Win 32: trojan gen {other}

Bonjour,

Quel est l'emplacement exact ?

bonjour,
merci de vous interesser a mon cas,
le nom des fichiers infectes sont :sxs32.exe, trz46.tmp, trz6D.tmp, trz6e.tmp et se trouvent tous dans C:\Documents and Setting\christophe.
Je n'ai pas les autre noms de fichier car je les ai supprime mais ils etaient localises dans un dossier temp

Re,

Tu as essayé la suppression manuelle ?

Télécharge MalwareByte's Anti-Malware sur ton Bureau.

Installe-le en double-cliquant sur le fichier Download_mbam-setup.exe.

Exécute maintenant MalwareByte's Anti-Malware. Si cela n'est pas déjà fait, sélectionne "Exécuter un examen complet".

Afin de lancer la recherche, clic sur"Rechercher".

Une fois le scan terminé, une fenêtre s'ouvre, clic sur OK. Deux possibilités s'offrent à toi :

~ Si le programme n'a rien trouvé, appuie sur OK. Un rapport va apparaître, ferme-le.
~~ Si des infections sont présentes, clic sur "Afficher les résultats" puis sur "Supprimer la sélection". Enregistre le rapport sur ton Bureau.
~~~~ Fais redémarrer ton ordinateur normalement et poste le rapport dans ta prochaine réponse.

REMARQUE : Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok.[/#f]

Note : Si tu ne parviens à télécharger MBAM à part de MajorGeeks, tu peux le télécharger ici!

[#FF0000]Aide :

Comment utiliser MBAM.

Comment faire démarrer son ordinateur en mode sans échec.

J'ai suivi toutes tes recommandations, mais apres windows ne voulait plus demarrer, aussi j'ai du redemarer en mode sans echec afin de remettre ma licence en marche, je t'envoie le rapport de mbam:
Malwarebytes' Anti-Malware 1.36
Version de la base de données: 2046
Windows 5.1.2600 Service Pack 3

27/04/2009 08:40:34
mbam-log-2009-04-27 (08-40-34).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 112450
Temps écoulé: 29 minute(s), 50 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\WINDOWS\system32\antiwpa.dll (Trojan.I.Stole.Windows) -> Delete on reboot.

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28abc5c0-4fcb-11cf-aax5-81cx1c635612} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\antiwpa (Trojan.I.Stole.Windows) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013 (Trojan.Agent) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\antiwpa.dll (Trojan.I.Stole.Windows) -> Delete on reboot.

je viens de refaire une analyse par malware et il viens de me trouver encore 2 trojan le fait que le les supprime et mon windows perd son activation je suis de nouveau oblge de passer par le mode sans echec afin de le reactiver.
voici le deuxieme rapport:
Malwarebytes' Anti-Malware 1.36
Version de la base de données: 2046
Windows 5.1.2600 Service Pack 3

27/04/2009 09:57:47
mbam-log-2009-04-27 (09-57-47).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 111768
Temps écoulé: 19 minute(s), 35 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\antiwpa (Trojan.I.Stole.Windows) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\antiwpa.dll (Trojan.I.Stole.Windows) -> Delete on reboot.

Reposte un rapport Hijackthis pour voir.

le nouveau rapport
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:03:19, on 27/04/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Program Files\VMware\VMware Tools\vmacthlp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\AppleOSSMgr.exe
C:\WINDOWS\system32\AppleTimeSrv.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Fichiers communs\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Boot Camp\KbdMgr.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Microsoft IntelliPoint\point32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\WINDOWS\system32\LXSUPMON.EXE
C:\Documents and Settings\christophe\Local Settings\Application Data\Google\Update\GoogleUpdate.exe
C:\Program Files\eMule\emule.exe
C:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Apple_KbdMgr] C:\Program Files\Boot Camp\KbdMgr.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [VMware Tools] C:\Program Files\VMware\VMware Tools\VMwareTray.exe
O4 - HKLM\..\Run: [VMware User Process] C:\Program Files\VMware\VMware Tools\VMwareUser.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\system32\LXSUPMON.EXE RUN
O4 - HKCU\..\Run: [Uniblue RegistryBooster 2009] C:\Program Files\Uniblue\RegistryBooster\RegistryBooster.exe /S
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\christophe\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Acrobat.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\program files\vmware\vmware tools\vsock sdk\bin\win32\vsocklib.dll
O10 - Unknown file in Winsock LSP: c:\program files\vmware\vmware tools\vsock sdk\bin\win32\vsocklib.dll
