Pb virus - trojans

[kahairw]

Bonjour,
Voilà j'ai un petit soucis qui commence meme a devenir embettant lol.. Je vous explique ma situation, Celà fait 5 jours qu'une amie a moi es venu avec sa clé usb pour que je lui sauvegarde des mp3. Seulement depuis que j'ai intropduit sa clé ds mon pc j'ai un trojan ( win32.konbrok ) un truc comme àa et tout mes dossier on créer des raccourcis que je ne desiré evidemment pas ( par exemple si je vais ds mes documents et bien dedans j'aurais un deuxieme dossier s'apellant Mes documents et quand je clike dessus celà me remet ds le mm dossier comme si je voulais l'exploré enfaite ) et en parallele ds mes processus cela lance des chose comme lssas.exe - services.exe - ping.exe et là mon pc devient fou..
Si quelqu'un avais la solution non seulement pour le trojan mais aussi pour enlevé tout ces raccourcis je suis preneur..

Merci et désolé pour les fautes d'orthographe.

[r@in | b0w]

Bonjour.

Tu suis ce tutorial puis tu nous fais un copier-coller du rapport d'analyse que tu postes dans ton prochain message.

De plus, tu parles de trojan.

Tu télécharges SDFix.

Tu double cliques ensuite sur l'icône SdFix pour le lancer.
Tu ne touches pas aux configurations et cliques uniquement sur Install.

Tu pars ensuite en Mode sans échec ([F8] au démarrage).

Après être sur ta session, tu cliques sur Démarrer puis Exécuter;
Tu tapes (ou copies-colles) C:SDFixRunThis.bat puis tu valides en appuyant sur [Entrée] ou en cliquant sur Ok.

Une fenêtre s'ouvrira, tu appuies sur la touche [Entrée] ou [Y].

Le fix va faire le ménage, tu prends ton mal en patience et attends

Quand tu vois écrit:

Code: Tout sélectionner

The PC will now restart, SDFix will run again after reboot.
 
Press any key to continue...

Tu appuies sur n'importe quelle touche du clavier, ce qui fera redémarrer ta machine.

SDFix se lancera après l'ouverture de ta session pour finir le ménage.

Le Bloc-notes s'ouvrira ensuite avec le rapport, copies-colles celui-ci dans ton prochain message.

[kahairw]

Voilà ds un premier temps le rapport du Hijack... ^^

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:53:31, on 03/11/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!
Boot mode: Normal

