virus ou spam générateur de fenêtre internet explorer

[lestat31]

Bonjour à tous,

J'ai ,en téléchargeant un petit utilitaire sans le scanné à l'antivirus,eu la désagréable surprise d'avoir un cadeau empoisonné.

Un virus ou spam,je ne sais pas encore,génère toutes les minutes sur mon ordinateur le cocktail suivant : message d'erreur comme quoi j'ai un virus sur mon PC,deux pages internet explorer sur un site de fabricant d'antivirus(total remover 2008 il me semble et un autre),changement de la barre des taches avec VIRUS ALERT! à côté de l'horloge+le bouclier windows defender en rouge,et un petit blocage du gestionnaire des taches au passage,mais quand même très irritant à la longue...

J'ai fais une analyse avec hijackthis et je vous envoies le bloc notes qui suis....je ne sais quelle clé effacer pour avoir la paix,pas envie de faire une mauvaise manip.

A propos,je suis avec l'antivirus Macafee,j'ai passé en anti spam spybot et arovax,en detection de virus msn,msn photot virus remover,on sait jamais...

merci de vos rponses et à plus tard.

Lestat.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:34: VIRUS ALERT!, on 05/10/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Boot mode: Normal

Running processes:
E:WINDOWSSystem32smss.exe
E:WINDOWSsystem32winlogon.exe
E:WINDOWSsystem32services.exe
E:WINDOWSsystem32lsass.exe
E:WINDOWSsystem32svchost.exe
E:WINDOWSSystem32svchost.exe
E:WINDOWSsystem32svchost.exe
E:WINDOWSsystem32spoolsv.exe
E:WINDOWSExplorer.EXE
E:Program FilesMcAfee.comAgentmcagent.exe
E:Program FilesElaborate BytesVirtualCloneDriveVCDDaemon.exe
E:Program FilesLogitechGamePanel SoftwareLCD ManagerLCDMon.exe
E:Program FilesLogitechGamePanel SoftwareG-series SoftwareLGDCore.exe
E:Program FilesAnalog DevicesCoresmax4pnp.exe
E:WINDOWSsystem32RUNDLL32.EXE
E:Program FilesScanSoftOmniPageSE4OpwareSE4.exe
E:Program FilesLogitechGamePanel SoftwareLCD ManagerAppletsLCDClock.exe
E:WINDOWSsystem32ctfmon.exe
E:Program FilesLogitechGamePanel SoftwareLCD ManagerAppletsLCDCountdown.exe
E:Program FilesLogitechGamePanel SoftwareLCD ManagerAppletsLCDPop3.exe
E:Program FilesMSN MessengerMsnMsgr.Exe
E:Program FilesLogitechGamePanel SoftwareLCD ManagerAppletsLCDMedia.exe
E:Program FilesFichiers communsAheadLibNMBgMonitor.exe
C:logicielsSpybot - Search & DestroyTeaTimer.exe
E:Program FilesFichiers communsAheadLibNMIndexStoreSvr.exe
C:logicielsphotoshop elementsPhotoshopElementsFileAgent.exe
E:Program FilesYahoo!WidgetsYahooWidgets.exe
E:Program FilesBonjourmDNSResponder.exe
E:Program FilesFichiers communsLightScribeLSSrvc.exe
E:Program FilesYahoo!WidgetsYahooWidgets.exe
E:Program FilesYahoo!WidgetsYahooWidgets.exe
E:Program FilesMcAfeeSiteAdvisorMcSACore.exe
E:PROGRA~1McAfeeMSCmcmscsvc.exe
e:PROGRA~1FICHIE~1mcafeemnamcnasvc.exe
e:PROGRA~1FICHIE~1mcafeemcproxymcproxy.exe
E:PROGRA~1McAfeeVIRUSS~1mcshield.exe
E:Program FilesMcAfeeMPFMPFSrv.exe
E:Program FilesMcAfeeMSKMskSrver.exe
E:WINDOWSsystem32
vsvc32.exe
E:WINDOWSsystem32PnkBstrA.exe
E:WINDOWSsystem32PnkBstrB.exe
E:WINDOWSsystem32svchost.exe
E:Program FilesFichiers communsAheadLibNMIndexingService.exe
E:WINDOWSsystem32wscntfy.exe
E:Program FilesMSN Messengerusnsvc.exe
E:PROGRA~1McAfeeVIRUSS~1mcsysmon.exe
E:Program FilesMozilla Firefoxfirefox.exe
E:Program FilesTrend MicroHijackThisHijackThis.exe

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = http://www.google.fr/ie
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = http://www.google.fr
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://softwarereferral.com/jump.php?wm ... Ojg5&lid=2
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = http://www.google.fr/ie
R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,CustomizeSearch =
R1 - HKCUSoftwareMicrosoftInternet ExplorerSearchURL,(Default) = http://www.google.fr/search?q=%s
R1 - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,ProxyOverride = *.local
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Liens
O3 - Toolbar: McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - e:PROGRA~1mcafeeSITEAD~1mcieplg.dll
O3 - Toolbar: dkwqgnbe - {F9969ACA-EEEE-40BC-AB05-6571E33F4AD1} - E:WINDOWSdkwqgnbe.dll
O4 - HKLM..Run: [mcagent_exe] E:Program FilesMcAfee.comAgentmcagent.exe /runkey
O4 - HKLM..Run: [NeroFilterCheck] E:Program FilesFichiers communsAheadLibNeroCheck.exe
O4 - HKLM..Run: [Adobe Photo Downloader] "C:logicielsphotoshop elementsapdproxy.exe"
O4 - HKLM..Run: [VirtualCloneDrive] "E:Program FilesElaborate BytesVirtualCloneDriveVCDDaemon.exe" /s
O4 - HKLM..Run: [Launch LCDMon] "E:Program FilesLogitechGamePanel SoftwareLCD ManagerLCDMon.exe"
O4 - HKLM..Run: [Launch LGDCore] "E:Program FilesLogitechGamePanel SoftwareG-series SoftwareLGDCore.exe" /SHOWHIDE
O4 - HKLM..Run: [SoundMAXPnP] E:Program FilesAnalog DevicesCoresmax4pnp.exe
O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE E:WINDOWSsystem32NvCpl.dll,NvStartup
O4 - HKLM..Run: [nwiz] nwiz.exe /install
O4 - HKLM..Run: [NvMediaCenter] RUNDLL32.EXE E:WINDOWSsystem32NvMcTray.dll,NvTaskbarInit
O4 - HKLM..Run: [CanonMyPrinter] E:Program FilesCanonMyPrinterBJMyPrt.exe /logon
O4 - HKLM..Run: [SSBkgdUpdate] "E:Program FilesFichiers communsScansoft SharedSSBkgdUpdateSSBkgdupdate.exe" -Embedding -boot
O4 - HKLM..Run: [OpwareSE4] "E:Program FilesScanSoftOmniPageSE4OpwareSE4.exe"
O4 - HKLM..Run: [WinSys2] E:WINDOWSsystem32winsys2.exe
O4 - HKCU..Run: [ctfmon.exe] E:WINDOWSsystem32ctfmon.exe
O4 - HKCU..Run: [MsnMsgr] "E:Program FilesMSN MessengerMsnMsgr.Exe" /background
O4 - HKCU..Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "E:Program FilesFichiers communsAheadLibNMBgMonitor.exe"
O4 - HKCU..Run: [Arovax AntiSpyware] E:Program FilesArovax AntiSpywarearovaxantispyware.exe /s
O4 - HKCU..Run: [TomTomHOME.exe] "E:Program FilesTomTom HOME 2HOMERunner.exe"
O4 - HKCU..Run: [] E:Documents and SettingssebApplication DataAdobePlayer.exe
O4 - HKCU..Run: [SpybotSD TeaTimer] C:logicielsSpybot - Search & DestroyTeaTimer.exe
O4 - HKUSS-1-5-19..RunOnce: [nltide1] cmd.exe /C move /Y "%SystemRoot%System32syssetub.dll" "%SystemRoot%System32syssetup.dll" (User 'SERVICE LOCAL')
O4 - HKUSS-1-5-19..RunOnce: [nltide2] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,L,,4,N (User 'SERVICE LOCAL')
O4 - HKUSS-1-5-20..RunOnce: [nltide1] cmd.exe /C move /Y "%SystemRoot%System32syssetub.dll" "%SystemRoot%System32syssetup.dll" (User 'SERVICE RESEAU')
O4 - Startup: IcoSauve.lnk = E:WINDOWSsystem32IcoSauve.exe
O4 - Startup: Yahoo! Widgets.lnk = E:Program FilesYahoo!WidgetsYahooWidgets.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = E:Program FilesFichiers communsAdobeCalibrationAdobe Gamma Loader.exe
O6 - HKCUSoftwarePoliciesMicrosoftInternet ExplorerRestrictions present
O7 - HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem, DisableRegedit=1
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://E:PROGRA~1MICROS~2Office12EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:Program FilesJavajre1.6.0inssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:Program FilesJavajre1.6.0inssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:PROGRA~1MICROS~2Office12REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:LOGICI~1SPYBOT~1SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:LOGICI~1SPYBOT~1SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:WINDOWSNetwork Diagnosticxpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:WINDOWSNetwork Diagnosticxpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:Program FilesMessengermsmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:Program FilesMessengermsmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - E:Program FilesYahoo!CommonYinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windows ... 9248458718
O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - e:PROGRA~1mcafeeSITEAD~1mcieplg.dll
O21 - SSODL: neksolda - {BB8B6607-236F-4003-8333-DDA4C00EF0C1} - E:WINDOWS
eksolda.dll
O21 - SSODL: xgpsarbm - {346CF07C-F1D6-44B4-A40D-2AAD8FCFD246} - E:WINDOWSxgpsarbm.dll (file missing)
O23 - Service: Adobe Active File Monitor V5 (AdobeActiveFileMonitor5.0) - Unknown owner - C:logicielsphotoshop elementsPhotoshopElementsFileAgent.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - E:Program FilesBonjourmDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - E:Program FilesFichiers communsMacrovision SharedFLEXnet PublisherFNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - E:Program FilesGoogleCommonGoogle UpdaterGoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - E:Program FilesFichiers communsInstallShieldDriver1150Intel 32IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - E:Program FilesFichiers communsLightScribeLSSrvc.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - E:Program Filesma-config.commaconfservice.exe
O23 - Service: McAfee SiteAdvisor Service - Unknown owner - E:Program FilesMcAfeeSiteAdvisorMcSACore.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - E:PROGRA~1McAfeeMSCmcmscsvc.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - e:PROGRA~1FICHIE~1mcafeemnamcnasvc.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - E:PROGRA~1McAfeeVIRUSS~1mcods.exe
O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - e:PROGRA~1FICHIE~1mcafeemcproxymcproxy.exe
O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - E:PROGRA~1McAfeeVIRUSS~1mcshield.exe
O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - E:PROGRA~1McAfeeVIRUSS~1mcsysmon.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - E:Program FilesMcAfeeMPFMPFSrv.exe
O23 - Service: MSCSPTISRV - Sony Corporation - E:Program FilesFichiers communsSony SharedAVLibMSCSPTISRV.exe
O23 - Service: McAfee Anti-Spam Service (MSK80Service) - McAfee, Inc. - E:Program FilesMcAfeeMSKMskSrver.exe
O23 - Service: NBService - Nero AG - E:Program FilesNeroNero 7Nero BackItUpNBService.exe
O23 - Service: NMIndexingService - Nero AG - E:Program FilesFichiers communsAheadLibNMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:WINDOWSsystem32
vsvc32.exe
O23 - Service: PACSPTISVR - Unknown owner - E:Program FilesFichiers communsSony SharedAVLibPACSPTISVR.exe
O23 - Service: PnkBstrA - Unknown owner - E:WINDOWSsystem32PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - E:WINDOWSsystem32PnkBstrB.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - E:Program FilesFichiers communsSony SharedAVLibSPTISRV.exe

--
End of file - 11480 bytes

[r@in | b0w]

Bonjour.

C'est parti et ça va saigner (référence au vampire).


1_ Via HiJackThis, tu supprimes les lignes suivantes:

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://softwarereferral.com/jump.php?wm ... Ojg5&lid=2
O3 - Toolbar: dkwqgnbe - {F9969ACA-EEEE-40BC-AB05-6571E33F4AD1} - E:WINDOWSdkwqgnbe.dll
O4 - HKUSS-1-5-19..RunOnce: [nltide1] cmd.exe /C move /Y "%SystemRoot%System32syssetub.dll" "%SystemRoot%System32syssetup.dll" (User 'SERVICE LOCAL')
O4 - HKUSS-1-5-19..RunOnce: [nltide2] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,L,,4,N (User 'SERVICE LOCAL')
O4 - HKUSS-1-5-20..RunOnce: [nltide1] cmd.exe /C move /Y "%SystemRoot%System32syssetub.dll" "%SystemRoot%System32syssetup.dll" (User 'SERVICE RESEAU')
O7 - HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem, DisableRegedit=1
O21 - SSODL: neksolda - {BB8B6607-236F-4003-8333-DDA4C00EF0C1} - E:WINDOWS
eksolda.dll
O21 - SSODL: xgpsarbm - {346CF07C-F1D6-44B4-A40D-2AAD8FCFD246} - E:WINDOWSxgpsarbm.dll (file missing)


2_ Tu télécharges Navilog1.

Tu lances l'installation en double cliquant dessus.

Tu sélectionnes Français puis cliques sur Ok; tu cliques ensuite sur Suivant, tu laisses l'option de l'icône sur le bureau puis tu cliques à nouveau sur Suivant et finalement Installer.

Ensuite, tu cliques sur Terminer pour quitter le programme d'installation.

Avant de lancer Navilog1, tu désactives ta connexion Internet & ton antivirus car ce dernier peut bloquer l'exécution de l'utilitaire.
Tu les réactiveras après l'utilisation de Navilog1.

Tu lances ensuite l'utilitaire en double cliquant dessus.

Tu appuies sur la touche [F] pour sélectionner le français puis sur [Entrée].
A l'écran suivant, tu appuies sur n'importe quelle touche pour continuer.
Idem pour la fenêtre suivante.
Navilog1 va ensuite être décompressé sur ton bureau, patientes jusqu'à la fin de la manipulation puis, quand il sera indiqué:

Code: Tout sélectionner

Vous avez correctement décompresse navilog1.zip!
 
Press any key to continue...

Tu appuies sur n'importe quelle touche de ton clavier.

Une fenêtre de choix s'affiche, tu appuies sur [1].

A la fin de l'analyse, un fichier fixnavi.txt s'ouvrira, tu colles le rapport dans ton prochain message.


3_ Tu télécharges SmitfraudFix.

Avant de lancer SmitfraudFix, tu désactives ta connexion Internet & ton antivirus car ce dernier peut bloquer

l'exécution de l'utilitaire.
Tu les réactiveras après l'utilisation de SmitfraudFix.

Double-cliques sur l'icône SmitfraudFix.exe pour lancer l'application.
Tu verras un écran bleu à choix multiple, appuies sur la touche [1] puis sur [Entrée].

Quand l'analyse est finie, tu nous postes le rapport généré par SmitfraudFix; si tu ne le trouves pas ou que le Bloc-notes ne

s'ouvre pas avec le rapport à l'intérieur, tu le trouveras ici: C: apport.txt.