O20 - Winlogon Notify: Antiwpa - C:\WINDOWS\SYSTEM32\antiwpa.dll
O20 - Winlogon Notify: TPSvc - C:\WINDOWS\SYSTEM32\TPSvc.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Apple OS Switch Manager (AppleOSSMgr) - Unknown owner - C:\WINDOWS\system32\AppleOSSMgr.exe
O23 - Service: Apple Time Service (AppleTimeSrv) - Apple Inc. - C:\WINDOWS\system32\AppleTimeSrv.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sentinel Protection Server (SentinelProtectionServer) - SafeNet, Inc - C:\Program Files\Fichiers communs\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe
O23 - Service: TP AutoConnect Service (TPAutoConnSvc) - ThinPrint GmbH - C:\Program Files\VMware\VMware Tools\TPAutoConnSvc.exe
O23 - Service: Service VMware Tools (VMTools) - VMware, Inc. - C:\Program Files\VMware\VMware Tools\VMwareService.exe
O23 - Service: Service d'aide du disque physique VMware (VMware Physical Disk Helper Service) - VMware, Inc. - C:\Program Files\VMware\VMware Tools\vmacthlp.exe

--
End of file - 8377 bytes

Analyse le fichier suivant sur le site VirusTotal puis poste le rapport :
C:\WINDOWS\SYSTEM32\antiwpa.dll

voici l'analyse par virus total
Fichier ANTIWPA.DLL reçu le 2009.04.27 14:05:21 (CET)
Situation actuelle: terminé
Résultat: 21/40 (52.50%)
Formaté
Impression des résultats
Antivirus Version Dernière mise à jour Résultat
a-squared 4.0.0.101 2009.04.27 Riskware.Hacktool.Wpakill!IK
AhnLab-V3 5.0.0.2 2009.04.27 Win-Trojan/Xema.variant
AntiVir 7.9.0.156 2009.04.27 -
Antiy-AVL 2.0.3.1 2009.04.27 Virus/Win32.Xorer
Authentium 5.1.2.4 2009.04.26 -
Avast 4.8.1335.0 2009.04.26 -
AVG 8.5.0.287 2009.04.27 HackTool.GEC
BitDefender 7.2 2009.04.27 Virtool.20359
CAT-QuickHeal 10.00 2009.04.27 Trojan.Agent.irc
ClamAV 0.94.1 2009.04.27 -
Comodo 1137 2009.04.27 Unclassified Malware
DrWeb 4.44.0.09170 2009.04.27 Tool.Wpakill.1
eSafe 7.0.17.0 2009.04.23 Win32.Hacktool
eTrust-Vet 31.6.6478 2009.04.27 -
F-Prot 4.4.4.56 2009.04.27 -
F-Secure 8.0.14470.0 2009.04.27 -
Fortinet 3.117.0.0 2009.04.27 Dialer_Intex
GData 19 2009.04.27 Virtool.20359
Ikarus T3.1.1.49.0 2009.04.27 not-a-Virus.Hacktool.Wpakill
K7AntiVirus 7.10.716 2009.04.25 Trojan.Win32.Agent
Kaspersky 7.0.0.125 2009.04.27 -
McAfee 5597 2009.04.26 potentially unwanted program Generic HTool
McAfee+Artemis 5597 2009.04.26 potentially unwanted program Generic HTool
McAfee-GW-Edition 6.7.6 2009.04.27 -
Microsoft 1.4602 2009.04.27 HackTool:Win32/Wpakill
NOD32 4036 2009.04.27 -
Norman 6.00.06 2009.04.27 -
nProtect 2009.1.8.0 2009.04.27 Trojan/W32.HackTool.5376
Panda 10.0.0.14 2009.04.26 HackTool/Antiwpa
PCTools 4.4.2.0 2009.04.27 -
Prevx1 3.0 2009.04.27 -
Rising 21.27.02.00 2009.04.27 -
Sophos 4.41.0 2009.04.27 -
Sunbelt 3.2.1858.2 2009.04.24 -
Symantec 1.4.4.12 2009.04.27 Hacktool
TheHacker 6.3.4.1.315 2009.04.27 -
TrendMicro 8.700.0.1004 2009.04.27 -
VBA32 3.12.10.3 2009.04.27 -
ViRobot 2009.4.27.1710 2009.04.27 Trojan.Win32.Agent.5376.B
VirusBuster 4.6.5.0 2009.04.26 HackTool.Wpakill.H
Information additionnelle
File size: 5376 bytes
MD5...: f2aaf467e72b0c4754bdcbede3793623
SHA1..: 6109d95497b1ea0fccd942c12e5aa38ff7bb0628
SHA256: 4266a4c85a6b068598a00f45762987a85c9fc31e368981df3188e6e31c91e554
SHA512: 22571197b21a22477f8111be6512329d973a979b8dd798ccfae94037f9064de9
f836557b3950a4692bd4b281fb03443e956463b0e4e33edfc3b5a486fd927207
ssdeep: 96:gGKvnMoBDvCCslvtdhEArE/1pQxkpulLFjiyDXijoqRfAFfoq:gGKvnXBmCsl
NxrE/1pQxk+ZjiyDXiU0A
PEiD..: -
TrID..: File type identification
Win32 Dynamic Link Library (generic) (65.4%)
Generic Win/DOS Executable (17.2%)
DOS Executable Generic (17.2%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x801
timedatestamp.....: 0x432cb580 (Sun Sep 18 00:32:00 2005)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x300 0xd50 0xe00 5.89 c005c76ad53190081de36919f32f35e6
.rsrc 0x1100 0x290 0x300 2.83 3d59ac09546fc3597075b035af9a4702
.reloc 0x1400 0xda 0x100 3.75 fa9f622eba63c95dcb89ed074b261965

( 6 imports )
> KERNEL32.dll: lstrlenA, GetTickCount, GetSystemDirectoryA, FindFirstFileA, GetLastError, lstrcmpiA, GetModuleHandleA, FindClose, MoveFileA, GetModuleFileNameA, FindNextFileA, DeleteFileA, VirtualProtect, VirtualQuery, IsBadReadPtr, CopyFileA
> ADVAPI32.dll: RegDeleteKeyA, RegCreateKeyExA, RegSetValueExA
> USER32.dll: GetSystemMetrics, MessageBoxA, GetForegroundWindow
> SHLWAPI.dll: PathAddBackslashA, PathAppendA, PathStripPathA, PathRemoveFileSpecA
> SHELL32.dll: ShellExecuteA
> ntdll.dll: _vsnprintf, _strcmpi, _stricmp, memset

( 3 exports )
DllRegisterServer, DllUnregisterServer, onLogon
PDFiD.: -
RDS...: NSRL Reference Data Set
-
CWSandbox info: http://research.sunbelt-software.com/partnerresource/MD...

