bonjour,
J'ai un problème de ver qui se régénéré et qui sature tout mon réseau... (Win32/AutoRun.KS je crois)
si quelqu'un pouvait m'aider!!
merci beaucoup d'avance

Thibault

voici donc le rapport de mon antivirus (qui une fois mis à jour l'a détecté), et de hijackthis:

Journal de l'analyse
Version de la base des signatures de virus : 3253 (20080709)
Date : 09/07/2008 Heure : 12:25:36
Disques, dossiers et fichiers analysés : C:\Secteur d'amorçage;C:\;D:\Secteur d'amorçage;D:\
C:\pagefile.sys - erreur à l'ouverture [4]
C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys\179311cc06aed7d9fcfc0ffa8ea51e28_4a65cef9-5ec2-4315-9719-4db668c0e42b - erreur à l'ouverture [4]
C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys\680ceadf4def448b7e4e0b3165e808f1_4a65cef9-5ec2-4315-9719-4db668c0e42b - erreur à l'ouverture [4]
C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys\8b9541c1fbdf331b585fbca96a81e5c4_4a65cef9-5ec2-4315-9719-4db668c0e42b - erreur à l'ouverture [4]
C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys\ac3926b653213356c7e4c91509c2dacd_4a65cef9-5ec2-4315-9719-4db668c0e42b - erreur à l'ouverture [4]
C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys\d55084cc653cb8fc4bbecf51ff894177_4a65cef9-5ec2-4315-9719-4db668c0e42b - erreur à l'ouverture [4]
C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys\f31f992818a31a9ce3e7b58f87e188dc_4a65cef9-5ec2-4315-9719-4db668c0e42b - erreur à l'ouverture [4]
C:\Documents and Settings\All Users\Application Data\Microsoft\Dr Watson\user.dmp - erreur à l'ouverture [4]
C:\Documents and Settings\LocalService\NTUSER.DAT - erreur à l'ouverture [4]
C:\Documents and Settings\LocalService\ntuser.dat.LOG - erreur à l'ouverture [4]
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat - erreur à l'ouverture [4]
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG - erreur à l'ouverture [4]
C:\Documents and Settings\metra\NTUSER.DAT - erreur à l'ouverture [4]
C:\Documents and Settings\metra\ntuser.dat.LOG - erreur à l'ouverture [4]
C:\Documents and Settings\metra\Local Settings\Application Data\Identities\{08B3761B-080E-434C-84BC-26603FFE5597}\Microsoft\Outlook Express\Boîte de réception.dbx » DBX - est OK (analyse interne non effectuée)
C:\Documents and Settings\metra\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat - erreur à l'ouverture [4]
C:\Documents and Settings\metra\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG - erreur à l'ouverture [4]
C:\Documents and Settings\metra\Local Settings\Temp\IMGAC70.tmp - erreur à l'ouverture [4]
C:\Documents and Settings\NetworkService\NTUSER.DAT - erreur à l'ouverture [4]
C:\Documents and Settings\NetworkService\ntuser.dat.LOG - erreur à l'ouverture [4]
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat - erreur à l'ouverture [4]
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG - erreur à l'ouverture [4]
C:\Program Files\Fichiers communs\Java\Update\Base Images\jre1.6.0.b105\core3.zip » ZIP » lib/deploy/ffjcext.zip » ZIP » {CAFEEFAC-0016-0000-0000-ABCDEFFEDCBA}/chrome.manifest » MIME - est OK (analyse interne non effectuée)
C:\Program Files\Fichiers communs\Java\Update\Base Images\jre1.6.0.b105\core3.zip » ZIP » lib/resources.jar » ZIP » com/sun/org/apache/xerces/internal/impl/msg/XIncludeMessages.properties » MIME - est OK (analyse interne non effectuée)
C:\Program Files\Fichiers communs\Java\Update\Base Images\jre1.6.0.b105\core3.zip » ZIP » lib/resources.jar » ZIP » com/sun/xml/internal/fastinfoset/resources/ResourceBundle.properties » MIME - est OK (analyse interne non effectuée)
C:\Program Files\Fichiers communs\Java\Update\Base Images\jre1.6.0.b105\core3.zip » ZIP » lib/resources.jar » ZIP » javax/xml/bind/Messages.properties » MIME - est OK (analyse interne non effectuée)
C:\Program Files\Fichiers communs\Microsoft Shared\NoteSync Forms\inkform.src » MIME - est OK (analyse interne non effectuée)
C:\Program Files\Fichiers communs\Microsoft Shared\NoteSync Forms\voicefrm.src » MIME - est OK (analyse interne non effectuée)
C:\Program Files\Google\Google Earth\res\flightsim\controller\genius_maxfighter_f16u.ini » MIME - est OK (analyse interne non effectuée)
C:\Program Files\Google\Google Earth\res\flightsim\controller\logitech_attack3.ini » MIME - est OK (analyse interne non effectuée)
C:\Program Files\Google\Google Earth\res\flightsim\controller\logitech_extreme_3d.ini » MIME - est OK (analyse interne non effectuée)
C:\Program Files\Google\Google Earth\res\flightsim\controller\logitech_force_3d.ini » MIME - est OK (analyse interne non effectuée)
C:\Program Files\Google\Google Earth\res\flightsim\controller\logitech_freedom.ini » MIME - est OK (analyse interne non effectuée)
C:\Program Files\Google\Google Earth\res\flightsim\controller\saitek_cyborg_evo.ini » MIME - est OK (analyse interne non effectuée)
C:\Program Files\Google\Google Earth\res\flightsim\controller\saitek_x52.ini » MIME - est OK (analyse interne non effectuée)
C:\Program Files\Google\Google Earth\res\flightsim\controller\speed_link_black_hawk.ini » MIME - est OK (analyse interne non effectuée)
C:\Program Files\Google\Google Earth\res\flightsim\controller\speed_link_black_widow.ini » MIME - est OK (analyse interne non effectuée)
C:\Program Files\Google\Google Earth\res\flightsim\controller\speed_link_cougar_flightstick.ini » MIME - est OK (analyse interne non effectuée)
C:\Program Files\Google\Google Earth\res\flightsim\controller\speed_link_dark_tornado.ini » MIME - est OK (analyse interne non effectuée)
C:\Program Files\Google\Google Earth\res\flightsim\controller\xbox_360.ini » MIME - est OK (analyse interne non effectuée)
C:\Program Files\Java\jre1.6.0_03\lib\resources.jar » ZIP » com/sun/org/apache/xerces/internal/impl/msg/XIncludeMessages.properties » MIME - est OK (analyse interne non effectuée)
C:\Program Files\Java\jre1.6.0_03\lib\resources.jar » ZIP » com/sun/xml/internal/fastinfoset/resources/ResourceBundle.properties » MIME - est OK (analyse interne non effectuée)
C:\Program Files\Java\jre1.6.0_03\lib\resources.jar » ZIP » javax/xml/bind/Messages.properties » MIME - est OK (analyse interne non effectuée)