[lestat31]

je t'envoies les rapports bloc notes :

Search Navipromo version 3.6.6 commencé le 05/10/2008 à 10:34:21,68

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis E:Program Files
avilog1
Session actuelle : "seb"

Mise à jour le 29.09.2008 à 17h30 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.11
Système de fichiers : NTFS

Recherche executé en mode normal

*** Recherche Programmes installés ***


*** Recherche dossiers dans "E:WINDOWS" ***


*** Recherche dossiers dans "E:Program Files" ***


*** Recherche dossiers dans "E:Documents and SettingsAll Usersmenudm~1progra~1" ***


*** Recherche dossiers dans "E:Documents and SettingsAll Usersmenudm~1" ***


*** Recherche dossiers dans "e:docume~1alluse~1applic~1" ***


*** Recherche dossiers dans "E:Documents and Settingssebapplic~1" ***


*** Recherche dossiers dans "E:Documents and Settingsseblocals~1applic~1" ***


*** Recherche dossiers dans "E:Documents and Settingssebmenudm~1progra~1" ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "E:WINDOWSsystem32" *

* Recherche dans "E:Documents and Settingsseblocals~1applic~1" *



*** Recherche fichiers ***



*** Recherche clés spécifiques dans le Registre ***


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans "E:WINDOWSsystem32" :


* Dans "E:Documents and Settingsseblocals~1applic~1" :


3)Recherche Certificats :

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat Montorgueil absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche fichiers connus :

E:WINDOWSsystem32OqpWGfhk.ini2 trouvé ! infection Vundo possible non traitée par cet outil !
E:WINDOWSsystem32OYadefii.ini2 trouvé ! infection Vundo possible non traitée par cet outil !


*** Analyse terminée le 05/10/2008 à 10:37:53,34 ***

pour le premier

SmitFraudFix v2.356

Rapport fait à 10:57:01,76, 05/10/2008
Executé à partir de E:Documents and SettingssebBureauSmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

E:WINDOWSSystem32smss.exe
E:WINDOWSsystem32winlogon.exe
E:WINDOWSsystem32services.exe
E:WINDOWSsystem32lsass.exe
E:WINDOWSsystem32svchost.exe
E:WINDOWSSystem32svchost.exe
E:WINDOWSsystem32svchost.exe
E:WINDOWSsystem32spoolsv.exe
E:WINDOWSExplorer.EXE
E:Program FilesMcAfee.comAgentmcagent.exe
E:Program FilesElaborate BytesVirtualCloneDriveVCDDaemon.exe
E:Program FilesLogitechGamePanel SoftwareLCD ManagerLCDMon.exe
E:Program FilesLogitechGamePanel SoftwareG-series SoftwareLGDCore.exe
E:Program FilesAnalog DevicesCoresmax4pnp.exe
E:WINDOWSsystem32RUNDLL32.EXE
E:Program FilesScanSoftOmniPageSE4OpwareSE4.exe
E:WINDOWSsystem32ctfmon.exe
E:Program FilesMSN MessengerMsnMsgr.Exe
E:Program FilesFichiers communsAheadLibNMBgMonitor.exe
E:Program FilesArovax AntiSpywarearovaxantispyware.exe
C:logicielsSpybot - Search & DestroyTeaTimer.exe
E:Program FilesLogitechGamePanel SoftwareLCD ManagerAppletsLCDClock.exe
E:Program FilesLogitechGamePanel SoftwareLCD ManagerAppletsLCDCountdown.exe
E:Program FilesLogitechGamePanel SoftwareLCD ManagerAppletsLCDPop3.exe
E:Program FilesLogitechGamePanel SoftwareLCD ManagerAppletsLCDMedia.exe
E:Program FilesFichiers communsAheadLibNMIndexStoreSvr.exe
E:Program FilesYahoo!WidgetsYahooWidgets.exe
C:logicielsphotoshop elementsPhotoshopElementsFileAgent.exe
E:Program FilesBonjourmDNSResponder.exe
E:Program FilesFichiers communsLightScribeLSSrvc.exe
E:Program FilesMcAfeeSiteAdvisorMcSACore.exe
E:Program FilesYahoo!WidgetsYahooWidgets.exe
E:Program FilesYahoo!WidgetsYahooWidgets.exe
E:PROGRA~1McAfeeMSCmcmscsvc.exe
e:PROGRA~1FICHIE~1mcafeemnamcnasvc.exe
e:PROGRA~1FICHIE~1mcafeemcproxymcproxy.exe
E:PROGRA~1McAfeeVIRUSS~1mcshield.exe
E:Program FilesMcAfeeMPFMPFSrv.exe
E:Program FilesMcAfeeMSKMskSrver.exe
E:WINDOWSsystem32
vsvc32.exe
E:WINDOWSsystem32PnkBstrA.exe
E:WINDOWSsystem32PnkBstrB.exe
E:WINDOWSsystem32svchost.exe
E:Program FilesFichiers communsAheadLibNMIndexingService.exe
E:WINDOWSsystem32wscntfy.exe
E:Program FilesMSN Messengerusnsvc.exe
E:Program FilesMozilla Firefoxfirefox.exe
E:PROGRA~1McAfeeVIRUSS~1mcsysmon.exe
e:PROGRA~1mcafeemscmcuimgr.exe
E:WINDOWSsystem32cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» E:


»»»»»»»»»»»»»»»»»»»»»»»» E:WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» E:WINDOWSsystem


»»»»»»»»»»»»»»»»»»»»»»»» E:WINDOWSWeb


»»»»»»»»»»»»»»»»»»»»»»»» E:WINDOWSsystem32


»»»»»»»»»»»»»»»»»»»»»»»» E:WINDOWSsystem32LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» E:Documents and Settingsseb


»»»»»»»»»»»»»»»»»»»»»»»» E:Documents and SettingssebApplication Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» E:DOCUME~1sebFavoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» E:Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerDesktopComponents]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

AntiXPVSTFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]
"Userinit"="E:\WINDOWS\system32\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: NVIDIA nForce Networking Controller #3 - Miniport d'ordonnancement de paquets
DNS Server Search Order: 212.27.40.240
DNS Server Search Order: 212.27.40.241

HKLMSYSTEMCCSServicesTcpip..{067D21FF-67A1-40EA-9FC3-3C458C655588}: DhcpNameServer=212.27.40.240 212.27.40.241
HKLMSYSTEMCS1ServicesTcpip..{067D21FF-67A1-40EA-9FC3-3C458C655588}: DhcpNameServer=212.27.40.240 212.27.40.241
HKLMSYSTEMCS3ServicesTcpip..{067D21FF-67A1-40EA-9FC3-3C458C655588}: DhcpNameServer=212.27.40.240 212.27.40.241
HKLMSYSTEMCCSServicesTcpipParameters: DhcpNameServer=212.27.40.240 212.27.40.241
HKLMSYSTEMCS1ServicesTcpipParameters: DhcpNameServer=212.27.40.240 212.27.40.241
HKLMSYSTEMCS3ServicesTcpipParameters: DhcpNameServer=212.27.40.240 212.27.40.241


Voilà,rapport édités et postés,à toi de jouer

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin



Lestat

[r@in | b0w]

Re.

1_ Tu peux désinstaller Navilog1, il n'a rien trouvé bizarrement.


2_ Tu redémarres en Mode sans échec ([F8] au démarrage).

Tu te logges ensuite sur ta session puis tu lances SmitfraudFix.

Tu appuies sur la touche [2] puis [Entrée].
Si tu as une ligne demandant le nettoyage de la base de registre, appuies sur la touche [O] - pour Oui.

Quand l'analyse sera finie, un rapport sera généré.
Tu l'enregistres car il n'est pas sauvegardé par défaut.

Tu relances ensuite SmitfraudFix pour effectuer l'option 5.
Tu ne postes pas le rapport.


3 _ Pour ton infection Vundo (j'avais déjà des doutes), tu télécharges ComboFix.

Avant de le lancer, il va falloir installer la console de récupération Windows, non installée par défaut.
L'installation de cette console permettra de démarrer un mode spécial en cas de problèmes divers suite à la désinfection.

_ Si tu es sous Xp et que tu as un CD de Windows original:

Tu insères le CD d'installation dans le lecteur.

Tu cliques ensuite sur Démarrer puis Exécuter et tu copies-colles la ligne suivante:

Code: Tout sélectionner

d:i386winnt32.exe /cmdcons

La lettre d: indique l'emplacement par défaut du lecteur de CD. Si ce n'est pas le cas, tu modifies cette lettre en conséquence.

L'installation de la console de récupération Windows va commencer.

Tu cliques sur Ok.

_ Pour les ordinateurs OEM fournis, il est possible que le fichier winnt32.exe soit présent sur le disque dur dans un dossier nommé i386 dans le dossier Windows ou tout simplement à la racine de la partition principale.

Il faudra alors taper comme commande c:i386winnt32.exe /cmdcons ou c:Windowsi386winnt32.exe /cmdcons en mettant dans cette commande le chemin d'accès au fichier winnt32.exe.

Une fenêtre Installation de Windows s'ouvrira, tu cliques sur Oui.
Tu confirmes ensuite l'installation de la console de récupération.

Si une erreur de mise à jour survient, tu coches la ligne Ignorer cette étape et continuer l'installation de Windows puis tu cliques sur Suivant.

L'installation se fera ensuite jusqu'à ce qu'une fenêtre de confirmation indique que la console de récupération Windows est installée de manière effective.

_ Si tu es sous Xp et que tu n'as pas le CD de Windows original:

Tu vas sur http://support.microsoft.com/kb/310994 et tu descends jusqu'à la ligne Téléchargement du fichier programme des disquettes d'installation.

Tu sélectionnes le lien correspondant à ta version de Windows puis, dans la fenêtre de téléchargement, tu cliques sur Télécharger et tu enregistres le fichier sur le Bureau.
Si le Service Pack 3 est installé sur ta machine, tu sélectionnes le lien correspondant à ta version de Windows sous environnement Service Pack 2 (SP2) Windows XP.
Si tu utilises Windows Xp Media Center, tu sélectionnes le téléchargement Service Pack 2 Windows XP Professionnel.

Pour savoir quelle version de Windows & quel Service Pack est installé, il suffit de cliquer sur Démarrer puis Panneau de configuration.

Tu cliques ensuite sur Système et tu pourras lire dans la fenêtre Propriétés du système, dans le cadre Système, la version de Windows & le Service Pack installés.

Le fichier téléchargé sur le Bureau, tu exécutes un glisser/déposer comme ceci:



Le glisser/déposer va lancer ComboFix qui va installer la console de récupération Windows.

A la fin de l'installation, ComboFix signalera que la console de récupération est installée et demandera si tu veux effectuer une analyse.
Cliques sur Non/No car le paramétrage n'est pas encore achevé.

Avant de lancer ComboFix, tu dois désactiver ta connexion Internet, ton antivirus, ton anti-spyware & ton pare-feu car ils peuvent bloquer l'exécution de l'utilitaire (faux-positifs).
Tu les réactiveras après l'utilisation de ComboFix.
Tu fermes toutes les fenêtres ouverte.

Tu lances ensuite l'utilitaire en double cliquant dessus, tu confirmes l'ouverture en cliquant sur Exécuter.

A la fenêtre Disclaimer, tu tapes sur [1].

L'analyse se lancera par la suite avec création d'un point de restauration et sauvegarde des fichiers Windows.
Patientes, ComboFix nettoie en 41 étapes.

Tu ne t'inquiètes pas, il se charge de tout.
Laisse-le faire et suis bien les instructions à l'écran, il est possible qu'il te demande de redémarrer.

Pendant son nettoyage, le Bureau peut disparaître à plusieurs reprises. Tout redeviendra normal par la suite.

Surtout, tant que tu n'as pas un message de ComboFix t'informant que le ménage est terminé, tu ne fais rien de plus que ce que l'utilitaire t'indique, c'est important car il peut être long mais travaille efficacement.

Quand tout sera fini, tu liras:

Code: Tout sélectionner

Almost done... This window will close in a short while
Please wait a few seconds for the report log to pop up
 
ComboFix's log shall be located at C:ComboFix.txt

Normalement, le rapport s'ouvrira dans le Bloc-notes, tu nous copies-colles l'intégralité du fichier.
Si le Bloc-notes ne s'ouvre pas, tu iras chercher le rapport ici: C:ComboFix.txt et tu nous le colles dans ton prochain message.

[lestat31]

Attention..tadam !!! en espérant que ça pourra servir(peut être ) pour d'autres cas identiques,génial combofix

merci à toi pour ta rapidité et tes décisions efficaces dan sle traitement de ce cas,mon ordi te remercierai si il le pouvait

voici le rapport :

ComboFix 08-10-04.07 - seb 2008-10-05 11:41:40.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.1487 [GMT 2:00]
Lancé depuis: E:Documents and SettingssebBureauComboFix.exe
Commutateurs utilisés :: E:Documents and SettingssebBureauWindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
* Un nouveau point de restauration a été créé
* Resident AV is active

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

E:Documents and SettingsAll UsersApplication DataMicrosoftNetworkDownloaderqmgr0.dat
E:Documents and SettingsAll UsersApplication DataMicrosoftNetworkDownloaderqmgr1.dat
E:Documents and SettingssebApplication DataAdobecrc.dat
E:Documents and SettingssebApplication DataAdobePlayer.exe
E:Documents and SettingssebLocal SettingsTemporary Internet Filesijjistarter_verinfo.dat
E:WINDOWSdkwqgnbe.dll
E:WINDOWSebtw.exe
E:WINDOWS
eksolda.dll
E:WINDOWS
kefbltdkxl.dll
E:WINDOWSsystem32aoadtdur.ini
E:WINDOWSsystem32hksyaffc.ini
E:WINDOWSsystem32khfGWpqO.dll
E:WINDOWSsystem32loadgsfs.ini
E:WINDOWSsystem32mcrh.tmp
E:WINDOWSsystem32msssc.dll
E:WINDOWSsystem32OqpWGfhk.ini
E:WINDOWSsystem32OqpWGfhk.ini2
E:WINDOWSsystem32OYadefii.ini
E:WINDOWSsystem32suhgfvhs.ini
E:WINDOWSsystem32xxyvwVmJ.dll
E:WINDOWSsystem32yvpfhqnx.ini

----- BITS: Il y a peut-être des sites infectés -----

hxxp://78.157.143.198
.
((((((((((((((((((((((((((((( Fichiers créés du 2008-09-05 au 2008-10-05 ))))))))))))))))))))))))))))))))))))
.