Re?

Télécharge ComboFix (de sUBs) sur ton Bureau.

Désactive temporairement toute protection résidente ! (Antivirus, antispywares..)

Double clique sur ComboFix.exe.

Accepte la licence en cliquant sur Oui.

Le programme va te demander si tu souhaites installer la Console de Récupération. C'est une précaution, au cas où l'ordinateur tomberait en panne. Je te conseille donc de l'installer, ça ne coûte rien, et ça pourrait potentiellement servir !

Lorsque l'opération sera terminée, un rapport apparaîtra. Poste ce rapport dans ta prochaine réponse.

Le rapport se trouve ici : %SystemDrive%\ComboFix.txt (%systemdrive% étant la partition où est installée Windows; C:\ en général)

Aide : Comment utiliser ComboFix.

j'ai fait tout ce que tu m'as dit et voila le resultat:

ComboFix 09-04-27.04 - christophe 28/04/2009 14:37.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.3048.2492 [GMT 2:00]
Lancé depuis: c:\documents and settings\christophe\Mes documents\Downloads\ComboFix.exe
AV: avast! antivirus 4.8.1335 [VPS 090427-0] *On-access scanning disabled* (Updated)
* Un nouveau point de restauration a été créé
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\docume~1\CHRIST~1\LOCALS~1\Temp\install_flash_player.exe

.
((((((((((((((((((((((((((((( Fichiers créés du 2009-05-28 au 2009-4-28 ))))))))))))))))))))))))))))))))))))
.

2009-04-28 12:05 . 2009-04-28 12:24 -------- d-----w c:\documents and settings\christophe\Application Data\FileZilla
2009-04-28 12:05 . 2009-04-28 12:05 -------- d-----w c:\program files\FileZilla FTP Client
2009-04-27 22:31 . 2005-09-18 00:32 5376 ----a-w c:\windows\system32\antiwpa.dll
2009-04-27 09:35 . 2009-04-27 09:35 -------- d-----w c:\documents and settings\Administrateur\Local Settings\Application Data\VMware
2009-04-27 08:53 . 2009-04-27 08:54 -------- d-----w c:\documents and settings\christophe\Local Settings\Application Data\Google
2009-04-26 20:40 . 2009-04-26 20:40 -------- d-----w c:\documents and settings\christophe\Application Data\Malwarebytes
2009-04-26 20:40 . 2009-04-06 13:32 15504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-04-26 20:40 . 2009-04-06 13:32 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-04-26 20:40 . 2009-04-26 20:40 -------- d-----w c:\documents and settings\All Users\Application Data\Malwarebytes
2009-04-26 20:40 . 2009-04-26 20:40 -------- d-----w c:\program files\Malwarebytes' Anti-Malware
2009-04-25 10:11 . 2009-04-25 10:11 396288 ----a-w C:\HijackThis.exe
2009-04-15 10:43 . 2009-02-06 10:10 227840 -c----w c:\windows\system32\dllcache\wmiprvse.exe
2009-04-15 10:43 . 2009-03-06 14:20 286720 -c----w c:\windows\system32\dllcache\pdh.dll
2009-04-15 10:43 . 2009-02-09 11:23 111104 -c----w c:\windows\system32\dllcache\services.exe
2009-04-15 10:43 . 2009-02-09 10:53 401408 -c----w c:\windows\system32\dllcache\rpcss.dll
2009-04-15 10:43 . 2009-02-09 10:53 473600 -c----w c:\windows\system32\dllcache\fastprox.dll
2009-04-15 10:43 . 2009-02-09 10:53 685568 -c----w c:\windows\system32\dllcache\advapi32.dll
2009-04-15 10:42 . 2009-02-09 10:53 735744 -c----w c:\windows\system32\dllcache\lsasrv.dll
2009-04-15 10:42 . 2009-02-09 10:53 453120 -c----w c:\windows\system32\dllcache\wmiprvsd.dll
2009-04-15 10:42 . 2009-02-09 10:53 739840 -c----w c:\windows\system32\dllcache\ntdll.dll
2009-04-15 10:30 . 2008-12-16 12:31 354304 -c----w c:\windows\system32\dllcache\winhttp.dll
2009-04-15 10:22 . 2008-04-21 21:15 219136 -c----w c:\windows\system32\dllcache\wordpad.exe
2009-04-09 20:52 . 2009-04-09 20:54 12098 ----a-w c:\windows\system32\drivers\73BAD42D.bin
2009-04-09 20:52 . 2009-04-09 20:52 177152 ----a-w c:\windows\system32\drivers\XRNBO.sys
2009-04-09 20:36 . 2009-04-09 20:36 -------- d-----w c:\program files\WYSIWYG Drivers
2009-04-09 20:26 . 2009-04-09 20:56 -------- d-----w c:\program files\WYSIWYG1

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-28 12:24 . 2008-12-08 17:57 -------- d-----w c:\program files\eMule
2009-04-27 22:42 . 2008-11-23 22:12 47284 ----a-w c:\windows\system32\perfc040.dat
2009-04-27 22:42 . 2008-11-23 22:12 365174 ----a-w c:\windows\system32\perfh040.dat
2009-04-27 22:42 . 2004-08-19 17:44 368314 ----a-w c:\windows\system32\perfh00C.dat
2009-04-27 22:42 . 2004-08-19 17:44 49054 ----a-w c:\windows\system32\perfc00C.dat
2009-04-27 22:38 . 2008-11-23 22:17 32 ----a-w c:\windows\system32\drivers\mshcmd.sys.
