneesTempetInt.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2641\Scripts\Logon\0\3]
"Script"=PurgeCacheIE.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2641\Scripts\Logon\0\4]
"Script"=Autocad.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2641\Scripts\Logon\0\5]
"Script"=CheminTemp.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2641\Scripts\Logon\0\6]
"Script"=Creation Temp.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2727\Scripts\Logon\0\0]
"Script"=AjouterIprimantes.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2727\Scripts\Logon\0\1]
"Script"=CopieFichiersenLocal.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2727\Scripts\Logon\0\2]
"Script"=DonneesTempetInt.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2727\Scripts\Logon\0\3]
"Script"=PurgeCacheIE.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2727\Scripts\Logon\0\4]
"Script"=Autocad.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2727\Scripts\Logon\0\5]
"Script"=CheminTemp.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2727\Scripts\Logon\0\6]
"Script"=Creation Temp.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2732\Scripts\Logon\0\0]
"Script"=AjouterIprimantes.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2732\Scripts\Logon\0\1]
"Script"=CopieFichiersenLocal.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2732\Scripts\Logon\0\2]
"Script"=DonneesTempetInt.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2732\Scripts\Logon\0\3]
"Script"=PurgeCacheIE.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2732\Scripts\Logon\0\4]
"Script"=Autocad.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2732\Scripts\Logon\0\5]
"Script"=CheminTemp.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2732\Scripts\Logon\0\6]
"Script"=Creation Temp.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4693\Scripts\Logon\0\0]
"Script"=AjouterIprimantes.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4693\Scripts\Logon\0\1]
"Script"=CopieFichiersenLocal.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4693\Scripts\Logon\0\2]
"Script"=DonneesTempetInt.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4693\Scripts\Logon\0\3]
"Script"=PurgeCacheIE.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4693\Scripts\Logon\0\4]
"Script"=Autocad.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4693\Scripts\Logon\0\5]
"Script"=CheminTemp.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4693\Scripts\Logon\0\6]
"Script"=Creation Temp.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4836\Scripts\Logon\0\0]
"Script"=AjouterIprimantes.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4836\Scripts\Logon\0\1]
"Script"=CopieFichiersenLocal.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4836\Scripts\Logon\0\2]
"Script"=DonneesTempetInt.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4836\Scripts\Logon\0\3]
"Script"=PurgeCacheIE.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4836\Scripts\Logon\0\4]
"Script"=Autocad.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4836\Scripts\Logon\0\5]
"Script"=CheminTemp.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4836\Scripts\Logon\0\6]
"Script"=Creation Temp.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4873\Scripts\Logon\0\0]
"Script"=AjouterIprimantes.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4873\Scripts\Logon\0\1]
"Script"=CopieFichiersenLocal.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4873\Scripts\Logon\0\2]
"Script"=DonneesTempetInt.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4873\Scripts\Logon\0\3]
"Script"=PurgeCacheIE.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4873\Scripts\Logon\0\4]
"Script"=Autocad.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4873\Scripts\Logon\0\5]
"Script"=CheminTemp.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4873\Scripts\Logon\0\6]
"Script"=Creation Temp.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5257\Scripts\Logon\0\0]
"Script"=AjouterIprimantes.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5257\Scripts\Logon\0\1]
"Script"=CopieFichiersenLocal.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5257\Scripts\Logon\0\2]
"Script"=DonneesTempetInt.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5257\Scripts\Logon\0\3]
"Script"=PurgeCacheIE.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5257\Scripts\Logon\0\4]
"Script"=Autocad.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5257\Scripts\Logon\0\5]
"Script"=CheminTemp.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5257\Scripts\Logon\0\6]