2008-10-05 10:57 . 2008-10-05 11:21 2,464 --a------ E:WINDOWSsystem32 mp.reg
2008-10-05 10:30 . 2008-10-05 11:10 <REP> d-------- E:Program FilesNavilog1
2008-10-05 09:52 . 2008-10-05 09:52 80,512 --a------ E:WINDOWSsystem32xnqhfpvy.dll
2008-10-05 01:25 . 2008-10-05 01:25 <REP> d-------- E:Program FilesTrend Micro
2008-10-05 00:57 . 2008-10-05 00:57 <REP> d-------- E:WINDOWSSun
2008-10-04 19:54 . 2008-10-04 19:54 <REP> d-------- E:Documents and SettingssebApplication DataDisney Interactive Studios
2008-10-04 19:46 . 2008-07-12 08:18 3,851,784 --a------ E:WINDOWSsystem32D3DX9_39.dll
2008-10-04 19:46 . 2008-07-12 08:18 1,493,528 --a------ E:WINDOWSsystem32D3DCompiler_39.dll
2008-10-04 19:46 . 2008-07-31 10:40 509,448 --a------ E:WINDOWSsystem32XAudio2_2.dll
2008-10-04 19:46 . 2008-07-12 08:18 467,984 --a------ E:WINDOWSsystem32d3dx10_39.dll
2008-10-04 19:46 . 2008-07-31 10:41 238,088 --a------ E:WINDOWSsystem32xactengine3_2.dll
2008-10-04 19:46 . 2008-07-31 10:41 68,616 --a------ E:WINDOWSsystem32XAPOFX1_1.dll
2008-10-04 19:44 . 2008-10-04 19:52 892 --a------ E:WINDOWSdisney.ini
2008-10-04 19:42 . 2008-10-04 19:42 80,512 --a------ E:WINDOWSsystem32cffayskh.dll
2008-10-03 22:49 . 2008-10-03 22:49 <REP> d-------- E:Documents and SettingsAll UsersApplication DataFLEXnet
2008-10-03 22:49 . 2008-10-03 22:49 80,000 --a------ E:WINDOWSsystem32shvfghus.dll
2008-10-03 16:38 . 2008-10-04 09:56 719 --a------ E:WINDOWSwininit.ini
2008-10-03 16:25 . 2008-10-04 07:35 <REP> d-------- E:Documents and SettingsAll UsersApplication DataSpybot - Search & Destroy
2008-10-03 16:23 . 2008-10-03 16:23 <REP> d-------- E:Program Filesspybot
2008-10-03 14:40 . 2008-10-03 16:38 137,626 --a------ E:WINDOWSsystem32OYadefii.ini2
2008-10-03 13:36 . 2008-10-03 13:36 <REP> d-------- E:Program FilesBonjour
2008-10-03 13:24 . 2008-10-03 13:24 <REP> d-------- E:Program FilesFichiers communsMacrovision Shared
2008-10-01 15:42 . 2008-10-01 15:42 <REP> d-------- E:Documents and SettingsLocalServiceApplication DataSACore
2008-09-30 11:45 . 2008-09-30 11:46 <REP> d-------- E:Documents and SettingssebApplication DataXnView
2008-09-30 11:44 . 2008-09-30 11:44 <REP> d-------- E:Program FilesXnView
2008-09-28 22:11 . 2003-07-17 20:17 5,174 --a------ E:WINDOWSsystem32
ppt9x.vxd
2008-09-28 22:11 . 2005-01-01 11:43 4,682 --a------ E:WINDOWSsystem32
pptNT2.sys
2008-09-28 22:11 . 2008-09-29 21:52 33 --a------ E:WINDOWSGunzLauncher.INI
2008-09-28 22:03 . 2008-09-29 21:51 <REP> d--h----- E:Documents and SettingssebApplication Dataijjigame
2008-09-28 22:01 . 2008-09-28 22:01 <REP> d-------- E:Documents and SettingsAll UsersApplication DataIJJIGame
2008-09-28 15:32 . 2008-09-28 15:32 <REP> d-------- E:Program FilesNHN USA
2008-09-28 15:32 . 2008-06-17 19:28 710,064 --a------ E:WINDOWSsystem32ijjiSetup.exe
2008-09-28 15:32 . 2008-04-23 14:02 157,152 --a------ E:WINDOWSsystem32PubPlugin.dll
2008-09-28 15:32 . 2008-06-11 23:01 58,800 --a------ E:WINDOWSsystem32ijjiPlugin2.dll
2008-09-23 10:48 . 2008-09-23 10:48 <REP> d-------- E:WINDOWSsystem32Adobe
2008-09-22 13:25 . 2008-09-22 13:34 151 --a------ E:WINDOWSPhotoSnapViewer.INI
2008-09-18 23:07 . 2008-09-18 23:07 <REP> d-------- E:Program FilesFichiers communsBlizzard Entertainment
2008-09-18 19:49 . 2008-09-18 19:49 103,736 --a------ E:WINDOWSsystem32PnkBstrB.exe
2008-09-18 19:49 . 2008-09-18 19:49 66,872 --a------ E:WINDOWSsystem32PnkBstrA.exe
2008-09-18 19:49 . 2008-09-18 19:49 22,328 --a------ E:WINDOWSsystem32driversPnkBstrK.sys
2008-09-18 19:49 . 2008-09-18 19:49 22,328 --a------ E:Documents and SettingssebApplication DataPnkBstrK.sys
2008-09-18 19:48 . 2008-09-18 19:48 299 --a------ E:WINDOWSgame.ini
2008-09-18 19:31 . 2008-09-18 19:31 <REP> d--hs---- E:WINDOWSftpcache
2008-09-16 18:51 . 2008-09-18 19:49 <REP> d-------- E:WINDOWSsystem32LogFiles
2008-09-16 18:40 . 2008-09-16 18:40 <REP> d-------- E:Program FilesSony
2008-09-16 18:40 . 2008-09-16 18:40 <REP> d-------- E:Program FilesFichiers communsSony Shared
2008-09-16 18:39 . 2008-09-28 22:11 <REP> d-------- E:Program FilesCommon Files
2008-09-16 16:31 . 2008-09-16 16:32 <REP> d-------- E:Documents and SettingssebApplication DataCanon
2008-09-14 22:27 . 2008-09-14 22:27 <REP> d-------- E:Documents and SettingssebApplication DataPandoraRecovery
2008-09-14 12:27 . 1998-10-07 13:08 327,168 --a------ E:WINDOWSIsUn040c.exe
2008-09-14 09:02 . 2008-09-14 09:54 <REP> d-------- E:Documents and SettingssebApplication DataBioshock
2008-09-14 09:01 . 2008-09-14 09:01 <REP> dr-h----- E:Documents and SettingssebApplication DataSecuROM
2008-09-11 12:08 . 2008-09-11 12:08 <REP> d-------- E:Documents and SettingssebApplication DataNeroDCTemplates
2008-09-07 14:13 . 2008-10-04 19:54 107,888 --a------ E:WINDOWSsystem32CmdLineExt.dll
2008-09-06 01:57 . 2008-09-06 01:57 <REP> d-------- E:Program FilesMicrosoft CAPICOM 2.1.0.2
2008-09-05 17:10 . 2008-09-05 17:10 <REP> d-------- E:Program FilesTeamspeak2_RC2
2008-09-05 17:10 . 2008-09-05 17:10 34,064 --a------ E:WINDOWSsystem32lhacm.acm
2008-09-05 12:53 . 2008-09-05 12:53 <REP> d-------- E:Documents and SettingssebApplication DataSPORE

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-05 09:46 --------- d-----w E:Program FilesArovax AntiSpyware
2008-10-05 09:00 --------- d-----w E:Program FilesMozilla Thunderbird
2008-10-04 21:38 --------- d-----w E:Program FileseMule
2008-10-04 18:08 --------- d-----w E:Documents and SettingssebApplication DataAzureus
2008-10-04 17:52 --------- d--h--w E:Program FilesInstallShield Installation Information
2008-10-03 11:36 --------- d-----w E:Program FilesFichiers communsAdobe
2008-10-02 02:08 --------- d-----w E:Program FilesMcAfee
2008-10-01 17:58 --------- d-----w E:Documents and SettingssebApplication DataFileZilla
2008-10-01 12:58 --------- d-----w E:Documents and SettingsAll UsersApplication DataSiteAdvisor
2008-10-01 12:58 --------- d-----w E:Documents and SettingsAll UsersApplication DataMcAfee
2008-09-10 10:02 --------- d-----w E:Documents and SettingsAll UsersApplication DataMicrosoft Help
2008-09-04 19:59 --------- d-----w E:Program FilesCanon
2008-09-04 19:56 --------- d-----w E:Program FilesScanSoft
2008-09-04 19:56 --------- d-----w E:Program FilesFichiers communsScanSoft Shared
2008-09-04 19:56 --------- d-----w E:Program FilesFichiers communsInstallShield
2008-09-04 19:56 --------- d-----w E:Documents and SettingssebApplication DataScanSoft
2008-09-04 19:56 --------- d-----w E:Documents and SettingsAll UsersApplication DataScanSoft
2008-09-04 19:56 --------- d-----w E:Documents and SettingsAll UsersApplication DataInstallShield
2008-09-04 19:55 --------- d-----w E:Program FilesFichiers communsCANON
2008-09-04 19:46 --------- d--h--w E:Program FilesCanonBJ
2008-09-04 19:46 --------- d--h--w E:Documents and SettingsAll UsersApplication DataCanonBJ
2008-09-04 15:10 --------- d-----w E:Program FilesGoogle
2008-09-03 11:51 --------- d-----w E:Documents and SettingsAll UsersApplication DataMedia Center Programs
2008-09-03 11:43 --------- d-----w E:Documents and SettingssebApplication DataInstallShield
2008-09-01 11:19 --------- d-----w E:Program FilesMicrosoft Works
2008-09-01 11:18 --------- d-----w E:Program FilesMSBuild
2008-09-01 11:18 --------- d-----w E:Program FilesMicrosoft.NET
2008-09-01 11:16 --------- d-----w E:Program FilesMicrosoft Visual Studio 8
2008-08-31 20:21 --------- d-----w E:Program FilesAnalog Devices
2008-08-31 20:00 --------- d-----w E:Program FilesSMU
2008-08-31 20:00 --------- d-----w E:Program FilesSMBus
2008-08-31 20:00 --------- d-----w E:Program FilesIDE
2008-08-31 20:00 --------- d-----w E:Program FilesEthernet
2008-08-31 16:05 --------- d-----w E:Program FilesLavalys
2008-08-31 09:53 --------- d-----w E:Documents and SettingssebApplication DataAhead
2008-08-31 09:50 --------- d-----w E:Documents and SettingssebApplication Data eamspeak2
2008-08-30 21:42 --------- d-----w E:Documents and SettingssebApplication DataTomTom
2008-08-30 21:41 --------- d-----w E:Program FilesTomTom HOME 2
2008-08-30 21:39 2,829 ----a-w E:WINDOWSWar3Unin.pif
2008-08-30 21:39 126,976 ----a-w E:WINDOWSWar3Unin.exe
2008-08-30 21:24 --------- d-----w E:Program Filesma-config.com
2008-08-30 21:24 --------- d-----w E:Documents and SettingsAll UsersApplication Datama-config.com
2008-08-30 19:06 --------- d-----w E:Program FilesLogitech
2008-08-30 19:06 --------- d-----w E:Documents and SettingsAll UsersApplication DataLogitech
2008-08-30 16:20 --------- d-----w E:Program FilesASUS
2008-08-30 15:14 --------- d---a-w E:Documents and SettingsAll UsersApplication DataTEMP
2008-08-30 07:22 --------- d-----w E:Documents and SettingssebApplication DataURSoft
2008-08-29 19:52 --------- d-----w E:Documents and SettingsAll UsersApplication DataespionServerData
2008-08-29 17:36 0 ---ha-w E:WINDOWSsystem32driversMsftWdf_Kernel_01005_Coinstaller_Critical.Wdf
2008-08-29 17:36 0 ---ha-w E:WINDOWSsystem32driversMsft_Kernel_xusb21_01005.Wdf
2008-08-21 12:07 --------- d-----w E:Program FilesFichiers communsBioWare
2008-08-21 11:59 --------- d-----w E:Program FilesYahoo!
2008-08-21 11:55 --------- d-----w E:Documents and SettingsAll UsersApplication DataArovax
2008-08-21 11:50 --------- d-----w E:Program FilesElaborate Bytes
2008-08-20 17:58 --------- d-----w E:Program FilesAzureus
2008-08-20 17:56 --------- d-----w E:Documents and SettingsAll UsersApplication DataAzureus
2008-08-20 17:14 --------- d-----w E:Program FilesFichiers communsLightScribe
2008-08-20 17:09 --------- d-----w E:Program FilesFichiers communsAhead
2008-08-20 17:07 --------- d-----w E:Program FilesNero
2008-08-20 17:00 --------- d-----w E:Program FilesMSN Messenger
2008-08-20 16:55 --------- d-----w E:Program FilesFichiers communsNero
2008-08-20 16:55 --------- d-----w E:Documents and SettingssebApplication DataNero
2008-08-20 16:55 --------- d-----w E:Documents and SettingsAll UsersApplication DataNero
2008-08-20 16:45 --------- d-----w E:Program FilesMcAfee.com
2008-08-20 16:45 --------- d-----w E:Program FilesFichiers communsMcAfee
2008-08-20 16:00 --------- d-----w E:Documents and SettingssebApplication Datavlc
2008-08-20 15:59 --------- d-----w E:Program FilesVideoLAN
2008-08-20 15:59 --------- d-----w E:Documents and SettingssebApplication DataThunderbird
2008-08-20 15:33 --------- d---a-w E:Documents and SettingssebApplication Datagtopala
2008-08-20 15:33 --------- d---a-w E:Documents and SettingssebApplication Dataaignes
2008-08-20 15:29 --------- d-----w E:Program FilesWMV9_VCM
2008-08-20 15:29 --------- d-----w E:Program FilesWindows Media Connect 2
2008-08-20 15:29 --------- d-----w E:Program FilesJava
2008-08-20 15:29 --------- d-----w E:Program FilesFichiers communsJava
2008-08-20 15:23 --------- d-----w E:Program FilesMSXML 4.0
2008-08-20 15:22 --------- d-----w E:Program FilesWSTARTUP
2008-08-20 15:22 --------- d-----w E:Program FilesUTILS
2008-08-20 15:22 --------- d-----w E:Program FilesJEUX
2008-08-20 15:18 --------- d-----w E:Program Filesmicrosoft frontpage
2008-08-05 10:30 1,048,576 ----a-w E:WINDOWS1603.BIN
2008-06-16 20:44 400 ----a-w E:Program FilesREADME.TXT
2008-06-04 14:29 827 ----a-w E:Program Filessetup.ini
2008-06-04 14:29 6,394,852 ----a-w E:Program Filesdata1.cab
2008-06-04 14:29 512 ----a-w E:Program Filesdata2.cab
2008-06-04 14:29 509 ----a-w E:Program Fileslayout.bin
2008-06-04 14:29 372,736 ----a-w E:Program Filessetup.exe
2008-06-04 14:29 337,452 ----a-w E:Program Filessetup.inx
2008-06-04 14:29 33,599 ----a-w E:Program Filesdata1.hdr
2008-05-16 09:43 286 ----a-w E:Program Filessetup.iss
2008-05-16 09:43 176,756 ----a-w E:Program Filessetup.bmp
2008-05-12 14:03 28 ----a-w E:Program FilesOEM.ini
2008-02-29 12:57 401 ----a-w E:Program Filesadministrator.manifest
2007-04-24 15:21 324,552 ----a-w E:Program Files\_setup.dll
2007-04-18 18:47 76,009 ----a-w E:Program Filessetup.isn
2007-04-18 17:06 535,552 ----a-w E:Program FilesISSetup.dll
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
"ctfmon.exe"="E:WINDOWSsystem32ctfmon.exe" [2008-04-14 15360]
"MsnMsgr"="E:Program FilesMSN MessengerMsnMsgr.Exe" [2007-01-19 5674352]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="E:Program FilesFichiers communsAheadLibNMBgMonitor.exe" [2006-12-23 143360]
"Arovax AntiSpyware"="E:Program FilesArovax AntiSpywarearovaxantispyware.exe" [2007-09-21 1966080]
"TomTomHOME.exe"="E:Program FilesTomTom HOME 2HOMERunner.exe" [2008-05-06 202088]
"SpybotSD TeaTimer"="C:logicielsSpybot - Search & DestroyTeaTimer.exe" [2008-09-16 1833296]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
"mcagent_exe"="E:Program FilesMcAfee.comAgentmcagent.exe" [2007-11-01 582992]
"NeroFilterCheck"="E:Program FilesFichiers communsAheadLibNeroCheck.exe" [2006-01-12 155648]
"Adobe Photo Downloader"="C:logicielsphotoshop elementsapdproxy.exe" [2006-09-14 61440]
"VirtualCloneDrive"="E:Program FilesElaborate BytesVirtualCloneDriveVCDDaemon.exe" [2008-06-30 52168]
"Launch LCDMon"="E:Program FilesLogitechGamePanel SoftwareLCD ManagerLCDMon.exe" [2007-07-18 1687824]
"Launch LGDCore"="E:Program FilesLogitechGamePanel SoftwareG-series SoftwareLGDCore.exe" [2007-07-18 2094352]
"SoundMAXPnP"="E:Program FilesAnalog DevicesCoresmax4pnp.exe" [2006-12-18 868352]
"NvCplDaemon"="E:WINDOWSsystem32NvCpl.dll" [2008-05-16 13529088]
"NvMediaCenter"="E:WINDOWSsystem32NvMcTray.dll" [2008-05-16 86016]
"CanonMyPrinter"="E:Program FilesCanonMyPrinterBJMyPrt.exe" [2007-04-03 1603152]
"SSBkgdUpdate"="E:Program FilesFichiers communsScansoft SharedSSBkgdUpdateSSBkgdupdate.exe" [2006-10-25 210472]
"OpwareSE4"="E:Program FilesScanSoftOmniPageSE4OpwareSE4.exe" [2007-02-04 79400]
"nwiz"="nwiz.exe" [2008-05-16 E:WINDOWSsystem32
wiz.exe]