2009-04-27 09:32 . 2008-11-24 18:09 -------- d-----w c:\program files\PeerGuardian2
2009-04-27 07:01 . 2008-11-24 16:51 -------- d-----w c:\program files\Activation
2009-04-09 20:26 . 2008-11-22 00:40 -------- d--h--w c:\program files\InstallShield Installation Information
2009-04-09 20:24 . 2008-11-23 22:10 -------- d-----w c:\program files\WYSIWYG
2009-03-28 16:03 . 2008-12-01 23:48 -------- d-----w c:\program files\Fichiers communs\Adobe
2009-03-25 08:41 . 2009-03-25 08:40 -------- d-----w c:\program files\Easy CD-DA Extractor 10
2009-03-19 15:29 . 2009-03-19 15:29 -------- d-----w c:\program files\MA Lighting Technologies
2009-03-06 14:20 . 2004-08-19 17:44 286720 ----a-w c:\windows\system32\pdh.dll
2009-02-28 19:49 . 2009-02-28 19:49 737280 ----a-w c:\windows\iun6002.exe
2009-02-20 08:10 . 2004-08-19 17:51 670208 ----a-w c:\windows\system32\wininet.dll
2009-02-20 08:10 . 2004-08-19 17:38 81920 ----a-w c:\windows\system32\ieencode.dll
2009-02-09 14:05 . 2004-08-19 17:51 1846912 ----a-w c:\windows\system32\win32k.sys
2009-02-09 12:28 . 2009-02-09 12:28 785 ----a-w C:\_ZCAT.DAT
2009-02-09 12:28 . 2009-02-09 12:28 51 ----a-w C:\PAGE.DAT
2009-02-09 12:28 . 2009-02-09 12:28 3439 ----a-w C:\EFFECTS.DAT
2009-02-09 12:28 . 2009-02-09 12:28 2690 ----a-w C:\RTTABLE.DAT
2009-02-09 12:28 . 2009-02-09 12:28 24 ----a-w C:\POSITION.DAT
2009-02-09 12:28 . 2009-02-09 12:28 24 ----a-w C:\COLOUR.DAT
2009-02-09 12:28 . 2009-02-09 12:28 24 ----a-w C:\BEAM.DAT
2009-02-09 12:28 . 2009-02-09 12:28 20 ----a-w C:\GROUP.DAT
2009-02-09 11:23 . 2004-08-04 00:49 2025984 ----a-w c:\windows\system32\ntkrnlpa.exe
2009-02-09 11:23 . 2004-08-19 17:43 2147328 ----a-w c:\windows\system32\ntoskrnl.exe
2009-02-09 11:23 . 2004-08-19 17:46 111104 ----a-w c:\windows\system32\services.exe
2009-02-09 10:53 . 2004-08-19 17:40 735744 ----a-w c:\windows\system32\lsasrv.dll
2009-02-09 10:53 . 2004-08-19 17:45 401408 ----a-w c:\windows\system32\rpcss.dll
2009-02-09 10:53 . 2004-08-19 17:43 739840 ----a-w c:\windows\system32\ntdll.dll
2009-02-09 10:53 . 2004-08-19 17:36 685568 ----a-w c:\windows\system32\advapi32.dll
2009-02-06 10:39 . 2004-08-19 17:46 35328 ----a-w c:\windows\system32\sc.exe
2009-02-03 19:58 . 2004-08-19 17:46 56832 ----a-w c:\windows\system32\secur32.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Google Update"="c:\documents and settings\christophe\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" [2009-04-27 133104]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-09-12 13545472]
"Apple_KbdMgr"="c:\program files\Boot Camp\KbdMgr.exe" [2008-09-12 431408]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]
"IntelliPoint"="c:\program files\Microsoft IntelliPoint\point32.exe" [2005-03-23 217088]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-09-12 86016]
"VMware Tools"="c:\program files\VMware\VMware Tools\VMwareTray.exe" [2008-09-10 428592]
"VMware User Process"="c:\program files\VMware\VMware Tools\VMwareUser.exe" [2008-09-10 862768]
"Acrobat Assistant 7.0"="c:\program files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2008-04-23 483328]
"LXSUPMON"="c:\windows\system32\LXSUPMON.EXE" [2002-08-15 886272]
"BluetoothAuthenticationAgent"="bthprops.cpl" - c:\windows\system32\bthprops.cpl [2008-04-14 110592]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2008-09-12 1630208]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.EXE [2008-09-12 16806912]
"SoundMan"="SOUNDMAN.EXE" - c:\windows\SOUNDMAN.EXE [2008-09-12 77824]
"AlcWzrd"="ALCWZRD.EXE" - c:\windows\ALCWZRD.EXE [2008-09-12 2808832]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Adobe Gamma Loader.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2008-12-29 113664]
Lancement rapide d'Adobe Acrobat.lnk - c:\windows\Installer\{AC76BA86-1033-F400-7760-000000000002}\SC_Acrobat.exe [2008-12-17 25214]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [2000-1-21 65588]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\TPSvc]
2008-09-10 15:52 423208 ----a-r c:\windows\system32\TPSvc.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@="Driver Group"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\WYSIWYG1\\Bin\\AppMux.exe"=
"c:\\Program Files\\WYSIWYG1\\Bin\\Wyg.exe"=

R1 vmdebug;VMware Replay Debugging Helper;c:\windows\system32\Drivers\vmdebug.sys [2008-09-10 19504]
R2 VMTools;Service VMware Tools;c:\program files\VMware\VMware Tools\VMwareService.exe [2008-09-10 539184]
R3 TPAutoConnSvc;TP AutoConnect Service;c:\program files\VMware\VMware Tools\TPAutoConnSvc.exe [2008-09-10 238832]
R3 vmci;VMware VMCI Bus Driver;c:\windows\system32\DRIVERS\vmci.sys [2008-09-10 53424]
R3 vmmouse;VMware Pointing Device;c:\windows\system32\DRIVERS\vmmouse.sys [2008-09-10 11696]