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSExplorer.EXE
C:WINDOWSsystem32spoolsv.exe
C:Program FilesWindows LiveMessengermsnmsgr.exe
C:Program FilesFichiers communsAppleMobile Device SupportinAppleMobileDeviceService.exe
C:WINDOWSATKKBService.exe
C:WINDOWSSystem32
vsvc32.exe
C:WINDOWSsystem32PnkBstrA.exe
C:WINDOWSsystem32PSIService.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesSteamSteam.exe
C:Program FilesLogitechSetPointSetPoint.exe
C:Program FilesFichiers communsLogishrdKHAL2KHALMNPR.EXE
C:Program FilesLavasoftAd-Awareaawservice.exe
C:Program FilesWindows Media Playerwmplayer.exe
C:Program FilesMozilla Firefoxfirefox.exe
C:Documents and SettingskahairwBureauSniffle.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://search.conduit.com/?SearchSource ... =CT1105889
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://www.google.fr/
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
R3 - URLSearchHook: LphantBar Toolbar - {6b284373-1765-4464-a587-80fbc2b2eefa} - C:Program FilesLphantBar bLpha.dll
O1 - Hosts: <HTML><HEAD><TITLE>Yahoo!</TITLE>
O1 - Hosts: </HEAD><BODY BGCOLOR=white vlink=blue>
O1 - Hosts: <!-- following code added by server. PLEASE REMOVE -->
O1 - Hosts: <!-- preceding code added by server. PLEASE REMOVE --><center>
O1 - Hosts: <table width=675 cellpadding=0 cellspacing=2 border=0>
O1 - Hosts: <tr>
O1 - Hosts: <td width=1% valign=top><a href="http://www.yahoo.com"><img src=http://us.i1.yimg.com/us.yimg.com/i/yahoo.gif width=147 height=31 border=0 alt="Yahoo"></a></td>
O1 - Hosts: <td align=right><font face=arial size=-1><a href="/404/*http://www.yahoo.com">Yahoo!</a> - <a href="http://help.yahoo.com">Help</a></font><hr size=1 noshade></td>
O1 - Hosts: </tr>
O1 - Hosts: </table>
O1 - Hosts: <br>
O1 - Hosts: <table border=0 width=675 cellspacing=0 cellpadding=3>
O1 - Hosts: <tr>
O1 - Hosts: <td bgcolor=003399 colspan=2>
O1 - Hosts: <font face=Arial size=+1 color=white><b>Sorry, the page you requested was not found.</b></font>
O1 - Hosts: </td>
O1 - Hosts: </tr></table>
O1 - Hosts: <br>
O1 - Hosts: <table border=0 width=675 cellspacing=0 cellpadding=1>
O1 - Hosts: <tr>
O1 - Hosts: <td valign=top width=229 bgcolor=ffffff>
O1 - Hosts: <table width="100%" cellpadding=1 cellspacing=0 border=0 bgcolor=dcdcdc><tr>
O1 - Hosts: <td valign=top align=center><table width="100%" cellpadding=3 cellspacing=0 border=0 bgcolor=ffffff>
O1 - Hosts: <tr bgcolor=dcdcdc><td><font face=arial><b>Search Yahoo!</b></font></td></tr>
O1 - Hosts: <tr bgcolor=white><td valign=top align=center>
O1 - Hosts: <form action="http://search.yahoo.com/search">
O1 - Hosts: <input size="14" name="p" value="">&nbsp;
O1 - Hosts: <input type="SUBMIT" value="Search">
O1 - Hosts: <font face=arial size=-2>•&nbsp;<a href="http://search.yahoo.com/search/options?p=">advanced search</a> •&nbsp;<a href="http://buzz.yahoo.com">most popular</a></font>
O1 - Hosts: </form></td></tr></table>
O1 - Hosts: <table width=100% border=0 cellspacing=0 cellpadding=3 bgcolor=ffffff>
O1 - Hosts: <tr bgcolor=ccccff><td>
O1 - Hosts: <FONT face=arial size=+1>Yahoo! Web Hosting</font>
O1 - Hosts: </td></tr>
O1 - Hosts: <tr><td>
O1 - Hosts: <a href=http://webhosting.yahoo.com/ps/wh/prod/><img align=left src=http://us.i1.yimg.com/us.yimg.com/i/us/wh/gr/j_advan48.gif width=48 height=48 border=0 alt="Yahoo! Web Hosting"></a>
O1 - Hosts: <font face=arial size=-1>Yahoo! Web Hosting has <a href="http://webhosting.yahoo.com/ps/wh/prod/">three affordable plans</a> to meet your needs - starting at just $11.95.
O1 - Hosts: </td></tr>
O1 - Hosts: <tr><td align=right>
O1 - Hosts: <b><font face=arial size=-1><a href=http://webhosting.yahoo.com/ps/wh/prod/>Learn more...</a></font></b>
O1 - Hosts: </td></tr>
O1 - Hosts: </table>
O1 - Hosts: </td></tr></table>
O1 - Hosts: </td>
O1 - Hosts: <td width=1>&nbsp;</td>
O1 - Hosts: <td valign=top align=center width=445>
O1 - Hosts: <script language="JavaScript" type="text/javascript"
O1 - Hosts: src="http://adserver.yahoo.com/a?f=76001284&p=geocities&l=MON&c=sr">
O1 - Hosts: </script>
O1 - Hosts: <noscript>
O1 - Hosts: <iframe
O1 - Hosts: src="http://adserver.yahoo.com/a?f=76001284&p=geocities&l=MON&c=sh&bg=ffffff"
O1 - Hosts: width=470 height=580 marginwidth=0 marginheight=0 hspace=0
O1 - Hosts: vspace=0 frameborder=0 scrolling=no>
O1 - Hosts: </iframe>
O1 - Hosts: </noscript>
O1 - Hosts: </td>
O1 - Hosts: </tr>
O1 - Hosts: </table>
O1 - Hosts: <br>
O1 - Hosts: <table cellpadding=0 cellspacing=0 border=0 width=675><tr><td bgcolor=a0b8c8>
O1 - Hosts: <table cellpadding=1 cellspacing=1 border=0 width="100%">
O1 - Hosts: <tr valign=top bgcolor=ffffff><td align=center>
O1 - Hosts: <font face=arial size=-2><A
O1 - Hosts: href="http://rd.yahoo.com/footer/?http://address.yahoo.com/">Address Book</A> · <A
O1 - Hosts: href="http://rd.yahoo.com/footer/?http://alerts.yahoo.com/">Alerts</A> · <A
O1 - Hosts: href="http://rd.yahoo.com/footer/?http://auctions.yahoo.com/">Auctions</A> · <A
O1 - Hosts: href="http://rd.yahoo.com/footer/?http://billpay.yahoo.com/">Bill Pay</A> · <A