"Script"=Creation Temp.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5260\Scripts\Logon\0\0]
"Script"=AjouterIprimantes.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5260\Scripts\Logon\0\1]
"Script"=CopieFichiersenLocal.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5260\Scripts\Logon\0\2]
"Script"=DonneesTempetInt.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5260\Scripts\Logon\0\3]
"Script"=PurgeCacheIE.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5260\Scripts\Logon\0\4]
"Script"=Autocad.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5260\Scripts\Logon\0\5]
"Script"=CheminTemp.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5260\Scripts\Logon\0\6]
"Script"=Creation Temp.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5282\Scripts\Logon\0\0]
"Script"=AjouterIprimantes.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5282\Scripts\Logon\0\1]
"Script"=CopieFichiersenLocal.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5282\Scripts\Logon\0\2]
"Script"=DonneesTempetInt.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5282\Scripts\Logon\0\3]
"Script"=PurgeCacheIE.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5282\Scripts\Logon\0\4]
"Script"=Autocad.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5282\Scripts\Logon\0\5]
"Script"=CheminTemp.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5282\Scripts\Logon\0\6]
"Script"=Creation Temp.vbs
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Accélérateur de démarrage AutoCAD.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Accélérateur de démarrage AutoCAD.lnk
backup=C:\WINDOWS\pss\Accélérateur de démarrage AutoCAD.lnkCommon Startup
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Gamma Loader.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Gamma Loader.lnk
backup=C:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acrobat Assistant 7.0]
--a------ 2004-12-14 02:12 483328 C:\Program Files\Adobe\Acrobat 7.0\Distillr\acrotray.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
--a------ 2004-08-19 16:09 15360 C:\WINDOWS\system32\ctfmon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
--a------ 2004-08-02 20:03 4493312 C:\WINDOWS\system32\nvcpl.dll
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RoxioDragToDisc]
--a------ 2004-01-09 16:01 868352 C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RoxioEngineUtility]
--a------ 2003-05-01 18:44 65536 C:\Program Files\Fichiers communs\Roxio Shared\System\EngUtil.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2004-08-02 20:03 917504 C:\WINDOWS\system32\nwiz.exe
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2008-06-28 19:41:00 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-10 13:20:40
Windows 5.1.2600 Service Pack 2 NTFS
Balayage processus cach‚s ...
Balayage cach‚ autostart entries ...
Balayage des fichiers cach‚s ...
Scan termin‚ avec succŠs
Les fichiers cach‚s: 0
**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
C:\Program Files\ESET\ESET Smart Security\ekrn.exe
C:\Program Files\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\MsPMSPSv.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-07-10 13:21:57 - machine was rebooted
ComboFix-quarantined-files.txt 2008-07-10 11:21:55
ComboFix2.txt 2008-07-09 15:45:50
ComboFix3.txt 2008-07-09 13:02:51
ComboFix4.txt 2008-07-09 12:54:34
ComboFix5.txt 2008-07-09 12:42:57
Pre-Run: 18,267,258,880 octets libres
Post-Run: 18,337,361,920 octets libres
266 --- E O F --- 2008-07-07 19:28:51
Re,
Refais le script 
Répondre à XmichouX
ok sorry...
ceci étant dit, je ne suis pas certain, pour la précédente opération, d'avoir eteint mon antivirus... Mais comme ça a été très efficace, j'imagine que si/
voici le rapport
merci encore pour ton aide
ComboFix 08-07-08.5 - METRA 2008-07-10 14:12:50.6 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1651 [GMT 2:00]
Endroit: C:\Documents and Settings\metra\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\metra\Bureau\CFScript.txt
* Création d'un nouveau point de restauration
[color=red]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/color]
FILE ::
C:\WINDOWS\nod32fixtemdono.reg
C:\WINDOWS\nod32restoretemdono.reg
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\system32\arecxar.CPX
C:\WINDOWS\system32\brecxar.CPX
C:\WINDOWS\system32\crecxar.CPX
C:\WINDOWS\system32\cscaer.exe
C:\WINDOWS\system32\dremxar.CPX
C:\WINDOWS\system32\erecxar.CPX
C:\WINDOWS\system32\Juchdp.exe
C:\WINDOWS\system32\reotspnwy.dll
C:\WINDOWS\system32\vburcs.cmd
.
((((((((((((((((((((((((((((( Fichiers créés 2008-06-10 to 2008-07-10 ))))))))))))))))))))))))))))))))))))
.