C:\Program Files\Java\jre1.6.0_03\lib\deploy\ffjcext.zip » ZIP » {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}/chrome.manifest » MIME - est OK (analyse interne non effectuée)
C:\Program Files\Java\jre1.6.0_05\lib\resources.jar » ZIP » com/sun/org/apache/xerces/internal/impl/msg/XIncludeMessages.properties » MIME - est OK (analyse interne non effectuée)
C:\Program Files\Java\jre1.6.0_05\lib\resources.jar » ZIP » com/sun/xml/internal/fastinfoset/resources/ResourceBundle.properties » MIME - est OK (analyse interne non effectuée)
C:\Program Files\Java\jre1.6.0_05\lib\resources.jar » ZIP » javax/xml/bind/Messages.properties » MIME - est OK (analyse interne non effectuée)
C:\Program Files\Java\jre1.6.0_05\lib\deploy\ffjcext.zip » ZIP » {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}/chrome.manifest » MIME - est OK (analyse interne non effectuée)
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » Ad-Aware SE Default.skn - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » arrow1.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » arrow2.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » bck1.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » bt11.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » bt12.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » bt13.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » bt21.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » bt22.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » bt23.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » bt31.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » bt32.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » bt33.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » bt41.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » bt42.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » bt43.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » bt51.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » bt52.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » bt53.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » bt61.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » bt62.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » checkbox1.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » checkbox2.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » checkbox3.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » checkbox4.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » defbtn1.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » defbtn2.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » defbtn3.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » glyph1.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » glyph2.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » glyph3.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » glyph4.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » glyph5.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » glyph6.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » glyph7.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » main.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » preview.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » sprite1.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Mozilla Firefox\chrome\browser.manifest » MIME - est OK (analyse interne non effectuée)
C:\Program Files\Mozilla Firefox\chrome\comm.manifest » MIME - est OK (analyse interne non effectuée)
C:\Program Files\Mozilla Firefox\chrome\pippki.manifest » MIME - est OK (analyse interne non effectuée)
C:\Program Files\Mozilla Firefox\chrome\toolkit.manifest » MIME - est OK (analyse interne non effectuée)
C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}\chrome.manifest » MIME - est OK (analyse interne non effectuée)
C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}\chrome.manifest » MIME - est OK (analyse interne non effectuée)
C:\Program Files\SuperCopier\SCUninst.exe » NSIS - erreur à la lecture de l'archive
C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe - Win32/AutoRun.KS ver - nettoyé par suppression (après le prochain redémarrage) - mis en quarantaine [1,2]
C:\WINDOWS\$hf_mig$\KB873339\update\eula.txt » MIME - est OK (analyse interne non effectuée)
C:\WINDOWS\$hf_mig$\KB885835\update\eula.txt » MIME - est OK (analyse interne non effectuée)
C:\WINDOWS\$hf_mig$\KB885836\update\eula.txt » MIME - est OK (analyse interne non effectuée)
C:\WINDOWS\$hf_mig$\KB886185\update\eula.txt » MIME - est OK (analyse interne non effectuée)
C:\WINDOWS\$hf_mig$\KB887472\update\eula.txt » MIME - est OK (analyse interne non effectuée)
C:\WINDOWS\$hf_mig$\KB888302\update\eula.txt » MIME - est OK (analyse interne non effectuée)
C:\WINDOWS\$hf_mig$\KB890859\update\eula.txt » MIME - est OK (analyse interne non effectuée)
C:\WINDOWS\$hf_mig$\KB891781\update\eula.txt » MIME - est OK (analyse interne non effectuée)
C:\WINDOWS\$hf_mig$\KB894391\update\eula.txt » MIME - est OK (analyse interne non effectuée)
C:\WINDOWS\$hf_mig$\KB896358\update\eula.txt » MIME - est OK (analyse interne non effectuée)
C:\WINDOWS\$hf_mig$\KB896428\update\eula.txt » MIME - est OK (analyse interne non effectuée)
C:\WINDOWS\$hf_mig$\KB898461\update\eula.txt » MIME - est OK (analyse interne non effectuée)
C:\WINDOWS\SoftwareDistribution\EventCache\{AC4A26BF-D356-4816-983C-DFD1DE6F8266}.bin - erreur à l'ouverture [4]
C:\WINDOWS\system32\CatRoot2\edb.log - erreur à l'ouverture [4]
C:\WINDOWS\system32\CatRoot2\tmp.edb - erreur à l'ouverture [4]
C:\WINDOWS\system32\config\default - erreur à l'ouverture [4]
C:\WINDOWS\system32\config\default.LOG - erreur à l'ouverture [4]
C:\WINDOWS\system32\config\SAM - erreur à l'ouverture [4]
C:\WINDOWS\system32\config\SAM.LOG - erreur à l'ouverture [4]
C:\WINDOWS\system32\config\SECURITY - erreur à l'ouverture [4]
C:\WINDOWS\system32\config\SECURITY.LOG - erreur à l'ouverture [4]
C:\WINDOWS\system32\config\software - erreur à l'ouverture [4]
C:\WINDOWS\system32\config\software.LOG - erreur à l'ouverture [4]
C:\WINDOWS\system32\config\system - erreur à l'ouverture [4]
C:\WINDOWS\system32\config\system.LOG - erreur à l'ouverture [4]