O1 - Hosts: href="http://rd.yahoo.com/footer/?http://bookmarks.yahoo.com/">Bookmarks</A> · <A
O1 - Hosts: href="http://rd.yahoo.com/footer/?http://briefcase.yahoo.com/">Briefcase</A> · <A
O1 - Hosts: href="http://rd.yahoo.com/footer/?http://broadcast.yahoo.com/">Broadcast</A> · <A
O1 - Hosts: href="http://rd.yahoo.com/footer/?http://calendar.yahoo.com/">Calendar</A> · <A
O1 - Hosts: href="http://rd.yahoo.com/footer/?http://chat.yahoo.com/">Chat</A> · <A
O1 - Hosts: href="http://rd.yahoo.com/footer/?http://classifieds.yahoo.com/">Classifieds</A> · <A
O1 - Hosts: href="http://rd.yahoo.com/footer/?http://clubs.yahoo.com/">Clubs</A> · <A
O1 - Hosts: href="http://rd.yahoo.com/footer/?http://companion.yahoo.com/">Companion</A> · <A
O1 - Hosts: href="http://rd.yahoo.com/footer/?http://experts.yahoo.com/">Experts</A> · <A
O1 - Hosts: href="http://rd.yahoo.com/footer/?http://games.yahoo.com/">Games</A> · <A
O1 - Hosts: href="http://rd.yahoo.com/footer/?http://greetings.yahoo.com/">Greetings</A> · <A
O1 - Hosts: href="http://rd.yahoo.com/footer/?http://geocities.yahoo.com/">Home Pages</A> · <A
O1 - Hosts: href="http://rd.yahoo.com/footer/?http://invites.yahoo.com/">Invites</A> · <A
O1 - Hosts: href="http://rd.yahoo.com/footer/?http://mail.yahoo.com/">Mail</A> · <A
O1 - Hosts: href="http://rd.yahoo.com/footer/?http://maps.yahoo.com/">Maps</A> · <A
O1 - Hosts: href="http://rd.yahoo.com/footer/?http://members.yahoo.com/">Member Directory</A> · <A
O1 - Hosts: href="http://rd.yahoo.com/footer/?http://messenger.yahoo.com/">Messenger</A> · <A
O1 - Hosts: href="http://rd.yahoo.com/footer/?http://my.yahoo.com/">My Yahoo!</A> · <A
O1 - Hosts: href="http://rd.yahoo.com/footer/?http://news.yahoo.com/">News</A> · <A
O1 - Hosts: href="http://rd.yahoo.com/footer/?http://paydirect.yahoo.com/">PayDirect</A> · <A
O1 - Hosts: href="http://rd.yahoo.com/footer/?http://people.yahoo.com/">People Search</A> · <A
O1 - Hosts: href="http://rd.yahoo.com/footer/?http://personals.yahoo.com/">Personals</A> · <A
O1 - Hosts: href="http://rd.yahoo.com/footer/?http://photos.yahoo.com/">Photos</A> · <A
O1 - Hosts: href="http://rd.yahoo.com/footer/?http://shopping.yahoo.com/">Shopping</A> · <A
O1 - Hosts: href="http://rd.yahoo.com/footer/?http://sports.yahoo.com/">Sports</A> · <A
O1 - Hosts: href="http://rd.yahoo.com/footer/?http://finance.yahoo.com/">Stock Quotes</A> · <A
O1 - Hosts: href="http://rd.yahoo.com/footer/?http://tv.yahoo.com/">TV</A> · <A
O1 - Hosts: href="http://rd.yahoo.com/footer/?http://travel.yahoo.com/">Travel</A> · <A
O1 - Hosts: href="http://rd.yahoo.com/footer/?http://weather.yahoo.com/">Weather</A> · <A
O1 - Hosts: href="http://rd.yahoo.com/footer/?http://www.yahooligans.com/">Yahooligans</A> · <A
O1 - Hosts: href="http://rd.yahoo.com/footer/?http://yp.yahoo.com/">Yellow Pages</A> · <A
O1 - Hosts: href="http://rd.yahoo.com/footer/?http://docs.yahoo.com/docs/family/more.html">more...</A>
O1 - Hosts: </font></td></tr></table></td></tr></table>
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:PROGRA~1SPYBOT~1SDHelper.dll
O2 - BHO: LphantBar Toolbar - {6b284373-1765-4464-a587-80fbc2b2eefa} - C:Program FilesLphantBar bLpha.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:Program FilesFichiers communsMicrosoft SharedWindows LiveWindowsLiveLogin.dll
O3 - Toolbar: LphantBar Toolbar - {6b284373-1765-4464-a587-80fbc2b2eefa} - C:Program FilesLphantBar bLpha.dll
O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSsystem32NvCpl.dll,NvStartup
O4 - HKCU..Run: [msnmsgr] "C:Program FilesWindows LiveMessengermsnmsgr.exe" /background
O4 - HKUSS-1-5-19..Run: [CTFMON.EXE] C:WINDOWSSystem32CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUSS-1-5-20..Run: [CTFMON.EXE] C:WINDOWSSystem32CTFMON.EXE (User 'SERVICE RESEAU')
O4 - HKUSS-1-5-18..Run: [CTFMON.EXE] C:WINDOWSSystem32CTFMON.EXE (User 'SYSTEM')
O4 - HKUS.DEFAULT..Run: [CTFMON.EXE] C:WINDOWSSystem32CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:PROGRA~1SPYBOT~1SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:PROGRA~1SPYBOT~1SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windows ... 3395243359
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://www.triforce.fr/plugin/DivXBrowserPlugin.cab
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:Program FilesLavasoftAd-Awareaawservice.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:Program FilesFichiers communsAppleMobile Device SupportinAppleMobileDeviceService.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:WINDOWSATKKBService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:Program FilesFichiers communsInstallShieldDriver11Intel 32IDriverT.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:Program FilesFichiers communsLogishrdBluetoothLBTServ.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:WINDOWSSystem32
vsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:WINDOWSsystem32PnkBstrA.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:WINDOWSsystem32PSIService.exe