2008-07-09 12:19 . 2008-07-09 12:19 <REP> d-------- C:\Program Files\Trend Micro
2008-07-09 09:23 . 2008-07-09 09:23 <REP> d-------- C:\Program Files\Lavasoft
2008-07-09 09:23 . 2008-07-09 09:23 <REP> d-------- C:\Documents and Settings\metra\Application Data\Lavasoft
2008-07-07 16:02 . 2008-07-07 16:11 2,866 --a------ C:\WINDOWS\system32\acdb.err
2008-07-02 12:20 . 2008-07-02 12:20 <REP> d-------- C:\Program Files\Fichiers communs\McNeel Shared
2008-07-02 12:20 . 2007-04-02 01:16 2,916,438 --a------ C:\WINDOWS\system32\rcm.dll
2008-07-02 12:20 . 2007-04-02 01:16 2,777,088 --a------ C:\WINDOWS\system32\rhrdk.10.v40.dll
2008-07-02 12:20 . 2007-04-02 01:16 196,608 --a------ C:\WINDOWS\system32\BongoSDK.10.v40.dll
2008-07-02 12:20 . 2007-04-02 01:16 192,512 --a------ C:\WINDOWS\system32\BongoSDK.dll
2008-07-02 12:20 . 2007-04-02 01:16 96 --a------ C:\WINDOWS\system32\vssver.scc
2008-07-02 12:19 . 2008-07-02 12:19 <REP> d-------- C:\Program Files\Fichiers communs\InstallShield Shared
2008-07-02 12:19 . 2008-07-02 12:19 <REP> d-------- C:\Program Files\ASGvis
2008-07-02 12:16 . 2008-07-02 12:16 <REP> d-------- C:\Program Files\Rhinoceros 4.0
2008-07-01 20:31 . 2008-07-01 20:31 64,281 --a------ C:\acadminidump.dmp
2008-07-01 13:07 . 2004-08-19 16:09 159,232 --a------ C:\WINDOWS\system32\ptpusd.dll
2008-07-01 13:07 . 2004-08-03 22:58 15,104 --a------ C:\WINDOWS\system32\drivers\usbscan.sys
2008-07-01 13:07 . 2004-08-03 22:58 15,104 --a--c--- C:\WINDOWS\system32\dllcache\usbscan.sys
2008-07-01 13:07 . 2001-08-23 17:47 5,632 --a------ C:\WINDOWS\system32\ptpusb.dll
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-09 08:09 --------- d-----w C:\Program Files\Square One
2008-07-09 07:37 --------- d-----w C:\Program Files\ESET
2008-07-02 10:42 --------- d-----w C:\Documents and Settings\All Users\Application Data\McNeel
2008-07-02 10:19 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-05-19 09:28 --------- d-----w C:\Program Files\Google
2008-05-15 16:51 --------- d-----w C:\Documents and Settings\metra\Application Data\Apple Computer
2008-05-12 16:59 --------- d-----w C:\Documents and Settings\metra\Application Data\ACD Systems
.
((((((((((((((((((((((((((((( snapshot@2008-07-09_14.42.47,67 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-07-09 07:31:51 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-07-10 11:19:34 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2005-10-20 18:02:28 163,328 ----a-w C:\WINDOWS\erdnt\subs\ERDNT.EXE
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 16:09 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2004-08-02 20:03 4493312]
"WinVNC"="C:\WINDOWS\system32\rc\winvnc4.exe" [2005-03-11 15:40 455632]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"egui"="C:\Program Files\ESET\ESET Smart Security\egui.exe" [2008-02-20 11:06 1443072]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 16:09 15360]
C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Acc‚l‚rateur de d‚marrage AutoCAD.lnk - C:\Program Files\Fichiers communs\Autodesk Shared\acstart16.exe [2004-02-25 08:35:00 10872]
NomUsersurStation.vbs [2003-06-11 11:20:10 1788]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoWelcomeScreen"= 1 (0x1)
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2641\Scripts\Logon\0\0]
"Script"=AjouterIprimantes.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2641\Scripts\Logon\0\1]
"Script"=CopieFichiersenLocal.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2641\Scripts\Logon\0\2]
"Script"=DonneesTempetInt.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2641\Scripts\Logon\0\3]
"Script"=PurgeCacheIE.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2641\Scripts\Logon\0\4]
"Script"=Autocad.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2641\Scripts\Logon\0\5]
"Script"=CheminTemp.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2641\Scripts\Logon\0\6]
"Script"=Creation Temp.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2727\Scripts\Logon\0\0]
"Script"=AjouterIprimantes.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2727\Scripts\Logon\0\1]
"Script"=CopieFichiersenLocal.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2727\Scripts\Logon\0\2]
"Script"=DonneesTempetInt.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2727\Scripts\Logon\0\3]
"Script"=PurgeCacheIE.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2727\Scripts\Logon\0\4]
"Script"=Autocad.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2727\Scripts\Logon\0\5]
"Script"=CheminTemp.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2727\Scripts\Logon\0\6]