R3 vmx_svga;vmx_svga;c:\windows\system32\DRIVERS\vmx_svga.sys [2008-09-10 63920]
R3 vmxnet;VMware Ethernet Adapter Driver;c:\windows\system32\DRIVERS\vmxnet.sys [2008-09-10 36400]
R3 w200bus;Sony Ericsson W200 driver (WDM);c:\windows\system32\DRIVERS\w200bus.sys [2006-11-07 61504]
R3 w200mdfl;Sony Ericsson W200 USB WMC Modem Filter;c:\windows\system32\DRIVERS\w200mdfl.sys [2006-11-07 9328]
R3 w200mdm;Sony Ericsson W200 USB WMC Modem Driver;c:\windows\system32\DRIVERS\w200mdm.sys [2006-11-07 97056]
R4 Cpmeemc;Cpmeemc; [x]
S1 aswSP;avast! Self Protection; [x]
S1 vmhgfs;vmhgfs;c:\windows\system32\DRIVERS\vmhgfs.sys [2008-09-10 118576]
S2 AppleOSSMgr;Apple OS Switch Manager;c:\windows\system32\AppleOSSMgr.exe [2008-09-12 136496]
S2 AppleTimeSrv;Apple Time Service;c:\windows\system32\AppleTimeSrv.exe [2008-09-12 99632]
S2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys [2009-02-05 20560]
S2 KeyAgent;KeyAgent;c:\windows\system32\drivers\KeyAgent.sys [2008-09-12 5760]
S2 MacHALDriver;Mac HAL;c:\windows\system32\drivers\MacHALDriver.sys [2008-09-12 6784]
S2 VMMEMCTL;Pilote de commande de mémoire;c:\program files\VMware\VMware Tools\Drivers\memctl\vmmemctl.sys [2008-09-10 14384]
S2 VMware Physical Disk Helper Service;Service d'aide du disque physique VMware;c:\program files\VMware\VMware Tools\vmacthlp.exe [2008-09-10 358960]
S2 XRNBO;XRNBO;c:\windows\system32\drivers\XRNBO.sys [2009-04-09 177152]
S3 applemtm;Apple Multitouch Mouse;c:\windows\system32\DRIVERS\applemtm.sys [2008-09-12 10368]
S3 applemtp;Apple Multitouch;c:\windows\system32\DRIVERS\applemtp.sys [2008-09-12 19328]
S3 IRRemoteFlt;IR Receiver Filter Driver;c:\windows\system32\DRIVERS\IRFilter.sys [2008-09-12 16512]
S3 KeyMagic;USB Keyboard HID Filter;c:\windows\system32\DRIVERS\KeyMagic.sys [2008-09-12 22016]


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
\Shell\AutoRun\command - D:\setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3b08f946-e95b-11dd-a456-000c298a2318}]
\Shell\AutoRun\command - e:\jdlightning\Windows\JDLightning.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4cd9c2d6-146e-11de-a486-000c298a2318}]
\Shell\AutoRun\command - E:\LaunchU3.exe -a

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cbffb360-e55b-11dd-a44e-000c298a2318}]
\Shell\AutoRun\command - E:\g1ljsm.com
\Shell\open\Command - E:\g1ljsm.com

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e60e6608-bed6-11dd-a418-00236ca2cba1}]
\Shell\AutoRun\command - cfv90h.com
\Shell\explore\Command - cfv90h.com
\Shell\open\Command - cfv90h.com
.
Contenu du dossier 'Tâches planifiées'

2009-04-27 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

2009-04-28 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-776561741-484763869-725345543-1003.job
- c:\documents and settings\christophe\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2009-04-27 08:53]
.
- - - - ORPHELINS SUPPRIMES - - - -

HKCU-Run-Uniblue RegistryBooster 2009 - c:\program files\Uniblue\RegistryBooster\RegistryBooster.exe


.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uInternet Settings,ProxyOverride = *.local
IE: Convertir en Adobe PDF - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir en un fichier PDF existant - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir la cible du lien en Adobe PDF - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir la cible du lien en un fichier PDF existant - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir la sélection en Adobe PDF - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir la sélection en un fichier PDF existant - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir les liens sélectionnés en fichier Adobe PDF - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Convertir les liens sélectionnés en un fichier PDF existant - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
LSP: c:\program files\VMware\VMware Tools\VSock SDK\bin\win32\vsocklib.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-28 14:38
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\WPAEvents]
@Denied: (Full) (LocalSystem)
"OOBETimer"=hex:ff,d5,71,d6,8b,6a,8d,6f,d5,33,93,fd
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(768)
c:\windows\system32\antiwpa.dll
c:\windows\System32\vmhgfs.dll
.
Heure de fin: 2009-04-28 14:39
ComboFix-quarantined-files.txt 2009-04-28 12:39

Avant-CF: 50 821 025 792 octets libres
Après-CF: 50 839 080 960 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(3)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(3)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

212 --- E O F --- 2009-04-15 13:43

Re,

Sélectionne l'intégralité du cadre ci-dessous :

Copie/colle le dans le Bloc Notes (Démarrer\Tous les programmes\Accessoires\Bloc notes.)