--
End of file - 11946 bytes

[kahairw]

Et voici le rapport du SDFix


SDFix: Version 1.239
Run by kahairw on 03/11/2008 at 19:06

Microsoft Windows XP [version 5.1.2600]
Running From: C:SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

No Trojan Files Found






Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-03 19:09:23
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetservicessharedaccessparametersfirewallpolicystandardprofileauthorizedapplicationslist]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Program Files\Windows Live\Messenger\livecall.exe"="C:\Program Files\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\Program Files\Steam\SteamApps\krysounet\counter-strike\hl.exe"="C:\Program Files\Steam\SteamApps\krysounet\counter-strike\hl.exe:*:Enabled:Half-Life Launcher"
"C:\Program Files\Amphibizorus\mirc.exe"="C:\Program Files\Amphibizorus\mirc.exe:*:Enabled:mIRC"
"C:\Program Files\Steam\SteamApps\common\call of duty 4\iw3mp.exe"="C:\Program Files\Steam\SteamApps\common\call of duty 4\iw3mp.exe:*:Enabled:iw3mp"
"C:\Program Files\Steam\Steam.exe"="C:\Program Files\Steam\Steam.exe:*:Enabled:Steam"
"C:\Documents and Settings\kahairw\Bureau\WAR Europe Downloader.exe"="C:\Documents and Settings\kahairw\Bureau\WAR Europe Downloader.exe:*:Enabled:Warhammer Downloader"
"C:\Program Files\Electronic Arts\EADM\Core.exe"="C:\Program Files\Electronic Arts\EADM\Core.exe:*:Enabled:EA Download Manager"
"C:\Program Files\Lphant\eLePhantClient.exe"="C:\Program Files\Lphant\eLePhantClient.exe:*:Enabled:Lphant"