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:20:27, on 09/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
C:\Program Files\ESET\ESET Smart Security\ekrn.exe
C:\Program Files\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\ESET\ESET Smart Security\egui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\drive\calling.com
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/webhp?hl=fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.intranetajn.com/intra/l [...] =xm24gp3nh
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://professionnel/metra-book-images
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinVNC] "C:\WINDOWS\system32\rc\winvnc4.exe" -servicehelper
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [MS32DLL] C:\WINDOWS\MS32DLL.dll.vbs
O4 - HKLM\..\Run: [msennger] C:\WINDOWS\system32\drive\calling.com
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [hohohhaha] C:\WINDOWS\system32\drive\calling.com
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Accélérateur de démarrage AutoCAD.lnk = C:\Program Files\Fichiers communs\Autodesk Shared\acstart16.exe
O4 - Global Startup: NomUsersurStation.vbs
O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.intranetajn.com/intra/login.php?log=invite&pwd=xm24gp3nh
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = metra.local
O17 - HKLM\Software\..\Telephony: DomainName = metra.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = metra.local
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallShield Licensing Service - Macrovision - C:\Program Files\Fichiers communs\InstallShield Shared\Service\InstallShield Licensing Service.exe
O23 - Service: mental ray 3.5 Satellite (32-bit) (mi-raysat_3dsmax9_32) - Unknown owner - C:\Program Files\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Service Starter: Lerex (SRVStarter_Lerex) - Eng. Usama El-Mokadem - C:\WINDOWS\system32\Juchdp.exe
O23 - Service: Service Starter: nerw (SRVStarter_nerw) - Eng. Usama El-Mokadem - C:\WINDOWS\system32\Juchdp.exe
O23 - Service: VNC (WinVNC) - RealVNC Ltd. - C:\WINDOWS\system32\rc\winvnc4.exe