Enregistre le sous sur ton bureau sous le nom de CFScript.txt

Glisse maintenant le fichier CFScript.txt dans ComboFix.exe comme ci-dessous :

Cela va relancer Combofix.

Tu devras accepter la licence.

Poste le contenu du rapport ComboFix.txt après redémarrage s'il y en a un.

Le rapport se trouve ici : %SystemDrive%\ComboFix.txt (%systemdrive% étant la partition où est installée Windows; C:\ en général)

pas mal essaye, je dirai meme tres fute mais malgres que tu as cree un patch de antiwpa.dll appele antiwpa(2).dll la supression de antiwpa.dll met windows debile il reconnait qu'il est active mais il n'arrive pas a ouvrir ma session. Je suis oblige de passer par mode sans echec pour reinstaller antiwpa.dll afin de reouvrir windows.
Je te recopie le dernier rapport de combo:

ComboFix 09-04-27.05 - christophe 29/04/2009 0:30.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.1975.1518 [GMT 2:00]
Lancé depuis: c:\documents and settings\christophe\Mes documents\Downloads\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\christophe\Bureau\CFScript.txt
AV: avast! antivirus 4.8.1335 [VPS 090427-0] *On-access scanning disabled* (Updated)
* Un nouveau point de restauration a été créé
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\antiwpa.dll

.
((((((((((((((((((((((((((((( Fichiers créés du 2009-05-28 au 2009-4-28 ))))))))))))))))))))))))))))))))))))
.

2009-04-28 16:57 . 2009-04-28 16:59 -------- d-sh--w C:\RECYCLER(2)
2009-04-28 15:36 . 2005-09-18 00:32 5376 ----a-w c:\windows\system32\antiwpa(2).dll
2009-04-28 12:05 . 2009-04-28 12:24 -------- d-----w c:\documents and settings\christophe\Application Data\FileZilla
2009-04-28 12:05 . 2009-04-28 12:05 -------- d-----w c:\program files\FileZilla FTP Client
2009-04-27 09:35 . 2009-04-27 09:35 -------- d-----w c:\documents and settings\Administrateur\Local Settings\Application Data\VMware
2009-04-27 08:53 . 2009-04-27 08:54 -------- d-----w c:\documents and settings\christophe\Local Settings\Application Data\Google
2009-04-26 20:40 . 2009-04-26 20:40 -------- d-----w c:\documents and settings\christophe\Application Data\Malwarebytes
2009-04-26 20:40 . 2009-04-06 13:32 15504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-04-26 20:40 . 2009-04-06 13:32 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-04-26 20:40 . 2009-04-26 20:40 -------- d-----w c:\documents and settings\All Users\Application Data\Malwarebytes
2009-04-26 20:40 . 2009-04-26 20:40 -------- d-----w c:\program files\Malwarebytes' Anti-Malware
2009-04-25 10:11 . 2009-04-25 10:11 396288 ----a-w C:\HijackThis.exe
2009-04-15 10:43 . 2009-02-06 10:10 227840 -c----w c:\windows\system32\dllcache\wmiprvse.exe
2009-04-15 10:43 . 2009-03-06 14:20 286720 -c----w c:\windows\system32\dllcache\pdh.dll
2009-04-15 10:43 . 2009-02-09 11:23 111104 -c----w c:\windows\system32\dllcache\services.exe
2009-04-15 10:43 . 2009-02-09 10:53 401408 -c----w c:\windows\system32\dllcache\rpcss.dll
2009-04-15 10:43 . 2009-02-09 10:53 473600 -c----w c:\windows\system32\dllcache\fastprox.dll
2009-04-15 10:43 . 2009-02-09 10:53 685568 -c----w c:\windows\system32\dllcache\advapi32.dll
2009-04-15 10:42 . 2009-02-09 10:53 735744 -c----w c:\windows\system32\dllcache\lsasrv.dll
2009-04-15 10:42 . 2009-02-09 10:53 453120 -c----w c:\windows\system32\dllcache\wmiprvsd.dll
2009-04-15 10:42 . 2009-02-09 10:53 739840 -c----w c:\windows\system32\dllcache\ntdll.dll
2009-04-15 10:30 . 2008-12-16 12:31 354304 -c----w c:\windows\system32\dllcache\winhttp.dll
2009-04-15 10:22 . 2008-04-21 21:15 219136 -c----w c:\windows\system32\dllcache\wordpad.exe
2009-04-09 20:52 . 2009-04-09 20:54 12098 ----a-w c:\windows\system32\drivers\73BAD42D.bin
2009-04-09 20:52 . 2009-04-09 20:52 177152 ----a-w c:\windows\system32\drivers\XRNBO.sys
2009-04-09 20:36 . 2009-04-09 20:36 -------- d-----w c:\program files\WYSIWYG Drivers
2009-04-09 20:26 . 2009-04-09 20:56 -------- d-----w c:\program files\WYSIWYG1

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-28 22:27 . 2008-11-24 18:09 -------- d-----w c:\program files\PeerGuardian2
2009-04-28 22:15 . 2008-12-08 17:57 -------- d-----w c:\program files\eMule
2009-04-28 20:36 . 2008-11-23 22:17 32 ----a-w c:\windows\system32\drivers\mshcmd.sys.