[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetservicessharedaccessparametersfirewallpolicydomainprofileauthorizedapplicationslist]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Program Files\Windows Live\Messenger\livecall.exe"="C:\Program Files\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

Remaining Files :



Files with Hidden Attributes :

Thu 30 Oct 2008 88 ..SHR --- "C:WINDOWSsystem32A07CBF2059.sys"
Thu 30 Oct 2008 2,516 A.SH. --- "C:WINDOWSsystem32KGyGaAvL.sys"

Finished!







Voilà j'ai fait comme vous l'aviez demandé hihi

[r@in | b0w]

Ok.

SDFix n'a rien trouvé.

Pour HiJackThis, tu supprimes les lignes:

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://search.conduit.com/?SearchSource ... =CT1105889
O4 - HKCU..Run: [msnmsgr] "C:Program FilesWindows LiveMessengermsnmsgr.exe" /background

Fais un nouveau scan HiJackThis et postes le rapport telquel en copier-coller, ces lignes:

O1 - Hosts: <tr bgcolor=dcdcdc><td><font face=arial><b>Search Yahoo!</b></font></td></tr>
O1 - Hosts: <tr bgcolor=white><td valign=top align=center>
O1 - Hosts: <form action="http://search.yahoo.com/search">
O1 - Hosts: <input size="14" name="p" value="">&nbsp;
O1 - Hosts: <input type="SUBMIT" value="Search">

son du codage html et n'ont rien à faire dans ton log HiJackThis.

Ensuite, tu télécharges ComboFix.

Avant de le lancer, il va falloir installer la console de récupération Windows, non installée par défaut.
L'installation de cette console permettra de démarrer un mode spécial en cas de problèmes divers suite à la désinfection.

_ Si tu es sous Xp et que tu as un CD de Windows original:

Tu insères le CD d'installation dans le lecteur.

Tu cliques ensuite sur Démarrer puis Exécuter et tu copies-colles la ligne suivante:

Code: Tout sélectionner

d:i386winnt32.exe /cmdcons

La lettre d: indique l'emplacement par défaut du lecteur de CD. Si ce n'est pas le cas, tu modifies cette lettre en conséquence.

L'installation de la console de récupération Windows va commencer.

Tu cliques sur Ok.

_ Pour les ordinateurs OEM fournis, il est possible que le fichier winnt32.exe soit présent sur le disque dur dans un dossier nommé i386 dans le dossier Windows ou tout simplement à la racine de la partition principale.

Il faudra alors taper comme commande c:i386winnt32.exe /cmdcons ou c:Windowsi386winnt32.exe /cmdcons en mettant dans cette commande le chemin d'accès au fichier winnt32.exe.

Une fenêtre Installation de Windows s'ouvrira, tu cliques sur Oui.
Tu confirmes ensuite l'installation de la console de récupération.

Si une erreur de mise à jour survient, tu coches la ligne Ignorer cette étape et continuer l'installation de Windows puis tu cliques sur Suivant.

L'installation se fera ensuite jusqu'à ce qu'une fenêtre de confirmation indique que la console de récupération Windows est installée de manière effective.

_ Si tu es sous Xp et que tu n'as pas le CD de Windows original:

Tu vas sur http://support.microsoft.com/kb/310994 et tu descends jusqu'à la ligne Téléchargement du fichier programme des disquettes d'installation.