E:Documents and SettingssebMenu D,marrerProgrammesD,marrage
IcoSauve.lnk - E:WINDOWSsystem32IcoSauve.exe [2008-08-20 112128]
Yahoo! Widgets.lnk - E:Program FilesYahoo!WidgetsYahooWidgets.exe [2007-12-12 3746856]

E:Documents and SettingsAll UsersMenu D,marrerProgrammesD,marrage
Adobe Gamma Loader.exe.lnk - E:Program FilesFichiers communsAdobeCalibrationAdobe Gamma Loader.exe [2008-09-23 110592]

[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversionpoliciessystem]
"SynchronousMachineGroupPolicy"= 0 (0x0)
"SynchronousUserGroupPolicy"= 0 (0x0)

[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversionpoliciesexplorer]
"ForceClassicControlPanel"= 1 (0x1)
"NoSimpleStartMenu"= 0 (0x0)

[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionpoliciesexplorer]
"NoStrCmpLogical"= 0 (0x0)
"LockTaskbar"= 0 (0x0)
"NoResolveTrack"= 0 (0x0)
"NoResolveSearch"= 0 (0x0)
"NoSMMyPictures"= 0 (0x0)
"NoStartMenuMFUprogramsList"= 0 (0x0)
"NoUserNameInStartMenu"= 0 (0x0)
"MaxRecentDocs"= 15 (0xf)
"NoInstrumentation"= 0 (0x0)
"MemCheckBoxInRunDlg"= 1 (0x1)
"NoSMBalloonTip"= 0 (0x0)
"DisallowCpl"= 1 (0x1)

[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity center]
"AntiVirusOverride"=dword:00000001

[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity centerMonitoringMcAfeeAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity centerMonitoringMcAfeeFirewall]
"DisableMonitoring"=dword:00000001

[HKLM~servicessharedaccessparametersfirewallpolicystandardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)
"mW[iµˆO¾`=µu¾˜v%S8'yUêé>grl>

[r@in | b0w]

Re.

1_

Quand l'analyse sera finie, un rapport sera généré.
Tu l'enregistres car il n'est pas sauvegardé par défaut.

Il manque le rapport de SmitfraudFix option 2 en Mode sans échec.


2_

Attention..tadam !!! en espérant que ça pourra servir(peut être ) pour d'autres cas identiques,génial combofix

Vundo est très répandu, tu n'es pas le premier et surement pas le dernier non plus.

Et non, je ne pense pas qu'on puisse garder ton cas comme référence.
Tu avais un Vundo doublé d'un détournement de Bureau.

merci à toi pour ta rapidité et tes décisions efficaces dan sle traitement de ce cas,mon ordi te remercierai si il le pouvait

De rien.
Pour la rapidité de la réponse, les bénévoles font avec leur temps disponible pour répondre.
Et l'efficacité, tu en jugeras après la désinfection, pas pendant.

3_

ComboFix 08-10-04.07 - seb 2008-10-05 11:41:40.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.1487 [GMT 2:00]
Lancé depuis: E:Documents and SettingssebBureauComboFix.exe
Commutateurs utilisés :: E:Documents and SettingssebBureauWindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
* Un nouveau point de restauration a été créé
* Resident AV is active

Tu n'as pas suivi la procédure, notamment:

Avant de lancer ComboFix, tu dois désactiver ta connexion Internet, ton antivirus, ton anti-spyware & ton pare-feu car ils peuvent bloquer l'exécution de l'utilitaire (faux-positifs).
Tu les réactiveras après l'utilisation de ComboFix.
Tu fermes toutes les fenêtres ouverte.

Pour l'instant, on passe.

Tu vas sur http://www.virustotal.com/fr/ puis tu cliques sur Parcourir.
Tu sélectionnes le fichier C:WINDOWSsystem32XAudio2_2.dll et tu cliques sur Ouvrir.

Tu cliques ensuite sur Envoyer le fichier.

A la fin de l'analyse, tu cliques sur Formaté en haut à gauche puis, dans la nouvelle fenêtre, tu cliques sur le bouton pour faire apparaître le rapport dans la fenêtre en question.

Tu sélectionnes ce rapport puis fais un copier-coller et tu le colles dans ton prochain message.


4_ Tu nettoies les fichiers temporaires et la base de registre.

Pour cela, Ccleaner reste le moyen le plus sûr et pratique de tout nettoyer sans risques.

En suivant ce tutorial, cet utilitaire sera configuré correctement.

Il est aussi utile de purger régulièrement le dossier Prefetch en profitant de Ccleaner pour automatiser ce nettoyage.
Pour cela, il faut aller dans Options puis Personnaliser pour ajouter le dossier C:WindowsPREFETCH.


5_ ComboFix est assez puissant, il a supprimé ce fichier:

E:Documents and SettingssebApplication DataAdobePlayer.exe

Juste pour te prévenir qu'il faudra le réinstaller si tu sais ce que c'est et que tu l'as installé toi-même.
Je penchais soit pour Flash Player soit pour une vermine, à toi de me dire.

[lestat31]

ok ok...bon j'ai fais comme vous avez dis chef
1-Voici le résultat de virus total.

1-Fichier XAudio2_2.dll reçu le 2008.10.05 20:32:04 (CET)
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.10.3.2 2008.10.03 -
AntiVir 7.8.1.34 2008.10.04 -
Authentium 5.1.0.4 2008.10.05 -
Avast 4.8.1248.0 2008.10.04 -
AVG 8.0.0.161 2008.10.05 -
BitDefender 7.2 2008.10.05 -
CAT-QuickHeal 9.50 2008.10.04 -
ClamAV 0.93.1 2008.10.05 -
DrWeb 4.44.0.09170 2008.10.05 -
eSafe 7.0.17.0 2008.10.05 -
eTrust-Vet 31.6.6129 2008.10.04 -
Ewido 4.0 2008.10.05 -
F-Prot 4.4.4.56 2008.10.05 -
F-Secure 8.0.14332.0 2008.10.05 -
Fortinet 3.113.0.0 2008.10.04 -
GData 19 2008.10.05 -
Ikarus T3.1.1.34.0 2008.10.05 -
K7AntiVirus 7.10.484 2008.10.04 -
Kaspersky 7.0.0.125 2008.10.05 -
McAfee 5398 2008.10.04 -
Microsoft 1.4005 2008.10.05 -
NOD32 3495 2008.10.04 -
Norman 5.80.02 2008.10.03 -
Panda 9.0.0.4 2008.10.05 -
PCTools 4.4.2.0 2008.10.05 -
Prevx1 V2 2008.10.05 -
Rising 20.63.62.00 2008.09.28 -
SecureWeb-Gateway 6.7.6 2008.10.05 -
Sophos 4.34.0 2008.10.05 -
Sunbelt 3.1.1675.1 2008.09.27 -
Symantec 10 2008.10.05 -
TheHacker 6.3.1.0.101 2008.10.04 -
TrendMicro 8.700.0.1004 2008.10.03 -
VBA32 3.12.8.6 2008.10.05 -
ViRobot 2008.10.4.1406 2008.10.04 -
VirusBuster 4.5.11.0 2008.10.05 -
Information additionnelle
File size: 509448 bytes
MD5...: 50f4a0d5e6a0bafefa78f353533b8e06
SHA1..: d370434eea3a557ed77b2363dfac720a5ed98666
SHA256: 9c7897b4ee1bcd190b1c0b7b77e64ee731d234764683a1e2286af70d86b62753
SHA512: 7686b893996b76a25ca7da971ca3a10400dcc682a05e8317a9d159a9317537de<br>0bc20dfdef643e85e6ee548d7893138497fc156f77534124a8eb3e3ce47f0cb0
PEiD..: -
TrID..: File type identification<br>DirectShow filter (80.0%)<br>Win32 Executable MS Visual C++ (generic) (14.9%)<br>Win32 Executable Generic (3.3%)<br>Generic Win/DOS Executable (0.7%)<br>DOS Executable Generic (0.7%)
PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x431435<br>timedatestamp.....: 0x4891bb18 (Thu Jul 31 13:16:08 2008)<br>machinetype.......: 0x14c (I386)<br><br>( 5 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0x75424 0x75600 6.22 fcbd1b4e6bf747ed95f59a786ed7f3b9<br>.no_bbt 0x77000 0x493 0x600 5.04 f5ba5d86a5e71502b8c5c130b4923b70<br>.data 0x78000 0xb8c0 0x600 5.79 f8b9eafbac2f067c36823921d8deb95d<br>.rsrc 0x84000 0x3f0 0x400 3.39 8b3de45393766827e42c985faefbc0bf<br>.reloc 0x85000 0x3734 0x3800 4.30 de0c844d5bcaa2c07377c88b973f584f<br><br>( 7 imports ) <br>&gt; msvcrt.dll: memset, _CIpow, _control87, _adjust_fdiv, _amsg_exit, _initterm, free, malloc, _XcptFilter, ceil, strlen, _purecall, memmove, _vsnprintf, memcmp, memcpy, strcmp, wcslen, _vsnwprintf, _aligned_malloc, _aligned_free, sin, cos, floor, sqrt<br>&gt; KERNEL32.dll: GetSystemInfo, WaitForMultipleObjects, DuplicateHandle, CreateThread, GetProcessAffinityMask, SetThreadAffinityMask, SetThreadPriority, ResumeThread, CloseHandle, ResetEvent, SetEvent, SwitchToThread, WaitForSingleObject, CreateEventA, LoadLibraryA, GetProcAddress, HeapSize, GetProcessHeap, lstrcmpW, ReleaseSemaphore, GetVersionExA, GetVersion, SetUnhandledExceptionFilter, UnhandledExceptionFilter, GetCurrentProcess, TerminateProcess, GetSystemTimeAsFileTime, GetCurrentProcessId, GetTickCount, QueryPerformanceCounter, RtlUnwind, InterlockedCompareExchange, Sleep, InterlockedExchange, DisableThreadLibraryCalls, CreateSemaphoreA, WaitForSingleObjectEx, FreeLibrary, GetModuleFileNameA, GetCurrentThreadId, HeapDestroy, DeleteCriticalSection, InitializeCriticalSection, HeapCreate, QueryPerformanceFrequency, LeaveCriticalSection, EnterCriticalSection, HeapAlloc, HeapFree, GetLastError, OutputDebugStringA, InterlockedIncrement, InterlockedDecrement, IsProcessorFeaturePresent, DebugBreak<br>&gt; ole32.dll: PropVariantClear, CoTaskMemAlloc, CoTaskMemFree, CoCreateInstance, CLSIDFromString<br>&gt; USER32.dll: MessageBoxA, GetDesktopWindow<br>&gt; RPCRT4.dll: UuidToStringA, RpcStringFreeA<br>&gt; ADVAPI32.dll: RegCloseKey, RegCreateKeyExA, RegDeleteKeyA, RegEnumKeyA, RegOpenKeyExA, RegQueryValueExA, RegSetValueExA<br>&gt; WINMM.dll: timeBeginPeriod, timeEndPeriod<br><br>( 4 exports ) <br>DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer<br>

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.10.3.2 2008.10.03 -
AntiVir 7.8.1.34 2008.10.04 -
Authentium 5.1.0.4 2008.10.05 -
Avast 4.8.1248.0 2008.10.04 -
AVG 8.0.0.161 2008.10.05 -
BitDefender 7.2 2008.10.05 -
CAT-QuickHeal 9.50 2008.10.04 -
ClamAV 0.93.1 2008.10.05 -
DrWeb 4.44.0.09170 2008.10.05 -
eSafe 7.0.17.0 2008.10.05 -
eTrust-Vet 31.6.6129 2008.10.04 -
Ewido 4.0 2008.10.05 -
F-Prot 4.4.4.56 2008.10.05 -
F-Secure 8.0.14332.0 2008.10.05 -
Fortinet 3.113.0.0 2008.10.04 -
GData 19 2008.10.05 -
Ikarus T3.1.1.34.0 2008.10.05 -
K7AntiVirus 7.10.484 2008.10.04 -
Kaspersky 7.0.0.125 2008.10.05 -
McAfee 5398 2008.10.04 -
Microsoft 1.4005 2008.10.05 -
NOD32 3495 2008.10.04 -
Norman 5.80.02 2008.10.03 -
Panda 9.0.0.4 2008.10.05 -
PCTools 4.4.2.0 2008.10.05 -
Prevx1 V2 2008.10.05 -
Rising 20.63.62.00 2008.09.28 -
SecureWeb-Gateway 6.7.6 2008.10.05 -
Sophos 4.34.0 2008.10.05 -
Sunbelt 3.1.1675.1 2008.09.27 -
Symantec 10 2008.10.05 -
TheHacker 6.3.1.0.101 2008.10.04 -
TrendMicro 8.700.0.1004 2008.10.03 -
VBA32 3.12.8.6 2008.10.05 -
ViRobot 2008.10.4.1406 2008.10.04 -
VirusBuster 4.5.11.0 2008.10.05 -