2009-04-28 17:06 . 2008-11-23 22:12 47284 ----a-w c:\windows\system32\perfc040.dat
2009-04-28 17:06 . 2008-11-23 22:12 365174 ----a-w c:\windows\system32\perfh040.dat
2009-04-28 17:06 . 2004-08-19 17:44 368314 ----a-w c:\windows\system32\perfh00C.dat
2009-04-28 17:06 . 2004-08-19 17:44 49054 ----a-w c:\windows\system32\perfc00C.dat
2009-04-27 07:01 . 2008-11-24 16:51 -------- d-----w c:\program files\Activation
2009-04-09 20:26 . 2008-11-22 00:40 -------- d--h--w c:\program files\InstallShield Installation Information
2009-04-09 20:24 . 2008-11-23 22:10 -------- d-----w c:\program files\WYSIWYG
2009-03-28 16:03 . 2008-12-01 23:48 -------- d-----w c:\program files\Fichiers communs\Adobe
2009-03-25 08:41 . 2009-03-25 08:40 -------- d-----w c:\program files\Easy CD-DA Extractor 10
2009-03-19 15:29 . 2009-03-19 15:29 -------- d-----w c:\program files\MA Lighting Technologies
2009-03-06 14:20 . 2004-08-19 17:44 286720 ----a-w c:\windows\system32\pdh.dll
2009-02-28 19:49 . 2009-02-28 19:49 737280 ----a-w c:\windows\iun6002.exe
2009-02-20 08:10 . 2004-08-19 17:51 670208 ----a-w c:\windows\system32\wininet.dll
2009-02-20 08:10 . 2004-08-19 17:38 81920 ----a-w c:\windows\system32\ieencode.dll
2009-02-09 14:05 . 2004-08-19 17:51 1846912 ----a-w c:\windows\system32\win32k.sys
2009-02-09 12:28 . 2009-02-09 12:28 785 ----a-w C:\_ZCAT.DAT
2009-02-09 12:28 . 2009-02-09 12:28 51 ----a-w C:\PAGE.DAT
2009-02-09 12:28 . 2009-02-09 12:28 3439 ----a-w C:\EFFECTS.DAT
2009-02-09 12:28 . 2009-02-09 12:28 2690 ----a-w C:\RTTABLE.DAT
2009-02-09 12:28 . 2009-02-09 12:28 24 ----a-w C:\POSITION.DAT
2009-02-09 12:28 . 2009-02-09 12:28 24 ----a-w C:\COLOUR.DAT
2009-02-09 12:28 . 2009-02-09 12:28 24 ----a-w C:\BEAM.DAT
2009-02-09 12:28 . 2009-02-09 12:28 20 ----a-w C:\GROUP.DAT
2009-02-09 11:23 . 2004-08-04 00:49 2025984 ----a-w c:\windows\system32\ntkrnlpa.exe
2009-02-09 11:23 . 2004-08-19 17:43 2147328 ----a-w c:\windows\system32\ntoskrnl.exe
2009-02-09 11:23 . 2004-08-19 17:46 111104 ----a-w c:\windows\system32\services.exe
2009-02-09 10:53 . 2004-08-19 17:40 735744 ----a-w c:\windows\system32\lsasrv.dll
2009-02-09 10:53 . 2004-08-19 17:45 401408 ----a-w c:\windows\system32\rpcss.dll
2009-02-09 10:53 . 2004-08-19 17:43 739840 ----a-w c:\windows\system32\ntdll.dll
2009-02-09 10:53 . 2004-08-19 17:36 685568 ----a-w c:\windows\system32\advapi32.dll
2009-02-06 10:39 . 2004-08-19 17:46 35328 ----a-w c:\windows\system32\sc.exe
2009-02-03 19:58 . 2004-08-19 17:46 56832 ----a-w c:\windows\system32\secur32.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Uniblue RegistryBooster 2009"="c:\program files\Uniblue\RegistryBooster\RegistryBooster.exe" [BU]
"Google Update"="c:\documents and settings\christophe\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" [2009-04-27 133104]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-09-12 13545472]
"Apple_KbdMgr"="c:\program files\Boot Camp\KbdMgr.exe" [2008-09-12 431408]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]
"IntelliPoint"="c:\program files\Microsoft IntelliPoint\point32.exe" [2005-03-23 217088]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-09-12 86016]
"VMware Tools"="c:\program files\VMware\VMware Tools\VMwareTray.exe" [2008-09-10 428592]
"VMware User Process"="c:\program files\VMware\VMware Tools\VMwareUser.exe" [2008-09-10 862768]
"Acrobat Assistant 7.0"="c:\program files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2008-04-23 483328]
"LXSUPMON"="c:\windows\system32\LXSUPMON.EXE" [2002-08-15 886272]
"LexPPS.exe"="c:\windows\system32\lexpps.exe" [2002-08-15 174592]
"BluetoothAuthenticationAgent"="bthprops.cpl" - c:\windows\system32\bthprops.cpl [2008-04-14 110592]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2008-09-12 1630208]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.EXE [2008-09-12 16806912]
"SoundMan"="SOUNDMAN.EXE" - c:\windows\SOUNDMAN.EXE [2008-09-12 77824]
"AlcWzrd"="ALCWZRD.EXE" - c:\windows\ALCWZRD.EXE [2008-09-12 2808832]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Adobe Gamma Loader.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2008-12-29 113664]
Lancement rapide d'Adobe Acrobat.lnk - c:\windows\Installer\{AC76BA86-1033-F400-7760-000000000002}\SC_Acrobat.exe [2008-12-17 25214]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [2000-1-21 65588]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\TPSvc]
2008-09-10 15:52 423208 ----a-r c:\windows\system32\TPSvc.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@="Driver Group"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\WYSIWYG1\\Bin\\AppMux.exe"=
"c:\\Program Files\\WYSIWYG1\\Bin\\Wyg.exe"=

R1 aswSP;avast! Self Protection; [x]
R1 vmdebug;VMware Replay Debugging Helper;c:\windows\system32\Drivers\vmdebug.sys [2008-09-10 19504]
R1 vmhgfs;vmhgfs;c:\windows\system32\DRIVERS\vmhgfs.sys [2008-09-10 118576]
R2 AppleOSSMgr;Apple OS Switch Manager;c:\windows\system32\AppleOSSMgr.exe [2008-09-12 136496]