--
End of file - 7710 bytes

Bonjour,

Ton ordinateur est infecté, en effet.

Télécharge ComboFix (de sUBs) sur ton Bureau.

• Désactive temporairement toute protection résidente ! (Antivirus, antispywares..)
• Double clique sur ComboFix.exe.
• Accepte la licence en cliquant sur Oui.
• Lorsque l'opération sera terminée, un rapport apparaîtra. Poste ce rapport dans ta prochaine réponse.

Le rapport se trouve ici : %systemdrive%\ComboFix.txt (%systemdrive% étant la partition où est installée Windows; C:\ en général)

Aide : Comment utiliser ComboFix.

&

Télécharge Flash Disinfector (de sUBs) sur ton Bureau.

• Connecte tous les périphériques externes. ( DD , USB , ..... )
• Double clique sur Flash Disinfector et laisse toi guider.

bonjour,
merci pour ton aide rapide

voici le rapport combofix, et un nouveau depuis hjackthis
je reste disponible pour d'autres interventions, vu que le problème persiste!
merci encore
Thibault

ComboFix 08-07-08.5 - METRA 2008-07-09 15:01:56.3 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1485 [GMT 2:00]
Endroit: C:\Documents and Settings\metra\Bureau\ComboFix.exe

[color=red]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/color]
.

((((((((((((((((((((((((((((( Fichiers créés 2008-06-09 to 2008-07-09 ))))))))))))))))))))))))))))))))))))
.