Information additionnelle
File size: 509448 bytes
MD5...: 50f4a0d5e6a0bafefa78f353533b8e06
SHA1..: d370434eea3a557ed77b2363dfac720a5ed98666
SHA256: 9c7897b4ee1bcd190b1c0b7b77e64ee731d234764683a1e2286af70d86b62753
SHA512: 7686b893996b76a25ca7da971ca3a10400dcc682a05e8317a9d159a9317537de<br>0bc20dfdef643e85e6ee548d7893138497fc156f77534124a8eb3e3ce47f0cb0
PEiD..: -
TrID..: File type identification<br>DirectShow filter (80.0%)<br>Win32 Executable MS Visual C++ (generic) (14.9%)<br>Win32 Executable Generic (3.3%)<br>Generic Win/DOS Executable (0.7%)<br>DOS Executable Generic (0.7%)
PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x431435<br>timedatestamp.....: 0x4891bb18 (Thu Jul 31 13:16:08 2008)<br>machinetype.......: 0x14c (I386)<br><br>( 5 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0x75424 0x75600 6.22 fcbd1b4e6bf747ed95f59a786ed7f3b9<br>.no_bbt 0x77000 0x493 0x600 5.04 f5ba5d86a5e71502b8c5c130b4923b70<br>.data 0x78000 0xb8c0 0x600 5.79 f8b9eafbac2f067c36823921d8deb95d<br>.rsrc 0x84000 0x3f0 0x400 3.39 8b3de45393766827e42c985faefbc0bf<br>.reloc 0x85000 0x3734 0x3800 4.30 de0c844d5bcaa2c07377c88b973f584f<br><br>( 7 imports ) <br>&gt; msvcrt.dll: memset, _CIpow, _control87, _adjust_fdiv, _amsg_exit, _initterm, free, malloc, _XcptFilter, ceil, strlen, _purecall, memmove, _vsnprintf, memcmp, memcpy, strcmp, wcslen, _vsnwprintf, _aligned_malloc, _aligned_free, sin, cos, floor, sqrt<br>&gt; KERNEL32.dll: GetSystemInfo, WaitForMultipleObjects, DuplicateHandle, CreateThread, GetProcessAffinityMask, SetThreadAffinityMask, SetThreadPriority, ResumeThread, CloseHandle, ResetEvent, SetEvent, SwitchToThread, WaitForSingleObject, CreateEventA, LoadLibraryA, GetProcAddress, HeapSize, GetProcessHeap, lstrcmpW, ReleaseSemaphore, GetVersionExA, GetVersion, SetUnhandledExceptionFilter, UnhandledExceptionFilter, GetCurrentProcess, TerminateProcess, GetSystemTimeAsFileTime, GetCurrentProcessId, GetTickCount, QueryPerformanceCounter, RtlUnwind, InterlockedCompareExchange, Sleep, InterlockedExchange, DisableThreadLibraryCalls, CreateSemaphoreA, WaitForSingleObjectEx, FreeLibrary, GetModuleFileNameA, GetCurrentThreadId, HeapDestroy, DeleteCriticalSection, InitializeCriticalSection, HeapCreate, QueryPerformanceFrequency, LeaveCriticalSection, EnterCriticalSection, HeapAlloc, HeapFree, GetLastError, OutputDebugStringA, InterlockedIncrement, InterlockedDecrement, IsProcessorFeaturePresent, DebugBreak<br>&gt; ole32.dll: PropVariantClear, CoTaskMemAlloc, CoTaskMemFree, CoCreateInstance, CLSIDFromString<br>&gt; USER32.dll: MessageBoxA, GetDesktopWindow<br>&gt; RPCRT4.dll: UuidToStringA, RpcStringFreeA<br>&gt; ADVAPI32.dll: RegCloseKey, RegCreateKeyExA, RegDeleteKeyA, RegEnumKeyA, RegOpenKeyExA, RegQueryValueExA, RegSetValueExA<br>&gt; WINMM.dll: timeBeginPeriod, timeEndPeriod<br><br>( 4 exports ) <br>DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer<br>

2- ccleaner fais,modi prefetch i tout i tout

3-pour le fichier adobe,j'en sais foutrement rien...je sais juste que j'ai eu cette saloperie en allant chercher texmode pour guild wars....
Temps qu'une application liée à adobe ne plantera pas,je laisserai comme ça.

4-Merci à toi et à ce site pour votre aide.

@+ lestat31

[r@in | b0w]

De rien.

Par contre:

1_

Quand l'analyse sera finie, un rapport sera généré.
Tu l'enregistres car il n'est pas sauvegardé par défaut.

Il manque le rapport de SmitfraudFix option 2 en Mode sans échec.

[lestat31]

Bon,j'ai péché en voulant aller vite la dernière fois,j'avais pas suivi la bonne marche à suivre,résultat : j'ai toujours mon petit virus ou malware

Je vais me rattraper,je vous envoies les bloc notes de navilog et smitfraudix,avec une deux détections cette fois pour navilog,j'ai préalablement fais hijackthis et effacer les mêmes clés qui se trouvaient dans le premier post.

Désolé de revenir ainsi,mea culpa .

lestat31.

Search Navipromo version 2.0.2 commencé le 08/10/2008 à 9:24:53,74

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis E:Program Files
avilog1
Mise a jour le 17.05.2007 a 23h00 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes ***




*** Recherche dossiers dans E:WINDOWS ***




*** Recherche dossiers dans E:Program Files ***




*** Recherche dossiers dans E:Documents and SettingsAll UsersApplication Data ***




*** Recherche dossiers dans E:Documents and SettingssebApplication Data ***



*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
http://www.f-secure.com/blacklight/blacklight_help.html


F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
======================================

Copyright 2005-2006 F-Secure Corporation. All rights reserved.
This is a beta version. It will expire on 1st of April, 2007.
Version information: 2.2.1061.

[+] Started on 10/08/08 at 09:24:54.
[-] ERROR: This version of F-Secure BlackLight has expired.
[+] Exited on 10/08/08 at 09:24:54 (return code = 3).


*** Recherche fichiers ***




*** Recherche cles registre ***


Recherche dans [HKLMSOFTWAREMicrosoftWindowsCurrentVersionSharedDLLs]



Recherche dans [HKLMSOFTWAREMicrosoftWindowsCurrentVersionModuleUsage]



Recherche Clé Magic Control



*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:


2)Recherche Heuristique :
*
**
***
****
*****
******
*******
********
E:WINDOWSsystem32deadlink.exe trouvé !
E:WINDOWSsystem32Siw.exe trouvé !


*** Analyse Terminé le 08/10/2008 à 9:25:00,39 ***


SmitFraudFix v2.357

Rapport fait à 9:28:47,25, 08/10/2008
Executé à partir de E:Documents and SettingssebBureaulalaSmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

E:WINDOWSSystem32smss.exe
E:WINDOWSsystem32winlogon.exe
E:WINDOWSsystem32services.exe
E:WINDOWSsystem32lsass.exe
E:WINDOWSsystem32svchost.exe
E:WINDOWSSystem32svchost.exe
E:Program FilesAlwil SoftwareAvast4aswUpdSv.exe
E:Program FilesAlwil SoftwareAvast4ashServ.exe
E:WINDOWSsystem32spoolsv.exe
E:WINDOWSExplorer.EXE
E:Program FilesAnalog DevicesCoresmax4pnp.exe
E:Program FilesAnalog DevicesSoundMAXSmax4.exe
E:WINDOWSsystem32RUNDLL32.EXE
E:Program FilesLogitechGamePanel SoftwareLCD ManagerLCDMon.exe
E:Program FilesLogitechGamePanel SoftwareG-series SoftwareLGDCore.exe
E:Program FilesScanSoftOmniPageSE4OpwareSE4.exe
E:Program FilesElaborate BytesVirtualCloneDriveVCDDaemon.exe
E:PROGRA~1ALWILS~1Avast4ashDisp.exe
E:WINDOWSsystem32ctfmon.exe
E:Program FilesLogitechGamePanel SoftwareLCD ManagerAppletsLCDClock.exe
E:Program FilesLogitechGamePanel SoftwareLCD ManagerAppletsLCDCountdown.exe
E:Program FilesLogitechGamePanel SoftwareLCD ManagerAppletsLCDPop3.exe
E:Program FilesLogitechGamePanel SoftwareLCD ManagerAppletsLCDMedia.exe
E:WINDOWSsystem32IcoSauve.exe
E:Program FilesCanonIJPLMIJPLMSVC.EXE
E:WINDOWSsystem32
vsvc32.exe
E:WINDOWSsystem32svchost.exe
E:Program FilesNVIDIA CorporationNetworkAccessManagerin
SvcAppFlt.exe
E:Program FilesNVIDIA CorporationNetworkAccessManagerin
SvcIp.exe
E:Program FilesMozilla Firefoxfirefox.exe
C:logicielsazureusVuzeAzureus.exe
E:Documents and SettingssebBureaulalaSmitfraudFixPolicies.exe
E:WINDOWSsystem32cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» E:


»»»»»»»»»»»»»»»»»»»»»»»» E:WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» E:WINDOWSsystem


»»»»»»»»»»»»»»»»»»»»»»»» E:WINDOWSWeb


»»»»»»»»»»»»»»»»»»»»»»»» E:WINDOWSsystem32

E:WINDOWSsystem321.ico PRESENT !
E:WINDOWSsystem32drivers dssserv.sys détecté, utilisez un scanner de Rootkit

»»»»»»»»»»»»»»»»»»»»»»»» E:Documents and Settingsseb


»»»»»»»»»»»»»»»»»»»»»»»» E:Documents and SettingssebApplication Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» E:DOCUME~1sebFavoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» E:Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerDesktopComponents]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

AntiXPVSTFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]
"Userinit"="E:\WINDOWS\system32\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK



»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLMSYSTEMCS2ServicesTcpip..{16138661-65AD-4DBF-AC89-605ADD0DB788}: DhcpNameServer=212.27.40.240 212.27.40.241
HKLMSYSTEMCS2ServicesTcpipParameters: DhcpNameServer=212.27.40.240 212.27.40.241


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

[r@in | b0w]

Ok.

Tu le sauras pour la prochaine fois, il faut faire dans les règles pour ne pas perdre de temps.

Respectes la procédure pour avoir le plus de chance d'éradiquer toutes tes vermines.


1_ Navilog doit être relancé pour faire le ménage.

Tu vas relancer Navilog puis appuyer sur [2] pour lancer la désinfection automatique.

Navilog fera redémarrer ton ordinateur.
Tu appuieras sur n'importe quelle touche comme demandé.

Le nettoyage de Navilog sera effectif quand tu liras:

Code: Tout sélectionner

*** Nettoyage Termine le ...

Le Bloc-Notes s'ouvrira, il te faudra enregistrer le rapport de désinfection car il ne sera pas sauvegardé par défaut.

Ton Bureau apparaîtra par la suite.

Postes le rapport dans ton prochain message.


2_ ComboFix va faire des suppressions supplémentaires et, cette fois-ci, tu penses à désactiver ton antivirus!

Tu ouvres le Bloc-notes en cliquant sur Démarrer puis Tous les programmes, Accessoires et finalement Bloc-notes.

Tu copies-colles le texte suivant dans le Bloc-notes:

Code: Tout sélectionner

file::
E:WINDOWSsystem32deadlink.exe
E:WINDOWSsystem32Siw.exe
E:WINDOWSsystem321.ico
E:WINDOWSsystem32drivers   dssserv.sys

Tu enregistres ce fichier sur le Bureau sous le nom CFScript.txt et tu mets comme type de fichier Tous les fichiers puis tu fermes le Bloc-notes.

Avant d'utiliser ComboFix, tu dois désactiver ta connexion Internet, ton antivirus, ton anti-spyware & ton pare-feu car ils peuvent bloquer l'exécution de l'utilitaire (faux-positifs).
Tu les réactiveras après l'utilisation de ComboFix.
Tu fermes toutes les fenêtres ouverte.

Tu sélectionnes ensuite le fichier CFScript et tu exécutes un glisser/déposer comme ceci:



Le glisser/déposer va lancer à nouveau ComboFix.

Tu tapes ensuite sur la touche [1] pour continuer.

L'analyse se lancera par la suite avec création d'un point de restauration et sauvegarde des fichiers Windows.
Patientes, ComboFix nettoie en 41 étapes.

Tu ne t'inquiètes surtout pas, il se charge de tout.

Si le Bureau vient à disparaître une ou plusieurs fois, ne t'inquiète pas.

Laisse faire l'utilitaire et suis bien les instructions à l'écran, il est possible qu'il te demande de redémarrer.

Surtout, tant que tu n'as pas un message de ComboFix t'informant que le ménage est terminé, tu ne fais rien de plus que ce que l'utilitaire t'indique, c'est important car il peut être long mais travaille efficacement.

Quand tout sera fini, tu liras:

Code: Tout sélectionner

Almost done... This window will close in a short while
Please wait a few seconds for the report log to pop up

ComboFix's log shall be located at C:ComboFix.txt

Normalement, le rapport s'ouvrira dans le Bloc-notes, tu nous copies-colles l'intégralité du fichier.
Si le Bloc-notes ne s'ouvre pas, tu iras chercher le rapport ici: C:ComboFix.txt et tu nous le colles dans ton prochain message.


3_ Pour ton trojan (qui est sûrement à plusieurs entrées de ta machine), tu télécharges SDFix.

Tu double cliques ensuite sur l'icône SdFix pour le lancer.
Tu ne touches pas aux configurations et cliques uniquement sur Install.

Tu verras ce message:

Code: Tout sélectionner

SDFix has been extracted to %systemdrive%SDFix
(Drive that contains the Windows directory - typically C:SDFix)

Open the SDFix folder in Safe Mode and double click the RunThis.bat file to start the fixtool
If RunThis.bat is started in Normal Mode, options to download and run Anti-Virus command line scanners are displayed

Catchme.exe Stealth Malware Detector by GMER is also included in the SDFix folder

Additional SDFix Instructions & screen shots can be found here - http://www.bleepingcomputer.com/forums/topic131299.html

Cela confirme l'installation de SDFix.

Tu pars alors en Mode sans échec ([F8] au démarrage).

Après être sur ta session, tu cliques sur Démarrer puis Exécuter;
Tu tapes (ou copies-colles) C:SDFixRunThis.bat puis tu valides en appuyant sur [Entrée] ou en cliquant sur Ok.

Une fenêtre s'ouvrira, tu appuies sur la touche [Entrée] ou [Y].

Le fix va faire le ménage, tu prends ton mal en patience et attends

Quand tu vois écrit:

Code: Tout sélectionner

The PC will now restart, SDFix will run again after reboot.

Press any key to continue...

Tu appuies sur n'importe quelle touche du clavier, ce qui fera redémarrer ta machine.

SDFix se lancera après l'ouverture de ta session pour finir le ménage.

Le Bloc-notes s'ouvrira ensuite avec le rapport, copies-colles celui-ci dans ton prochain message.


4_ Toujours en Mode sans échec, tu te logges ensuite sur ta session puis tu lances SmitfraudFix.

Tu appuis sur la touche [2] puis [Entrée].
Si tu as une ligne demandant le nettoyage de la base de registre, appuies sur la touche [O] - pour Oui.