R2 AppleTimeSrv;Apple Time Service;c:\windows\system32\AppleTimeSrv.exe [2008-09-12 99632]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys [2009-02-05 20560]
R2 KeyAgent;KeyAgent;c:\windows\system32\drivers\KeyAgent.sys [2008-09-12 5760]
R2 MacHALDriver;Mac HAL;c:\windows\system32\drivers\MacHALDriver.sys [2008-09-12 6784]
R2 VMMEMCTL;Pilote de commande de mémoire;c:\program files\VMware\VMware Tools\Drivers\memctl\vmmemctl.sys [2008-09-10 14384]
R2 VMTools;Service VMware Tools;c:\program files\VMware\VMware Tools\VMwareService.exe [2008-09-10 539184]
R2 VMware Physical Disk Helper Service;Service d'aide du disque physique VMware;c:\program files\VMware\VMware Tools\vmacthlp.exe [2008-09-10 358960]
R2 XRNBO;XRNBO;c:\windows\system32\drivers\XRNBO.sys [2009-04-09 177152]
R3 TPAutoConnSvc;TP AutoConnect Service;c:\program files\VMware\VMware Tools\TPAutoConnSvc.exe [2008-09-10 238832]
R3 vmci;VMware VMCI Bus Driver;c:\windows\system32\DRIVERS\vmci.sys [2008-09-10 53424]
R3 vmmouse;VMware Pointing Device;c:\windows\system32\DRIVERS\vmmouse.sys [2008-09-10 11696]
R3 vmx_svga;vmx_svga;c:\windows\system32\DRIVERS\vmx_svga.sys [2008-09-10 63920]
R3 vmxnet;VMware Ethernet Adapter Driver;c:\windows\system32\DRIVERS\vmxnet.sys [2008-09-10 36400]
R3 w200bus;Sony Ericsson W200 driver (WDM);c:\windows\system32\DRIVERS\w200bus.sys [2006-11-07 61504]
R3 w200mdfl;Sony Ericsson W200 USB WMC Modem Filter;c:\windows\system32\DRIVERS\w200mdfl.sys [2006-11-07 9328]
R3 w200mdm;Sony Ericsson W200 USB WMC Modem Driver;c:\windows\system32\DRIVERS\w200mdm.sys [2006-11-07 97056]
R4 Cpmeemc;Cpmeemc; [x]
S3 applemtm;Apple Multitouch Mouse;c:\windows\system32\DRIVERS\applemtm.sys [2008-09-12 10368]
S3 applemtp;Apple Multitouch;c:\windows\system32\DRIVERS\applemtp.sys [2008-09-12 19328]
S3 IRRemoteFlt;IR Receiver Filter Driver;c:\windows\system32\DRIVERS\IRFilter.sys [2008-09-12 16512]
S3 KeyMagic;USB Keyboard HID Filter;c:\windows\system32\DRIVERS\KeyMagic.sys [2008-09-12 22016]


--- Autres Services/Pilotes en mémoire ---

*NewlyCreated* - INTELIDE
*NewlyCreated* - PARPORT

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3b08f946-e95b-11dd-a456-000c298a2318}]
\Shell\AutoRun\command - e:\jdlightning\Windows\JDLightning.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4cd9c2d6-146e-11de-a486-000c298a2318}]
\Shell\AutoRun\command - E:\LaunchU3.exe -a

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cbffb360-e55b-11dd-a44e-000c298a2318}]
\Shell\AutoRun\command - E:\g1ljsm.com
\Shell\open\Command - E:\g1ljsm.com

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e60e6608-bed6-11dd-a418-00236ca2cba1}]
\Shell\AutoRun\command - cfv90h.com
\Shell\explore\Command - cfv90h.com
\Shell\open\Command - cfv90h.com
.
Contenu du dossier 'Tâches planifiées'

2009-04-27 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

2009-04-28 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-776561741-484763869-725345543-1003.job
- c:\documents and settings\christophe\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2009-04-27 08:53]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uInternet Settings,ProxyOverride = *.local
IE: Convertir en Adobe PDF - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir en un fichier PDF existant - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir la cible du lien en Adobe PDF - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir la cible du lien en un fichier PDF existant - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir la sélection en Adobe PDF - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir la sélection en un fichier PDF existant - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir les liens sélectionnés en fichier Adobe PDF - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Convertir les liens sélectionnés en un fichier PDF existant - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
LSP: c:\program files\VMware\VMware Tools\VSock SDK\bin\win32\vsocklib.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-28 20:41
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\WPAEvents]
@Denied: (Full) (LocalSystem)
"OOBETimer"=hex:ff,d5,71,d6,8b,6a,8d,6f,d5,33,93,fd
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(796)
c:\windows\system32\eappprxy.dll
.
Heure de fin: 2009-04-28 20:43 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-04-28 18:43
ComboFix2.txt 2009-04-28 16:57
ComboFix3.txt 2009-04-28 16:01
ComboFix4.txt 2009-04-28 13:15
ComboFix5.txt 2009-04-28 22:28

Avant-CF: 51 214 163 968 octets libres
Après-CF: 51 211 202 560 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(3)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(3)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

218 --- E O F --- 2009-04-15 13:43

Reposte un rapport Hijackthis.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:33:05, on 25/04/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Euh il est pas complet là.