2008-07-09 12:19 . 2008-07-09 12:19 <REP> d-------- C:\Program Files\Trend Micro
2008-07-09 09:30 . 2008-03-03 14:25 5,702 --ah----- C:\WINDOWS\nod32restoretemdono.reg
2008-07-09 09:30 . 2008-03-03 18:21 568 --ah----- C:\WINDOWS\nod32fixtemdono.reg
2008-07-09 09:23 . 2008-07-09 09:23 <REP> d-------- C:\Program Files\Lavasoft
2008-07-09 09:23 . 2008-07-09 09:23 <REP> d-------- C:\Documents and Settings\metra\Application Data\Lavasoft
2008-07-07 16:02 . 2008-07-07 16:11 2,866 --a------ C:\WINDOWS\system32\acdb.err
2008-07-02 12:20 . 2008-07-02 12:20 <REP> d-------- C:\Program Files\Fichiers communs\McNeel Shared
2008-07-02 12:20 . 2007-04-02 01:16 2,916,438 --a------ C:\WINDOWS\system32\rcm.dll
2008-07-02 12:20 . 2007-04-02 01:16 2,777,088 --a------ C:\WINDOWS\system32\rhrdk.10.v40.dll
2008-07-02 12:20 . 2007-04-02 01:16 196,608 --a------ C:\WINDOWS\system32\BongoSDK.10.v40.dll
2008-07-02 12:20 . 2007-04-02 01:16 192,512 --a------ C:\WINDOWS\system32\BongoSDK.dll
2008-07-02 12:20 . 2007-04-02 01:16 96 --a------ C:\WINDOWS\system32\vssver.scc
2008-07-02 12:19 . 2008-07-02 12:19 <REP> d-------- C:\Program Files\Fichiers communs\InstallShield Shared
2008-07-02 12:19 . 2008-07-02 12:19 <REP> d-------- C:\Program Files\ASGvis
2008-07-02 12:16 . 2008-07-02 12:16 <REP> d-------- C:\Program Files\Rhinoceros 4.0
2008-07-01 20:31 . 2008-07-01 20:31 64,281 --a------ C:\acadminidump.dmp
2008-07-01 13:07 . 2004-08-19 16:09 159,232 --a------ C:\WINDOWS\system32\ptpusd.dll
2008-07-01 13:07 . 2004-08-03 22:58 15,104 --a------ C:\WINDOWS\system32\drivers\usbscan.sys
2008-07-01 13:07 . 2004-08-03 22:58 15,104 --a--c--- C:\WINDOWS\system32\dllcache\usbscan.sys
2008-07-01 13:07 . 2001-08-23 17:47 5,632 --a------ C:\WINDOWS\system32\ptpusb.dll
2008-06-30 10:25 . 2008-07-09 15:02 <REP> d-------- C:\WINDOWS\system32\drive
2008-06-30 10:25 . 2008-06-30 12:49 1,290,890 --a------ C:\rq.exe