Quand l'analyse sera finie, un rapport sera généré.
Tu l'enregistres car il n'est pas sauvegardé par défaut.


Ps: je te conseille de faire un copier-coller de mon message que tu sauvegardes en local sur ton Bureau pour avoir toute la procédure lors du Mode sans échec car tu n'auras pas Internet.

On attend tous les rapports par la suite. Bon ménage.

[lestat31]

Après une bonne heure et demie de désinfection,voici les rapports mon commandant :


1.Navilog

Search Navipromo version 2.0.2 commencé le 08/10/2008 à 9:24:53,74

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis E:Program Files
avilog1
Mise a jour le 17.05.2007 a 23h00 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes ***




*** Recherche dossiers dans E:WINDOWS ***




*** Recherche dossiers dans E:Program Files ***




*** Recherche dossiers dans E:Documents and SettingsAll UsersApplication Data ***




*** Recherche dossiers dans E:Documents and SettingssebApplication Data ***



*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
http://www.f-secure.com/blacklight/blacklight_help.html


F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
======================================

Copyright 2005-2006 F-Secure Corporation. All rights reserved.
This is a beta version. It will expire on 1st of April, 2007.
Version information: 2.2.1061.

[+] Started on 10/08/08 at 09:24:54.
[-] ERROR: This version of F-Secure BlackLight has expired.
[+] Exited on 10/08/08 at 09:24:54 (return code = 3).


*** Recherche fichiers ***




*** Recherche cles registre ***


Recherche dans [HKLMSOFTWAREMicrosoftWindowsCurrentVersionSharedDLLs]



Recherche dans [HKLMSOFTWAREMicrosoftWindowsCurrentVersionModuleUsage]



Recherche Clé Magic Control



*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:


2)Recherche Heuristique :
*
**
***
****
*****
******
*******
********
E:WINDOWSsystem32deadlink.exe trouvé !
E:WINDOWSsystem32Siw.exe trouvé !


*** Analyse Terminé le 08/10/2008 à 9:25:00,39 ***

2- combofix

ComboFix 08-10-08.01 - seb 2008-10-08 22:05:09.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1656 [GMT 2:00]
Lancé depuis: E:Documents and SettingssebBureaulalaibi.4.exe
* Un nouveau point de restauration a été créé
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

E:Documents and SettingsAll UsersApplication DataMicrosoftNetworkDownloaderqmgr0.dat
E:Documents and SettingsAll UsersApplication DataMicrosoftNetworkDownloaderqmgr1.dat
E:Documents and SettingssebApplication DataAdobecrc.dat
E:Documents and SettingssebApplication DataAdobePlayer.exe
E:WINDOWSsystem321.ico
E:WINDOWSsystem32cbXOIyAP.dll
E:WINDOWSsystem32emleca.dll
E:WINDOWSsystem32fccaAron.dll
E:WINDOWSsystem32hgGxYOIy.dll
E:WINDOWSsystem32irhaaaco.ini
E:WINDOWSsystem32jwugmjdx.dll
E:WINDOWSsystem32lnvntxkw.ini
E:WINDOWSsystem32mjmxssxo.dll
E:WINDOWSsystem32msxml71.dll
E:WINDOWSsystem32
orAaccf.ini
E:WINDOWSsystem32
orAaccf.ini2
E:WINDOWSsystem32ocaaahri.dll
E:WINDOWSsystem32ssqOFVME.dll
E:WINDOWSsystem32unnehb.dll
E:WINDOWSsystem32wkxtnvnl.dll

----- BITS: Il y a peut-être des sites infectés -----

hxxp://78.157.143.198
.
((((((((((((((((((((((((((((( Fichiers créés du 2008-09-08 au 2008-10-08 ))))))))))))))))))))))))))))))))))))
.

2008-10-08 10:30 . 2008-10-08 10:34 <REP> d-------- E:Documents and SettingssebApplication DataFileZilla
2008-10-08 10:29 . 2008-10-08 10:29 <REP> d-------- E:Program FilesFileZilla FTP Client
2008-10-08 10:17 . 2008-10-08 15:44 <REP> d-------- E:Documents and SettingssebApplication DataCanon
2008-10-08 09:28 . 2007-09-06 00:22 289,144 --a------ E:WINDOWSsystem32VCCLSID.exe
2008-10-08 09:22 . 2008-10-08 22:01 <REP> d-------- E:Program FilesNavilog1
2008-10-08 09:02 . 2008-10-08 09:02 <REP> d-------- E:Program FilesTrend Micro
2008-10-07 21:52 . 2008-10-07 21:52 0 --ah----- E:WINDOWSsystem32driversMsftWdf_Kernel_01005_Coinstaller_Critical.Wdf
2008-10-07 21:52 . 2008-10-07 21:52 0 --ah----- E:WINDOWSsystem32driversMsft_Kernel_xusb21_01005.Wdf
2008-10-07 21:42 . 2008-10-07 21:42 <REP> d-------- E:Documents and SettingssebApplication DataDisney Interactive Studios
2008-10-07 12:42 . 2008-10-07 21:13 <REP> d-------- E:Documents and SettingssebApplication Datavlc
2008-10-07 12:03 . 2008-10-07 12:03 <REP> d-------- E:Program FilesMSXML 6.0
2008-10-07 12:00 . 2004-08-19 19:09 221,184 --a------ E:WINDOWSsystem32wmpns.dll
2008-10-07 10:53 . 2008-10-07 10:53 <REP> d-------- E:Program FilesAlwil Software
2008-10-07 01:04 . 2008-10-07 01:45 <REP> d-------- E:WINDOWSsystem32CatRoot_bak
2008-10-06 23:56 . 2008-10-07 12:03 <REP> d--h----- E:WINDOWS$hf_mig$
2008-10-06 23:49 . 2008-10-08 15:38 <REP> d-------- E:Program FilesMozilla Thunderbird
2008-10-06 23:49 . 2008-10-06 23:49 <REP> d-------- E:Documents and SettingssebApplication DataThunderbird
2008-10-06 23:45 . 2008-10-07 10:52 <REP> d-------- E:Documents and SettingsAll UsersApplication DataMcAfee
2008-10-06 23:42 . 2008-10-06 23:42 <REP> d-------- E:Program FilesNero
2008-10-06 23:42 . 2008-10-06 23:42 <REP> d-------- E:Program FilesFichiers communsNero
2008-10-06 23:42 . 2008-10-06 23:42 <REP> d-------- E:Documents and SettingsAll UsersApplication DataNero
2008-10-06 23:42 . 2006-03-17 11:45 1,757,184 --a------ E:WINDOWSsystem32imagX7.dll
2008-10-06 23:42 . 2006-03-17 11:45 802,816 --a------ E:WINDOWSsystem32imagXRA7.dll
2008-10-06 23:42 . 2006-03-17 11:45 497,296 --a------ E:WINDOWSsystem32imagXpr7.dll
2008-10-06 23:42 . 2006-03-17 14:49 368,640 --a------ E:WINDOWSsystem32TwnLib4.dll
2008-10-06 23:42 . 2006-03-17 11:45 258,048 --a------ E:WINDOWSsystem32imagXR7.dll
2008-10-06 23:40 . 2008-10-06 23:40 <REP> d-------- E:Documents and SettingsAll UsersApplication DataCanonIJPLM
2008-10-06 23:38 . 2008-10-06 23:38 <REP> d-------- E:Program FilesFichiers communsScanSoft Shared
2008-10-06 23:38 . 2008-10-06 23:38 <REP> d-------- E:Documents and SettingssebApplication DataScanSoft
2008-10-06 23:38 . 2008-10-06 23:38 <REP> d-------- E:Documents and SettingsAll UsersApplication DataScanSoft
2008-10-06 23:38 . 2008-10-06 23:38 <REP> d-------- E:Documents and SettingsAll UsersApplication DataInstallShield
2008-10-06 23:38 . 2004-08-03 23:01 25,856 --a------ E:WINDOWSsystem32driversusbprint.sys
2008-10-06 23:38 . 2004-08-03 22:58 15,104 --a------ E:WINDOWSsystem32driversusbscan.sys
2008-10-06 23:38 . 2008-10-06 23:38 412 --a------ E:WINDOWSMAXLINK.INI
2008-10-06 23:37 . 2008-10-06 23:37 <REP> d-------- E:Program FilesScanSoft
2008-10-06 23:37 . 2008-10-06 23:37 <REP> d-------- E:Program FilesFichiers communsCANON
2008-10-06 23:35 . 2008-10-06 23:35 <REP> d--h----- E:Documents and SettingsAll UsersApplication DataCanonBJ
2008-10-06 23:34 . 2008-10-06 23:34 <REP> d--h----- E:WINDOWSsystem32CanonIJ Uninstaller Information
2008-10-06 23:34 . 2008-10-06 23:34 <REP> d--h----- E:Program FilesCanonBJ
2008-10-06 23:34 . 2007-03-23 09:30 1,400,832 --a------ E:WINDOWSsystem32CNC520C.DLL
2008-10-06 23:34 . 2007-05-21 22:00 215,040 --a------ E:WINDOWSsystem32CNMLM94.DLL
2008-10-06 23:34 . 2007-03-19 03:23 200,704 --a------ E:WINDOWSsystem32CNC520L.DLL
2008-10-06 23:34 . 2007-03-15 07:12 188,416 --a------ E:WINDOWSsystem32CNC520O.DLL
2008-10-06 23:34 . 2007-03-23 09:29 98,304 --a------ E:WINDOWSsystem32CNC520I.DLL
2008-10-06 23:31 . 2008-10-06 23:31 0 --a------ E:WINDOWS
sreg.dat
2008-10-06 23:30 . 2008-10-06 23:39 <REP> d-------- E:Program FilesCanon
2008-10-06 23:27 . 2008-10-06 23:27 <REP> d-------- E:Program FilesLogitech
2008-10-06 23:27 . 2008-10-06 23:27 <REP> d-------- E:Documents and SettingsAll UsersApplication DataLogitech
2008-10-06 23:25 . 2008-10-06 23:25 0 --a------ E:WINDOWSmsicpl.ini
2008-10-06 23:21 . 2006-03-17 00:22 76,288 -ra------ E:WINDOWSsystem32SilSupp.cpl
2008-10-06 23:21 . 2004-11-01 21:21 10,368 -ra------ E:WINDOWSsystem32driversSiWinAcc.sys
2008-10-06 23:21 . 2005-10-18 21:15 5,504 -ra------ E:WINDOWSsystem32driversSiRemFil.sys
2008-10-06 23:09 . 2008-10-06 23:09 <REP> d-------- E:Program FilesAnalog Devices
2008-10-06 23:07 . 2008-10-06 23:07 <REP> d-------- E:WINDOWSASUSInstAll
2008-10-06 23:05 . 2008-10-06 23:05 <REP> d-------- E:Program FilesNVIDIA Corporation
2008-10-06 23:05 . 2008-10-07 00:10 <REP> d--h----- E:Program FilesInstallShield Installation Information
2008-10-06 23:04 . 2008-10-06 23:38 <REP> d-------- E:Program FilesFichiers communsInstallShield
2008-10-06 23:03 . 2008-10-06 23:21 34,183 --a------ E:WINDOWSAscd_tmp.ini
2008-10-06 23:03 . 2006-10-11 05:33 10,288 --a------ E:WINDOWSsystem32driversASUSHWIO.SYS
2008-10-06 23:03 . 2004-08-13 04:56 5,810 -ra------ E:WINDOWSsystem32driversASACPI.sys

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-08 19:03 --------- d-----w E:Documents and SettingssebApplication Datasp2
2008-10-08 09:09 --------- d-----w E:Documents and SettingssebApplication DataAzureus
2008-10-06 22:47 --------- d-----w E:Documents and SettingsAll UsersApplication DataAzureus
2008-10-06 22:44 --------- d-----w E:Program FilesVideoLAN
2008-10-06 22:38 --------- d---a-w E:Documents and SettingsAll UsersApplication DataTEMP
2008-10-06 22:34 --------- d-----w E:Documents and SettingsAll UsersApplication DataMicrosoft Help
2008-10-06 22:33 --------- d-----w E:Program FilesMSBuild
2008-10-06 22:33 --------- d-----w E:Program FilesMicrosoft Works
2008-10-06 22:33 --------- d-----w E:Documents and SettingssebApplication DataURSoft
2008-10-06 22:32 --------- d-----w E:Program FilesMicrosoft.NET
2008-10-06 22:31 --------- d-----w E:Program FilesMicrosoft Visual Studio 8
2008-10-06 22:13 --------- d-----w E:Documents and SettingsLocalServiceApplication DataSACore
2008-10-06 22:09 --------- d-----w E:Documents and SettingssebApplication DataInstallShield
2008-10-06 22:08 --------- d-----w E:Program FilesElaborate Bytes
2008-10-06 22:00 --------- d-----w E:Documents and SettingsAll UsersApplication DataSiteAdvisor
2008-10-06 20:55 --------- d---a-w E:Documents and SettingssebApplication Datagtopala
2008-10-06 20:55 --------- d---a-w E:Documents and SettingssebApplication Dataaignes
2008-10-06 20:51 --------- d-----w E:Program FilesJava
2008-10-06 20:51 --------- d-----w E:Program FilesFichiers communsJava
2008-10-06 20:50 --------- d-----w E:Program FilesWMV9_VCM
2008-10-06 20:50 --------- d-----w E:Program FilesWindows Media Connect 2
2008-10-06 20:44 --------- d-----w E:Program FilesWSTARTUP
2008-10-06 20:44 --------- d-----w E:Program FilesUTILS
2008-10-06 20:44 --------- d-----w E:Program FilesMSXML 4.0
2008-10-06 20:44 --------- d-----w E:Program FilesJEUX
2008-10-06 20:40 --------- d-----w E:Program Filesmicrosoft frontpage
2008-10-06 19:45 266,240 ----a-w E:qmafxprs.dll
.