"Script"=Creation Temp.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2732\Scripts\Logon\0\0]
"Script"=AjouterIprimantes.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2732\Scripts\Logon\0\1]
"Script"=CopieFichiersenLocal.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2732\Scripts\Logon\0\2]
"Script"=DonneesTempetInt.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2732\Scripts\Logon\0\3]
"Script"=PurgeCacheIE.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2732\Scripts\Logon\0\4]
"Script"=Autocad.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2732\Scripts\Logon\0\5]
"Script"=CheminTemp.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2732\Scripts\Logon\0\6]
"Script"=Creation Temp.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4693\Scripts\Logon\0\0]
"Script"=AjouterIprimantes.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4693\Scripts\Logon\0\1]
"Script"=CopieFichiersenLocal.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4693\Scripts\Logon\0\2]
"Script"=DonneesTempetInt.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4693\Scripts\Logon\0\3]
"Script"=PurgeCacheIE.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4693\Scripts\Logon\0\4]
"Script"=Autocad.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4693\Scripts\Logon\0\5]
"Script"=CheminTemp.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4693\Scripts\Logon\0\6]
"Script"=Creation Temp.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4836\Scripts\Logon\0\0]
"Script"=AjouterIprimantes.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4836\Scripts\Logon\0\1]
"Script"=CopieFichiersenLocal.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4836\Scripts\Logon\0\2]
"Script"=DonneesTempetInt.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4836\Scripts\Logon\0\3]
"Script"=PurgeCacheIE.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4836\Scripts\Logon\0\4]
"Script"=Autocad.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4836\Scripts\Logon\0\5]
"Script"=CheminTemp.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4836\Scripts\Logon\0\6]
"Script"=Creation Temp.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4873\Scripts\Logon\0\0]
"Script"=AjouterIprimantes.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4873\Scripts\Logon\0\1]
"Script"=CopieFichiersenLocal.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4873\Scripts\Logon\0\2]
"Script"=DonneesTempetInt.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4873\Scripts\Logon\0\3]
"Script"=PurgeCacheIE.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4873\Scripts\Logon\0\4]
"Script"=Autocad.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4873\Scripts\Logon\0\5]
"Script"=CheminTemp.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4873\Scripts\Logon\0\6]
"Script"=Creation Temp.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5257\Scripts\Logon\0\0]
"Script"=AjouterIprimantes.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5257\Scripts\Logon\0\1]
"Script"=CopieFichiersenLocal.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5257\Scripts\Logon\0\2]
"Script"=DonneesTempetInt.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5257\Scripts\Logon\0\3]
"Script"=PurgeCacheIE.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5257\Scripts\Logon\0\4]
"Script"=Autocad.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5257\Scripts\Logon\0\5]
"Script"=CheminTemp.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5257\Scripts\Logon\0\6]
"Script"=Creation Temp.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5260\Scripts\Logon\0\0]
"Script"=AjouterIprimantes.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5260\Scripts\Logon\0\1]
"Script"=CopieFichiersenLocal.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5260\Scripts\Logon\0\2]
"Script"=DonneesTempetInt.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5260\Scripts\Logon\0\3]
"Script"=PurgeCacheIE.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5260\Scripts\Logon\0\4]
"Script"=Autocad.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5260\Scripts\Logon\0\5]
"Script"=CheminTemp.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5260\Scripts\Logon\0\6]
"Script"=Creation Temp.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5282\Scripts\Logon\0\0]
"Script"=AjouterIprimantes.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5282\Scripts\Logon\0\1]
"Script"=CopieFichiersenLocal.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5282\Scripts\Logon\0\2]