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-09 08:09 --------- d-----w C:\Program Files\Square One
2008-07-09 07:37 --------- d-----w C:\Program Files\ESET
2008-07-02 10:42 --------- d-----w C:\Documents and Settings\All Users\Application Data\McNeel
2008-07-02 10:19 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-07-02 08:20 1,103,742 ----a-w C:\rqr.exe
2008-07-01 06:10 4,700 --sha-w C:\WINDOWS\system32\wrda.sys
2008-07-01 06:07 18,988 --sha-w C:\WINDOWS\system32\ortecxar.pif
2008-05-19 09:28 --------- d-----w C:\Program Files\Google
2008-05-15 16:51 --------- d-----w C:\Documents and Settings\metra\Application Data\Apple Computer
2008-05-12 16:59 --------- d-----w C:\Documents and Settings\metra\Application Data\ACD Systems
2007-03-23 14:52 56,552 --sha-w C:\WINDOWS\system32\Juchdp.exe
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 16:09 15360]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-04-27 09:41 282624]
"hohohhaha"="C:\WINDOWS\system32\drive\calling.com" [2008-05-21 15:06 754176]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2004-08-02 20:03 4493312]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-04-27 09:41 282624]
"WinVNC"="C:\WINDOWS\system32\rc\winvnc4.exe" [2005-03-11 15:40 455632]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"egui"="C:\Program Files\ESET\ESET Smart Security\egui.exe" [2008-02-20 11:06 1443072]
"msennger"="C:\WINDOWS\system32\drive\calling.com" [2008-05-21 15:06 754176]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 16:09 15360]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Acc‚l‚rateur de d‚marrage AutoCAD.lnk - C:\Program Files\Fichiers communs\Autodesk Shared\acstart16.exe [2004-02-25 08:35:00 10872]
NomUsersurStation.vbs [2003-06-11 11:20:10 1788]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoWelcomeScreen"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2641\Scripts\Logon\0\0]
"Script"=AjouterIprimantes.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2641\Scripts\Logon\0\1]
"Script"=CopieFichiersenLocal.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2641\Scripts\Logon\0\2]
"Script"=DonneesTempetInt.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2641\Scripts\Logon\0\3]
"Script"=PurgeCacheIE.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2641\Scripts\Logon\0\4]
"Script"=Autocad.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2641\Scripts\Logon\0\5]
"Script"=CheminTemp.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2641\Scripts\Logon\0\6]
"Script"=Creation Temp.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2727\Scripts\Logon\0\0]
"Script"=AjouterIprimantes.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2727\Scripts\Logon\0\1]
"Script"=CopieFichiersenLocal.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2727\Scripts\Logon\0\2]
"Script"=DonneesTempetInt.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2727\Scripts\Logon\0\3]
"Script"=PurgeCacheIE.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2727\Scripts\Logon\0\4]
"Script"=Autocad.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2727\Scripts\Logon\0\5]
"Script"=CheminTemp.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2727\Scripts\Logon\0\6]
"Script"=Creation Temp.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2732\Scripts\Logon\0\0]
"Script"=AjouterIprimantes.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2732\Scripts\Logon\0\1]
"Script"=CopieFichiersenLocal.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2732\Scripts\Logon\0\2]
"Script"=DonneesTempetInt.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2732\Scripts\Logon\0\3]
"Script"=PurgeCacheIE.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2732\Scripts\Logon\0\4]
"Script"=Autocad.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2732\Scripts\Logon\0\5]
"Script"=CheminTemp.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2732\Scripts\Logon\0\6]
"Script"=Creation Temp.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4693\Scripts\Logon\0\0]
"Script"=AjouterIprimantes.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4693\Scripts\Logon\0\1]
"Script"=CopieFichiersenLocal.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4693\Scripts\Logon\0\2]
"Script"=DonneesTempetInt.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4693\Scripts\Logon\0\3]
"Script"=PurgeCacheIE.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4693\Scripts\Logon\0\4]
"Script"=Autocad.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4693\Scripts\Logon\0\5]
"Script"=CheminTemp.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4693\Scripts\Logon\0\6]
"Script"=Creation Temp.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4836\Scripts\Logon\0\0]
"Script"=AjouterIprimantes.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4836\Scripts\Logon\0\1]
"Script"=CopieFichiersenLocal.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4836\Scripts\Logon\0\2]
"Script"=DonneesTempetInt.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4836\Scripts\Logon\0\3]
"Script"=PurgeCacheIE.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4836\Scripts\Logon\0\4]
"Script"=Autocad.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4836\Scripts\Logon\0\5]
"Script"=CheminTemp.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4836\Scripts\Logon\0\6]
"Script"=Creation Temp.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4873\Scripts\Logon\0\0]
"Script"=AjouterIprimantes.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4873\Scripts\Logon\0\1]
"Script"=CopieFichiersenLocal.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4873\Scripts\Logon\0\2]
"Script"=DonneesTempetInt.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4873\Scripts\Logon\0\3]
"Script"=PurgeCacheIE.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4873\Scripts\Logon\0\4]
"Script"=Autocad.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4873\Scripts\Logon\0\5]
"Script"=CheminTemp.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4873\Scripts\Logon\0\6]
"Script"=Creation Temp.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5257\Scripts\Logon\0\0]
"Script"=AjouterIprimantes.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5257\Scripts\Logon\0\1]
"Script"=CopieFichiersenLocal.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5257\Scripts\Logon\0\2]
"Script"=DonneesTempetInt.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5257\Scripts\Logon\0\3]
"Script"=PurgeCacheIE.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5257\Scripts\Logon\0\4]
"Script"=Autocad.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5257\Scripts\Logon\0\5]
"Script"=CheminTemp.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5257\Scripts\Logon\0\6]
"Script"=Creation Temp.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5260\Scripts\Logon\0\0]
"Script"=AjouterIprimantes.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5260\Scripts\Logon\0\1]
"Script"=CopieFichiersenLocal.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5260\Scripts\Logon\0\2]
"Script"=DonneesTempetInt.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5260\Scripts\Logon\0\3]
"Script"=PurgeCacheIE.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5260\Scripts\Logon\0\4]
"Script"=Autocad.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5260\Scripts\Logon\0\5]
"Script"=CheminTemp.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5260\Scripts\Logon\0\6]
"Script"=Creation Temp.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5282\Scripts\Logon\0\0]
"Script"=AjouterIprimantes.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5282\Scripts\Logon\0\1]
"Script"=CopieFichiersenLocal.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5282\Scripts\Logon\0\2]
"Script"=DonneesTempetInt.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5282\Scripts\Logon\0\3]
"Script"=PurgeCacheIE.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5282\Scripts\Logon\0\4]
"Script"=Autocad.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5282\Scripts\Logon\0\5]
"Script"=CheminTemp.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5282\Scripts\Logon\0\6]
"Script"=Creation Temp.vbs