------- Sigcheck -------

2006-11-19 01:59 1035264 7ba68df484b550c1f75dd80ae1d7ef67 E:WINDOWSexplorer.exe
2008-04-14 04:34 1037824 f2317622d29f9ff0f88aeecd5f60f0dd E:WINDOWSSoftwareDistributionDownload44b6174a4a693136d02d4a7ecd7cbd54explorer.exe
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
":::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::SOFTWAREMicrosoftWindowsCurrentVersionRun"="::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::SOFTWAREMicrosoftWindowsCurrentVersionRun" [X]
"ctfmon.exe"="E:WINDOWSsystem32ctfmon.exe" [2004-08-19 15360]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
":::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::SOFTWAREMicrosoftWindowsCurrentVersionRun"="::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::SOFTWAREMicrosoftWindowsCurrentVersionRun" [X]
"SoundMAXPnP"="E:Program FilesAnalog DevicesCoresmax4pnp.exe" [2006-12-18 868352]
"NvCplDaemon"="E:WINDOWSsystem32NvCpl.dll" [2007-10-25 8527872]
"WinSys2"="E:WINDOWSsystem32winsys2.exe" [2007-10-30 208896]
"NvMediaCenter"="E:WINDOWSsystem32NvMcTray.dll" [2007-10-25 81920]
"Launch LCDMon"="E:Program FilesLogitechGamePanel SoftwareLCD ManagerLCDMon.exe" [2007-07-18 1687824]
"Launch LGDCore"="E:Program FilesLogitechGamePanel SoftwareG-series SoftwareLGDCore.exe" [2007-07-18 2094352]
"CanonSolutionMenu"="E:Program FilesCanonSolutionMenuCNSLMAIN.exe" [2007-05-14 644696]
"CanonMyPrinter"="E:Program FilesCanonMyPrinterBJMyPrt.exe" [2007-04-03 1603152]
"SSBkgdUpdate"="E:Program FilesFichiers communsScansoft SharedSSBkgdUpdateSSBkgdupdate.exe" [2006-10-25 210472]
"OpwareSE4"="E:Program FilesScanSoftOmniPageSE4OpwareSE4.exe" [2007-02-04 79400]
"VirtualCloneDrive"="E:Program FilesElaborate BytesVirtualCloneDriveVCDDaemon.exe" [2004-08-20 45056]
"nwiz"="nwiz.exe" [2007-10-25 E:WINDOWSsystem32
wiz.exe]

E:Documents and SettingssebMenu D,marrerProgrammesD,marrage
IcoSauve.lnk - E:WINDOWSsystem32IcoSauve.exe [2008-10-06 112128]

[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversionpoliciessystem]
"SynchronousMachineGroupPolicy"= 0 (0x0)
"SynchronousUserGroupPolicy"= 0 (0x0)

[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversionpoliciesexplorer]
"ForceClassicControlPanel"= 1 (0x1)
"NoSimpleStartMenu"= 0 (0x0)

[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionpoliciesexplorer]
"NoStrCmpLogical"= 0 (0x0)
"LockTaskbar"= 0 (0x0)
"NoResolveTrack"= 0 (0x0)
"NoResolveSearch"= 0 (0x0)
"NoSMMyPictures"= 0 (0x0)
"NoStartMenuMFUprogramsList"= 0 (0x0)
"NoUserNameInStartMenu"= 0 (0x0)
"MaxRecentDocs"= 15 (0xf)
"NoInstrumentation"= 0 (0x0)
"MemCheckBoxInRunDlg"= 1 (0x1)
"NoSMBalloonTip"= 0 (0x0)
"DisallowCpl"= 1 (0x1)

[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversionwindows]
"AppInit_DLLs"=emleca.dll

[HKLM~servicessharedaccessparametersfirewallpolicystandardprofile]
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"%windir%\system32\sessmgr.exe"=
"E:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE"=
"C:\logiciels\azureus\Vuze\Azureus.exe"=
"C:\logiciels\emule\emule.exe"=

R1 aswSP;avast! Self Protection;E:WINDOWSsystem32driversaswSP.sys [2008-07-19 78416]
R2 aswFsBlk;aswFsBlk;E:WINDOWSsystem32DRIVERSaswFsBlk.sys [2008-07-19 20560]
R2 IJPLMSVC;PIXMA Extended Survey Program;E:Program FilesCanonIJPLMIJPLMSVC.EXE [2007-04-13 101528]
S3 SetupNTGLM7X;SetupNTGLM7X;G:NTGLM7X.sys [ ]
.
- - - - ORPHELINS SUPPRIMES - - - -

BHO-{46B95367-6BA4-4137-B830-53B1FF284056} - E:WINDOWSsystem32hgGxYOIy.dll
BHO-{79f32d91-8636-41f9-837b-f16a1ef49b4f} - E:WINDOWSsystem32emleca.dll
BHO-{A2E1CC01-E47E-44AF-B0FC-12D50ABA5DFC} - E:WINDOWSsystem32fccaAron.dll
HKCU-Run-MSFox - E:WINDOWSTEMPa.exe
HKLM-Run-f6de23ca - E:WINDOWSsystem32wkxtnvnl.dll
ShellExecuteHooks-{46B95367-6BA4-4137-B830-53B1FF284056} - E:WINDOWSsystem32hgGxYOIy.dll


.
------- Examen supplémentaire -------
.
FireFox -: Profile - E:Documents and SettingssebApplication DataMozillaFirefoxProfilesk56hnqd7.default
FF -: plugin - E:Program FilesJavajre1.6.0in
pjava11.dll
FF -: plugin - E:Program FilesJavajre1.6.0in
pjava12.dll
FF -: plugin - E:Program FilesJavajre1.6.0in
pjava13.dll
FF -: plugin - E:Program FilesJavajre1.6.0in
pjava14.dll
FF -: plugin - E:Program FilesJavajre1.6.0in
pjava32.dll
FF -: plugin - E:Program FilesJavajre1.6.0in
pjpi160.dll
FF -: plugin - E:Program FilesJavajre1.6.0in
poji610.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-08 22:49:44
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
------------------------ Autres processus actifs ------------------------
.
E:Program FilesAlwil SoftwareAvast4aswUpdSv.exe
E:Program FilesAlwil SoftwareAvast4ashServ.exe
E:WINDOWSsystem32 undll32.exe
E:Program FilesLogitechGamePanel SoftwareLCD ManagerAppletsLCDClock.exe
E:Program FilesLogitechGamePanel SoftwareLCD ManagerAppletsLCDCountdown.exe
E:WINDOWSsystem32
vsvc32.exe
E:Program FilesNVIDIA CorporationNetworkAccessManagerin
SvcAppFlt.exe
E:Program FilesNVIDIA CorporationNetworkAccessManagerin
SvcIp.exe
E:Program FilesAlwil SoftwareAvast4ashMaiSv.exe
E:Program FilesAlwil SoftwareAvast4ashWebSv.exe
E:ibi.4pv.cfexe
E:ibi.4pv.cfexe
.
**************************************************************************
.
Heure de fin: 2008-10-08 22:50:38 - La machine a redémarré
ComboFix-quarantined-files.txt 2008-10-08 20:50:36

Avant-CF: 21 362 905 088 octets libres
Après-CF: 21,305,491,456 octets libres

236 --- E O F --- 2008-10-07 21:10:50


3- 2éme partie pour combofix

ComboFix 08-10-08.01 - seb 2008-10-08 22:58:36.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1636 [GMT 2:00]
Lancé depuis: E:Documents and SettingssebBureaulalaibi.4.exe
Commutateurs utilisés :: E:Documents and SettingssebBureauCFScript.txt
* Un nouveau point de restauration a été créé

FILE ::
E:WINDOWSsystem321.ico
E:WINDOWSsystem32deadlink.exe
E:WINDOWSsystem32drivers dssserv.sys
E:WINDOWSsystem32Siw.exe
.

((((((((((((((((((((((((((((( Fichiers créés du 2008-09-08 au 2008-10-08 ))))))))))))))))))))))))))))))))))))
.

2008-10-08 22:50 . 2008-10-08 22:50 <REP> d-------- E:WINDOWSLastGood
2008-10-08 10:30 . 2008-10-08 10:34 <REP> d-------- E:Documents and SettingssebApplication DataFileZilla
2008-10-08 10:29 . 2008-10-08 10:29 <REP> d-------- E:Program FilesFileZilla FTP Client
2008-10-08 10:17 . 2008-10-08 15:44 <REP> d-------- E:Documents and SettingssebApplication DataCanon
2008-10-08 09:28 . 2007-09-06 00:22 289,144 --a------ E:WINDOWSsystem32VCCLSID.exe
2008-10-08 09:28 . 2006-04-27 17:49 288,417 --a------ E:WINDOWSsystem32SrchSTS.exe
2008-10-08 09:28 . 2008-09-08 23:38 88,576 --a------ E:WINDOWSsystem32AntiXPVSTFix.exe
2008-10-08 09:28 . 2008-10-01 15:51 87,552 --a------ E:WINDOWSsystem32VACFix.exe
2008-10-08 09:28 . 2008-09-19 12:26 82,944 --a------ E:WINDOWSsystem32o4Patch.exe
2008-10-08 09:28 . 2008-05-18 21:40 82,944 --a------ E:WINDOWSsystem32IEDFix.exe
2008-10-08 09:28 . 2008-09-19 12:26 82,944 --a------ E:WINDOWSsystem32IEDFix.C.exe
2008-10-08 09:28 . 2008-08-18 12:19 82,432 --a------ E:WINDOWSsystem32404Fix.exe
2008-10-08 09:28 . 2004-07-31 18:50 51,200 --a------ E:WINDOWSsystem32dumphive.exe
2008-10-08 09:28 . 2007-10-04 00:36 25,600 --a------ E:WINDOWSsystem32WS2Fix.exe
2008-10-08 09:28 . 2008-10-08 09:28 3,630 --a------ E:WINDOWSsystem32 mp.reg
2008-10-08 09:22 . 2008-10-08 22:01 <REP> d-------- E:Program FilesNavilog1
2008-10-08 09:02 . 2008-10-08 09:02 <REP> d-------- E:Program FilesTrend Micro
2008-10-07 21:52 . 2008-10-07 21:52 0 --ah----- E:WINDOWSsystem32driversMsftWdf_Kernel_01005_Coinstaller_Critical.Wdf
2008-10-07 21:52 . 2008-10-07 21:52 0 --ah----- E:WINDOWSsystem32driversMsft_Kernel_xusb21_01005.Wdf
2008-10-07 21:42 . 2008-10-07 21:42 <REP> d-------- E:Documents and SettingssebApplication DataDisney Interactive Studios
2008-10-07 12:42 . 2008-10-07 21:13 <REP> d-------- E:Documents and SettingssebApplication Datavlc
2008-10-07 12:03 . 2008-10-07 12:03 <REP> d-------- E:Program FilesMSXML 6.0
2008-10-07 12:00 . 2004-08-19 19:09 221,184 --a------ E:WINDOWSsystem32wmpns.dll
2008-10-07 10:53 . 2008-10-07 10:53 <REP> d-------- E:Program FilesAlwil Software
2008-10-07 01:04 . 2008-10-07 01:45 <REP> d-------- E:WINDOWSsystem32CatRoot_bak
2008-10-06 23:56 . 2008-10-07 12:03 <REP> d--h----- E:WINDOWS$hf_mig$
2008-10-06 23:49 . 2008-10-08 15:38 <REP> d-------- E:Program FilesMozilla Thunderbird
2008-10-06 23:49 . 2008-10-06 23:49 <REP> d-------- E:Documents and SettingssebApplication DataThunderbird
2008-10-06 23:45 . 2008-10-07 10:52 <REP> d-------- E:Documents and SettingsAll UsersApplication DataMcAfee
2008-10-06 23:42 . 2008-10-06 23:42 <REP> d-------- E:Program FilesNero
2008-10-06 23:42 . 2008-10-06 23:42 <REP> d-------- E:Program FilesFichiers communsNero
2008-10-06 23:42 . 2008-10-06 23:42 <REP> d-------- E:Documents and SettingsAll UsersApplication DataNero
2008-10-06 23:42 . 2006-03-17 11:45 1,757,184 --a------ E:WINDOWSsystem32imagX7.dll
2008-10-06 23:42 . 2006-03-17 11:45 802,816 --a------ E:WINDOWSsystem32imagXRA7.dll
2008-10-06 23:42 . 2006-03-17 11:45 497,296 --a------ E:WINDOWSsystem32imagXpr7.dll
2008-10-06 23:42 . 2006-03-17 14:49 368,640 --a------ E:WINDOWSsystem32TwnLib4.dll
2008-10-06 23:42 . 2006-03-17 11:45 258,048 --a------ E:WINDOWSsystem32imagXR7.dll
2008-10-06 23:40 . 2008-10-06 23:40 <REP> d-------- E:Documents and SettingsAll UsersApplication DataCanonIJPLM
2008-10-06 23:38 . 2008-10-06 23:38 <REP> d-------- E:Program FilesFichiers communsScanSoft Shared
2008-10-06 23:38 . 2008-10-06 23:38 <REP> d-------- E:Documents and SettingssebApplication DataScanSoft
2008-10-06 23:38 . 2008-10-06 23:38 <REP> d-------- E:Documents and SettingsAll UsersApplication DataScanSoft
2008-10-06 23:38 . 2008-10-06 23:38 <REP> d-------- E:Documents and SettingsAll UsersApplication DataInstallShield
2008-10-06 23:38 . 2004-08-03 23:01 25,856 --a------ E:WINDOWSsystem32driversusbprint.sys
2008-10-06 23:38 . 2004-08-03 22:58 15,104 --a------ E:WINDOWSsystem32driversusbscan.sys
2008-10-06 23:38 . 2008-10-06 23:38 412 --a------ E:WINDOWSMAXLINK.INI
2008-10-06 23:37 . 2008-10-06 23:37 <REP> d-------- E:Program FilesScanSoft
2008-10-06 23:37 . 2008-10-06 23:37 <REP> d-------- E:Program FilesFichiers communsCANON
2008-10-06 23:35 . 2008-10-06 23:35 <REP> d--h----- E:Documents and SettingsAll UsersApplication DataCanonBJ
2008-10-06 23:34 . 2008-10-06 23:34 <REP> d--h----- E:WINDOWSsystem32CanonIJ Uninstaller Information
2008-10-06 23:34 . 2008-10-06 23:34 <REP> d--h----- E:Program FilesCanonBJ
2008-10-06 23:34 . 2007-03-23 09:30 1,400,832 --a------ E:WINDOWSsystem32CNC520C.DLL
2008-10-06 23:34 . 2007-05-21 22:00 215,040 --a------ E:WINDOWSsystem32CNMLM94.DLL
2008-10-06 23:34 . 2007-03-19 03:23 200,704 --a------ E:WINDOWSsystem32CNC520L.DLL
2008-10-06 23:34 . 2007-03-15 07:12 188,416 --a------ E:WINDOWSsystem32CNC520O.DLL
2008-10-06 23:34 . 2007-03-23 09:29 98,304 --a------ E:WINDOWSsystem32CNC520I.DLL
2008-10-06 23:31 . 2008-10-06 23:31 0 --a------ E:WINDOWS
sreg.dat
2008-10-06 23:30 . 2008-10-06 23:39 <REP> d-------- E:Program FilesCanon
2008-10-06 23:27 . 2008-10-06 23:27 <REP> d-------- E:Program FilesLogitech
2008-10-06 23:27 . 2008-10-06 23:27 <REP> d-------- E:Documents and SettingsAll UsersApplication DataLogitech
2008-10-06 23:25 . 2008-10-06 23:25 0 --a------ E:WINDOWSmsicpl.ini
2008-10-06 23:21 . 2006-03-17 00:22 76,288 -ra------ E:WINDOWSsystem32SilSupp.cpl
2008-10-06 23:21 . 2004-11-01 21:21 10,368 -ra------ E:WINDOWSsystem32driversSiWinAcc.sys
2008-10-06 23:21 . 2005-10-18 21:15 5,504 -ra------ E:WINDOWSsystem32driversSiRemFil.sys
2008-10-06 23:09 . 2008-10-06 23:09 <REP> d-------- E:Program FilesAnalog Devices
2008-10-06 23:07 . 2008-10-06 23:07 <REP> d-------- E:WINDOWSASUSInstAll
2008-10-06 23:05 . 2008-10-06 23:05 <REP> d-------- E:Program FilesNVIDIA Corporation
2008-10-06 23:05 . 2008-10-07 00:10 <REP> d--h----- E:Program FilesInstallShield Installation Information
2008-10-06 23:04 . 2008-10-06 23:38 <REP> d-------- E:Program FilesFichiers communsInstallShield
2008-10-06 23:03 . 2008-10-06 23:21 34,183 --a------ E:WINDOWSAscd_tmp.ini
2008-10-06 23:03 . 2006-10-11 05:33 10,288 --a------ E:WINDOWSsystem32driversASUSHWIO.SYS
2008-10-06 23:03 . 2004-08-13 04:56 5,810 -ra------ E:WINDOWSsystem32driversASACPI.sys