"Script"=DonneesTempetInt.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5282\Scripts\Logon\0\3]
"Script"=PurgeCacheIE.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5282\Scripts\Logon\0\4]
"Script"=Autocad.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5282\Scripts\Logon\0\5]
"Script"=CheminTemp.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5282\Scripts\Logon\0\6]
"Script"=Creation Temp.vbs
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Accélérateur de démarrage AutoCAD.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Accélérateur de démarrage AutoCAD.lnk
backup=C:\WINDOWS\pss\Accélérateur de démarrage AutoCAD.lnkCommon Startup
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Gamma Loader.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Gamma Loader.lnk
backup=C:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acrobat Assistant 7.0]
--a------ 2004-12-14 02:12 483328 C:\Program Files\Adobe\Acrobat 7.0\Distillr\acrotray.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
--a------ 2004-08-19 16:09 15360 C:\WINDOWS\system32\ctfmon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
--a------ 2004-08-02 20:03 4493312 C:\WINDOWS\system32\nvcpl.dll
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RoxioDragToDisc]
--a------ 2004-01-09 16:01 868352 C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RoxioEngineUtility]
--a------ 2003-05-01 18:44 65536 C:\Program Files\Fichiers communs\Roxio Shared\System\EngUtil.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2004-08-02 20:03 917504 C:\WINDOWS\system32\nwiz.exe
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2008-06-28 19:41:00 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-10 14:13:27
Windows 5.1.2600 Service Pack 2 NTFS
Balayage processus cachés ...
Balayage caché autostart entries ...
Balayage des fichiers cachés ...
Scan terminé avec succès
Les fichiers cachés: 0
**************************************************************************
.
Temps d'accomplissement: 2008-07-10 14:13:55
ComboFix-quarantined-files.txt 2008-07-10 12:13:45
ComboFix2.txt 2008-07-10 11:21:58
ComboFix3.txt 2008-07-09 15:45:50
ComboFix4.txt 2008-07-09 13:02:51
ComboFix5.txt 2008-07-09 12:54:34
Pre-Run: 18,326,626,304 octets libres
Post-Run: 18,319,151,104 octets libres
252 --- E O F --- 2008-07-07 19:28:51
re,
Poste un nouveau rapport Hijackthis.
Où en sont tes soucis ?
Répondre à XmichouX
bonjour!
pour ma part, je n'ai plus rien à signaler! internet remarche sur le réseau, et les ralentis ont disparu! merci mille fois! ça avait l'air d'être une belle pagaille
dis moi s'il reste des manip, mais de mon points de vue, c'est okay!
voici le rapport hijackthis
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:00, on 2008-07-10
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
C:\Program Files\ESET\ESET Smart Security\ekrn.exe
C:\Program Files\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\ESET\ESET Smart Security\egui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Fichiers communs\Autodesk Shared\WSCommCntr1.exe
C:\Program Files\Adobe\Acrobat 7.0\Distillr\AcroTray.exe
C:\Program Files\Autodesk Architectural Desktop 2005\acad.exe
C:\DOCUME~1\metra\LOCALS~1\Temp\AdskCleanup.0001
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/webhp?hl=fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://professionnel/metra-book-images
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [WinVNC] "C:\WINDOWS\system32\rc\winvnc4.exe" -servicehelper
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Accélérateur de démarrage AutoCAD.lnk = C:\Program Files\Fichiers communs\Autodesk Shared\acstart16.exe
O4 - Global Startup: NomUsersurStation.vbs
O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.intranetajn.com/intra/login.php?log=invite&pwd=xm24gp3nh
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = metra.local
O17 - HKLM\Software\..\Telephony: DomainName = metra.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = metra.local
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallShield Licensing Service - Macrovision - C:\Program Files\Fichiers communs\InstallShield Shared\Service\InstallShield Licensing Service.exe
O23 - Service: mental ray 3.5 Satellite (32-bit) (mi-raysat_3dsmax9_32) - Unknown owner - C:\Program Files\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: VNC (WinVNC) - RealVNC Ltd. - C:\WINDOWS\system32\rc\winvnc4.exe
--
End of file - 7275 bytes
Il y a 493 utilisateurs connus et inconnus. Pour voir la liste des connectés connus, cliquez ici.