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Accélérateur de démarrage AutoCAD.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Accélérateur de démarrage AutoCAD.lnk
backup=C:\WINDOWS\pss\Accélérateur de démarrage AutoCAD.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Gamma Loader.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Gamma Loader.lnk
backup=C:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acrobat Assistant 7.0]
--a------ 2004-12-14 02:12 483328 C:\Program Files\Adobe\Acrobat 7.0\Distillr\acrotray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
--a------ 2004-08-19 16:09 15360 C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
--a------ 2004-08-02 20:03 4493312 C:\WINDOWS\system32\nvcpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RoxioDragToDisc]
--a------ 2004-01-09 16:01 868352 C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RoxioEngineUtility]
--a------ 2003-05-01 18:44 65536 C:\Program Files\Fichiers communs\Roxio Shared\System\EngUtil.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2004-08-02 20:03 917504 C:\WINDOWS\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=

S2 NOD32FiXTemDono;Eset Nod32 Boot;C:\WINDOWS\system32\regedt32.exe [2003-04-24 16:00]
S2 SRVStarter_Lerex;Service Starter: Lerex;C:\WINDOWS\system32\Juchdp.exe [2007-03-23 16:52]
S2 SRVStarter_nerw;Service Starter: nerw;C:\WINDOWS\system32\Juchdp.exe [2007-03-23 16:52]

*Newly Created Service* - CATCHME
.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2008-06-28 19:41:00 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-09 15:02:28
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\SRVStarter_Lerex]
"ImagePath"="\"C:\WINDOWS\system32\Juchdp.exe\" /Name:SRVStarter_Lerex /App:\"C:\WINNT\system32\Juchde.exe\""

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\SRVStarter_nerw]
"ImagePath"="\"C:\WINDOWS\system32\Juchdp.exe\" /Name:SRVStarter_nerw /App:\"C:\WINDOWS\system32\Juchde.exe\""
.
Temps d'accomplissement: 2008-07-09 15:02:50
ComboFix-quarantined-files.txt 2008-07-09 13:02:47
ComboFix2.txt 2008-07-09 12:54:34
ComboFix3.txt 2008-07-09 12:42:57