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-08 19:03 --------- d-----w E:Documents and SettingssebApplication Datasp2
2008-10-08 09:09 --------- d-----w E:Documents and SettingssebApplication DataAzureus
2008-10-06 22:47 --------- d-----w E:Documents and SettingsAll UsersApplication DataAzureus
2008-10-06 22:44 --------- d-----w E:Program FilesVideoLAN
2008-10-06 22:38 --------- d---a-w E:Documents and SettingsAll UsersApplication DataTEMP
2008-10-06 22:34 --------- d-----w E:Documents and SettingsAll UsersApplication DataMicrosoft Help
2008-10-06 22:33 --------- d-----w E:Program FilesMSBuild
2008-10-06 22:33 --------- d-----w E:Program FilesMicrosoft Works
2008-10-06 22:33 --------- d-----w E:Documents and SettingssebApplication DataURSoft
2008-10-06 22:32 --------- d-----w E:Program FilesMicrosoft.NET
2008-10-06 22:31 --------- d-----w E:Program FilesMicrosoft Visual Studio 8
2008-10-06 22:13 --------- d-----w E:Documents and SettingsLocalServiceApplication DataSACore
2008-10-06 22:12 107,888 ----a-w E:WINDOWSsystem32CmdLineExt.dll
2008-10-06 22:09 --------- d-----w E:Documents and SettingssebApplication DataInstallShield
2008-10-06 22:08 --------- d-----w E:Program FilesElaborate Bytes
2008-10-06 22:00 --------- d-----w E:Documents and SettingsAll UsersApplication DataSiteAdvisor
2008-10-06 20:55 --------- d---a-w E:Documents and SettingssebApplication Datagtopala
2008-10-06 20:55 --------- d---a-w E:Documents and SettingssebApplication Dataaignes
2008-10-06 20:51 --------- d-----w E:Program FilesJava
2008-10-06 20:51 --------- d-----w E:Program FilesFichiers communsJava
2008-10-06 20:50 --------- d-----w E:Program FilesWMV9_VCM
2008-10-06 20:50 --------- d-----w E:Program FilesWindows Media Connect 2
2008-10-06 20:44 --------- d-----w E:Program FilesWSTARTUP
2008-10-06 20:44 --------- d-----w E:Program FilesUTILS
2008-10-06 20:44 --------- d-----w E:Program FilesMSXML 4.0
2008-10-06 20:44 --------- d-----w E:Program FilesJEUX
2008-10-06 20:40 --------- d-----w E:Program Filesmicrosoft frontpage
2008-10-06 19:45 266,240 ----a-w E:qmafxprs.dll
2008-07-31 08:41 68,616 ----a-w E:WINDOWSsystem32XAPOFX1_1.dll
2008-07-31 08:41 238,088 ----a-w E:WINDOWSsystem32xactengine3_2.dll
2008-07-31 08:40 509,448 ----a-w E:WINDOWSsystem32XAudio2_2.dll
2008-07-18 20:10 94,920 ----a-w E:WINDOWSsystem32cdm.dll
2008-07-18 20:10 53,448 ----a-w E:WINDOWSsystem32wuauclt.exe
2008-07-18 20:10 45,768 ----a-w E:WINDOWSsystem32wups2.dll
2008-07-18 20:10 36,552 ----a-w E:WINDOWSsystem32wups.dll
2008-07-18 20:09 563,912 ----a-w E:WINDOWSsystem32wuapi.dll
2008-07-18 20:09 325,832 ----a-w E:WINDOWSsystem32wucltui.dll
2008-07-18 20:09 205,000 ----a-w E:WINDOWSsystem32wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w E:WINDOWSsystem32wuaueng.dll
2008-07-12 06:18 467,984 ----a-w E:WINDOWSsystem32d3dx10_39.dll
2008-07-12 06:18 3,851,784 ----a-w E:WINDOWSsystem32D3DX9_39.dll
2008-07-12 06:18 1,493,528 ----a-w E:WINDOWSsystem32D3DCompiler_39.dll
.

------- Sigcheck -------

2006-11-19 01:59 1035264 7ba68df484b550c1f75dd80ae1d7ef67 E:WINDOWSexplorer.exe
2008-04-14 04:34 1037824 f2317622d29f9ff0f88aeecd5f60f0dd E:WINDOWSSoftwareDistributionDownload44b6174a4a693136d02d4a7ecd7cbd54explorer.exe
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
":::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::SOFTWAREMicrosoftWindowsCurrentVersionRun"="::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::SOFTWAREMicrosoftWindowsCurrentVersionRun" [X]
"ctfmon.exe"="E:WINDOWSsystem32ctfmon.exe" [2004-08-19 15360]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
":::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::SOFTWAREMicrosoftWindowsCurrentVersionRun"="::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::SOFTWAREMicrosoftWindowsCurrentVersionRun" [X]
"SoundMAXPnP"="E:Program FilesAnalog DevicesCoresmax4pnp.exe" [2006-12-18 868352]
"NvCplDaemon"="E:WINDOWSsystem32NvCpl.dll" [2007-10-25 8527872]
"WinSys2"="E:WINDOWSsystem32winsys2.exe" [2007-10-30 208896]
"NvMediaCenter"="E:WINDOWSsystem32NvMcTray.dll" [2007-10-25 81920]
"Launch LCDMon"="E:Program FilesLogitechGamePanel SoftwareLCD ManagerLCDMon.exe" [2007-07-18 1687824]
"Launch LGDCore"="E:Program FilesLogitechGamePanel SoftwareG-series SoftwareLGDCore.exe" [2007-07-18 2094352]
"CanonSolutionMenu"="E:Program FilesCanonSolutionMenuCNSLMAIN.exe" [2007-05-14 644696]
"CanonMyPrinter"="E:Program FilesCanonMyPrinterBJMyPrt.exe" [2007-04-03 1603152]
"SSBkgdUpdate"="E:Program FilesFichiers communsScansoft SharedSSBkgdUpdateSSBkgdupdate.exe" [2006-10-25 210472]
"OpwareSE4"="E:Program FilesScanSoftOmniPageSE4OpwareSE4.exe" [2007-02-04 79400]
"VirtualCloneDrive"="E:Program FilesElaborate BytesVirtualCloneDriveVCDDaemon.exe" [2004-08-20 45056]
"nwiz"="nwiz.exe" [2007-10-25 E:WINDOWSsystem32
wiz.exe]

E:Documents and SettingssebMenu D,marrerProgrammesD,marrage
IcoSauve.lnk - E:WINDOWSsystem32IcoSauve.exe [2008-10-06 112128]

[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversionpoliciessystem]
"SynchronousMachineGroupPolicy"= 0 (0x0)
"SynchronousUserGroupPolicy"= 0 (0x0)

[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversionpoliciesexplorer]
"ForceClassicControlPanel"= 1 (0x1)
"NoSimpleStartMenu"= 0 (0x0)

[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionpoliciesexplorer]
"NoStrCmpLogical"= 0 (0x0)
"LockTaskbar"= 0 (0x0)
"NoResolveTrack"= 0 (0x0)
"NoResolveSearch"= 0 (0x0)
"NoSMMyPictures"= 0 (0x0)
"NoStartMenuMFUprogramsList"= 0 (0x0)
"NoUserNameInStartMenu"= 0 (0x0)
"MaxRecentDocs"= 15 (0xf)
"NoInstrumentation"= 0 (0x0)
"MemCheckBoxInRunDlg"= 1 (0x1)
"NoSMBalloonTip"= 0 (0x0)
"DisallowCpl"= 1 (0x1)

[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversionwindows]
"AppInit_DLLs"=emleca.dll

[HKLM~servicessharedaccessparametersfirewallpolicystandardprofile]
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"%windir%\system32\sessmgr.exe"=
"E:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE"=
"C:\logiciels\azureus\Vuze\Azureus.exe"=
"C:\logiciels\emule\emule.exe"=

R1 aswSP;avast! Self Protection;E:WINDOWSsystem32driversaswSP.sys [2008-07-19 78416]
R2 aswFsBlk;aswFsBlk;E:WINDOWSsystem32DRIVERSaswFsBlk.sys [2008-07-19 20560]
R2 IJPLMSVC;PIXMA Extended Survey Program;E:Program FilesCanonIJPLMIJPLMSVC.EXE [2007-04-13 101528]
S3 SetupNTGLM7X;SetupNTGLM7X;G:NTGLM7X.sys [ ]
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-08 22:59:40
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
Heure de fin: 2008-10-08 22:59:56
ComboFix-quarantined-files.txt 2008-10-08 20:59:55
ComboFix2.txt 2008-10-08 20:50:39

Avant-CF: 21 287 038 976 octets libres
Après-CF: 21,276,491,776 octets libres

208 --- E O F --- 2008-10-07 21:10:50

4- sdfix

b]SDFix: Version 1.233 [/b]
Run by seb on 08/10/2008 at 23:19

Microsoft Windows XP [version 5.1.2600]
Running From: E:SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File
Restoring Missing Security Center Service

Rebooting


Checking Files :

Trojan Files Found:

E:Documents and SettingssebApplication DataAdobePlayer.exe.bak - Deleted
E:Documents and SettingssebFavorisMalware Defender.url - Deleted
E:Documents and SettingssebFavorisProtect Your Privacy.url - Deleted
E:Documents and SettingssebFavorisSystem Error Fixer.url - Deleted





Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-08 23:22:01
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetservicessharedaccessparametersfirewallpolicystandardprofileauthorizedapplicationslist]
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"E:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE"="E:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook"
"C:\logiciels\azureus\Vuze\Azureus.exe"="C:\logiciels\azureus\Vuze\Azureus.exe:*:Enabled:Azureus"
"C:\logiciels\emule\emule.exe"="C:\logiciels\emule\emule.exe:*:Enabled:eMule"

[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetservicessharedaccessparametersfirewallpolicydomainprofileauthorizedapplicationslist]
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

Remaining Files :


File Backups: - E:SDFixackupsackups.zip

Files with Hidden Attributes :

Thu 15 Feb 2007 308,832 A..H. --- "E:Program FilesCanonMP Navigator EX 1.0Maint.exe"
Mon 25 Apr 2005 61,440 A..H. --- "E:Program FilesCanonMP Navigator EX 1.0uinstrsc.dll"

Finished!

5-smitfraudix

SmitFraudFix v2.357

Rapport fait à 9:28:47,25, 08/10/2008
Executé à partir de E:Documents and SettingssebBureaulalaSmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

E:WINDOWSSystem32smss.exe
E:WINDOWSsystem32winlogon.exe
E:WINDOWSsystem32services.exe
E:WINDOWSsystem32lsass.exe
E:WINDOWSsystem32svchost.exe
E:WINDOWSSystem32svchost.exe
E:Program FilesAlwil SoftwareAvast4aswUpdSv.exe
E:Program FilesAlwil SoftwareAvast4ashServ.exe
E:WINDOWSsystem32spoolsv.exe
E:WINDOWSExplorer.EXE
E:Program FilesAnalog DevicesCoresmax4pnp.exe
E:Program FilesAnalog DevicesSoundMAXSmax4.exe
E:WINDOWSsystem32RUNDLL32.EXE
E:Program FilesLogitechGamePanel SoftwareLCD ManagerLCDMon.exe
E:Program FilesLogitechGamePanel SoftwareG-series SoftwareLGDCore.exe
E:Program FilesScanSoftOmniPageSE4OpwareSE4.exe
E:Program FilesElaborate BytesVirtualCloneDriveVCDDaemon.exe
E:PROGRA~1ALWILS~1Avast4ashDisp.exe
E:WINDOWSsystem32ctfmon.exe
E:Program FilesLogitechGamePanel SoftwareLCD ManagerAppletsLCDClock.exe
E:Program FilesLogitechGamePanel SoftwareLCD ManagerAppletsLCDCountdown.exe
E:Program FilesLogitechGamePanel SoftwareLCD ManagerAppletsLCDPop3.exe
E:Program FilesLogitechGamePanel SoftwareLCD ManagerAppletsLCDMedia.exe
E:WINDOWSsystem32IcoSauve.exe
E:Program FilesCanonIJPLMIJPLMSVC.EXE
E:WINDOWSsystem32
vsvc32.exe
E:WINDOWSsystem32svchost.exe
E:Program FilesNVIDIA CorporationNetworkAccessManagerin
SvcAppFlt.exe
E:Program FilesNVIDIA CorporationNetworkAccessManagerin
SvcIp.exe
E:Program FilesMozilla Firefoxfirefox.exe
C:logicielsazureusVuzeAzureus.exe
E:Documents and SettingssebBureaulalaSmitfraudFixPolicies.exe
E:WINDOWSsystem32cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» E:


»»»»»»»»»»»»»»»»»»»»»»»» E:WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» E:WINDOWSsystem


»»»»»»»»»»»»»»»»»»»»»»»» E:WINDOWSWeb


»»»»»»»»»»»»»»»»»»»»»»»» E:WINDOWSsystem32

E:WINDOWSsystem321.ico PRESENT !
E:WINDOWSsystem32drivers dssserv.sys détecté, utilisez un scanner de Rootkit

»»»»»»»»»»»»»»»»»»»»»»»» E:Documents and Settingsseb


»»»»»»»»»»»»»»»»»»»»»»»» E:Documents and SettingssebApplication Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» E:DOCUME~1sebFavoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» E:Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerDesktopComponents]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

AntiXPVSTFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]
"Userinit"="E:\WINDOWS\system32\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK



»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLMSYSTEMCS2ServicesTcpip..{16138661-65AD-4DBF-AC89-605ADD0DB788}: DhcpNameServer=212.27.40.240 212.27.40.241
HKLMSYSTEMCS2ServicesTcpipParameters: DhcpNameServer=212.27.40.240 212.27.40.241


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin


bon cette fois j'ai tout fais comme demandé,le pc à l'ir clean,mais avec les virus et malware,clean n'est jamais d'actualité....


Je te remercie encore et si echec,je posterai encore

Bonne soirée et @+

lestat31

[r@in | b0w]

Tu as fait deux erreurs encore.

1_ Tu as lancé Navilog mais tu l'as fait faire une analyse et pas une désinfection (option 2 à utiliser et pas 1).

2_ SmitfraudFix est a lancer en Mode sans échec.

4_ Toujours en Mode sans échec, tu te logges ensuite sur ta session puis tu lances SmitfraudFix.

Tu appuis sur la touche [2] puis [Entrée].
Si tu as une ligne demandant le nettoyage de la base de registre, appuies sur la touche [O] - pour Oui.

Quand l'analyse sera finie, un rapport sera généré.
Tu l'enregistres car il n'est pas sauvegardé par défaut.

Tu en profites ensuite pour relancer l'utilitaire et utiliser l'option 3 puis 5 et tu ne sauvegardes pas les rapports.

Gardes cet ordre dans le nettoyage.

Ensuite, tu fais un scan HiJackThis et tu postes le rapport.