Pre-Run: 18,476,589,056 octets libres
Post-Run: 18,468,036,608 octets libres

247 --- E O F --- 2008-07-07 19:28:51



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:54, on 2008-07-09
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
C:\Program Files\ESET\ESET Smart Security\ekrn.exe
C:\Program Files\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\ESET\ESET Smart Security\egui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\drive\calling.com
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\imapi.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/webhp?hl=fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://professionnel/metra-book-images
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinVNC] "C:\WINDOWS\system32\rc\winvnc4.exe" -servicehelper
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [msennger] C:\WINDOWS\system32\drive\calling.com
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [hohohhaha] C:\WINDOWS\system32\drive\calling.com
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Accélérateur de démarrage AutoCAD.lnk = C:\Program Files\Fichiers communs\Autodesk Shared\acstart16.exe
O4 - Global Startup: NomUsersurStation.vbs
O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.intranetajn.com/intra/login.php?log=invite&pwd=xm24gp3nh
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = metra.local
O17 - HKLM\Software\..\Telephony: DomainName = metra.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = metra.local
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallShield Licensing Service - Macrovision - C:\Program Files\Fichiers communs\InstallShield Shared\Service\InstallShield Licensing Service.exe
O23 - Service: mental ray 3.5 Satellite (32-bit) (mi-raysat_3dsmax9_32) - Unknown owner - C:\Program Files\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Service Starter: Lerex (SRVStarter_Lerex) - Eng. Usama El-Mokadem - C:\WINDOWS\system32\Juchdp.exe
O23 - Service: Service Starter: nerw (SRVStarter_nerw) - Eng. Usama El-Mokadem - C:\WINDOWS\system32\Juchdp.exe
O23 - Service: VNC (WinVNC) - RealVNC Ltd. - C:\WINDOWS\system32\rc\winvnc4.exe

--
End of file - 7818 bytes

Re,

Je vais te demander d'uploader un dossier aux développeurs, ceci dans le but d'améliorer les outils

Peux-tu chercher ce dossier : C:\Windows\system32\drive
Zippe-le et envoie le zip à ces adresse stp.

http://upload.malekal.com
http://upload.changelog.fr/
http://www.bleepingcomputer.com/su [...] channel=12
http://www.bleepingcomputer.com/su [...] channel=27
http://www.bleepingcomputer.com/su [...] ?channel=4

Enfin, supprime le zip.

*********

Sélectionne l'intégralité du cadre ci-dessous :

• Copie/colle le dans le Bloc Notes (Démarrer\Tous les programmes\Accessoires\Bloc notes.)
• Enregistre le sous sur ton bureau sous le nom de CFScript.txt
• Glisse maintenant le fichier CFScript.txt dans ComboFix.exe comme ci-dessous :

• Cela va relancer Combofix.
• ComboFix créera ces fichiers sur ton Bureau :

- Un fichier zippé nommé Submit [Date Time].zip
- Un second fichier nommé - CF-Submit.htm

• ComboFix peut exiger un redémarrage pour compléter son travail. Accepte.
• Lorsque l'outil aura terminé, un rapport ComboFix.log apparaîtra à l'écran.
• Une nouvelle fenêtre avec invite "Submit Files for further analysis" s'ouvrira. Clique "OK"
• Ton navigateur se lancera automatiquement avec le fichier CF-Submit.htm et une fenêtre s'ouvrira :

- Clique sur le bouton "Browse"("Parcourir" ) et navigue vers le fichier
Submit [Date Time].zip qui est sur ton Bureau.
- Clique sur le fichier afin de le sélectionner.

• Soumets le fichier en cliquant "OK"
• Lorsque cette opération sera complétée, tu peux supprimer ces deux fichiers qui se trouvent sur ton Bureau.

Poste le contenu du rapport ComboFix.txt après redémarrage s'il y en a un.

***********

- Poste de travail/outils/option des dossiers/affichage/cocher afficher les fichiers et dossiers cachés/Appliquer - - > OK
- Poste de travail/outils/option des dossiers/affichage/décocher masquer les fichiers protégés du système d'exploitation./Appliquer - - > OK
- Poste de travail/outils/option des dossiers/affichage/décocher masquer les extensions dont le type est connu/Appliquer - - > OK

N'oublie pas de recacher à nouveau les fichiers cachés et protégés du système d'exploitation en fin de désinfection, c'est important

Fais analyser ce(s) fichier(s) sur ce site >> Virustotal <<

• Clique sur Parcourir en haut, choisis Poste de travail et cherche ce fichier : C:\WINDOWS\system32\acdb.err
• Clique maintenant sur Envoyer le fichier.
• Poste le rapport (De Fichier *** reçu le *** jusqu'à SHA1 : ***)