Tu sélectionnes le lien correspondant à ta version de Windows puis, dans la fenêtre de téléchargement, tu cliques sur Télécharger et tu enregistres le fichier sur le Bureau.
Si le Service Pack 3 est installé sur ta machine, tu sélectionnes le lien correspondant à ta version de Windows sous environnement Service Pack 2 (SP2) Windows XP.
Si tu utilises Windows Xp Media Center, tu sélectionnes le téléchargement Service Pack 2 Windows XP Professionnel.

Pour savoir quelle version de Windows & quel Service Pack est installé, il suffit de cliquer sur Démarrer puis Panneau de configuration.

Tu cliques ensuite sur Système et tu pourras lire dans la fenêtre Propriétés du système, dans le cadre Système, la version de Windows & le Service Pack installés.

Le fichier téléchargé sur le Bureau, tu exécutes un glisser/déposer comme ceci:



Le glisser/déposer va lancer ComboFix qui va installer la console de récupération Windows.

A la fin de l'installation, ComboFix signalera que la console de récupération est installée et demandera si tu veux effectuer une analyse.
Cliques sur Non/No car le paramétrage n'est pas encore achevé.

Avant de lancer ComboFix, tu dois désactiver ta connexion Internet, ton antivirus, ton anti-spyware & ton pare-feu car ils peuvent bloquer l'exécution de l'utilitaire (faux-positifs).
Tu les réactiveras après l'utilisation de ComboFix.
Tu fermes toutes les fenêtres ouverte.

Tu connectes tous tes périphériques en USB (ceux vérolés & les autres).
Si tu n'as pas assez de ports USB, tu renouvelles l'analyse de ComboFix.

Tu lances ensuite l'utilitaire en double cliquant dessus, tu confirmes l'ouverture en cliquant sur Exécuter.

A la fenêtre Disclaimer, tu tapes sur [1].

L'analyse se lancera par la suite avec création d'un point de restauration et sauvegarde des fichiers Windows.
Patientes, ComboFix nettoie en 41 étapes.

Tu ne t'inquiètes pas, il se charge de tout.
Laisse-le faire et suis bien les instructions à l'écran, il est possible qu'il te demande de redémarrer.

Pendant son nettoyage, le Bureau peut disparaître à plusieurs reprises. Tout redeviendra normal par la suite.

Surtout, tant que tu n'as pas un message de ComboFix t'informant que le ménage est terminé, tu ne fais rien de plus que ce que l'utilitaire t'indique, c'est important car il peut être long mais travaille efficacement.

Quand tout sera fini, tu liras:

Code: Tout sélectionner

Almost done... This window will close in a short while
Please wait a few seconds for the report log to pop up
 
ComboFix's log shall be located at C:ComboFix.txt

Normalement, le rapport s'ouvrira dans le Bloc-notes, tu nous copies-colles l'intégralité du fichier.
Si le Bloc-notes ne s'ouvre pas, tu iras chercher le rapport ici: C:ComboFix.txt et tu nous le colles dans ton prochain message.

[kahairw]

Re,
Je n'ai pas trouvé la ligne msngr etc.. par contre quand je refait un scan le log est bcp plus petit..


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:56:58, on 03/11/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!
Boot mode: Normal

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSExplorer.EXE
C:Program FilesLavasoftAd-Awareaawservice.exe
C:WINDOWSsystem32spoolsv.exe
C:Program FilesFichiers communsAppleMobile Device SupportinAppleMobileDeviceService.exe
C:WINDOWSATKKBService.exe
C:WINDOWSSystem32
vsvc32.exe
C:WINDOWSsystem32PnkBstrA.exe
C:WINDOWSsystem32PSIService.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32wscntfy.exe
C:Program FilesWindows LiveMessengermsnmsgr.exe
C:Program FilesMozilla Firefoxfirefox.exe
C:Program FilesWindows Media Playerwmplayer.exe
C:Documents and SettingskahairwMes documentsSetupSniffle.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page =
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://www.google.fr/
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
R3 - URLSearchHook: LphantBar Toolbar - {6b284373-1765-4464-a587-80fbc2b2eefa} - C:Program FilesLphantBar bLpha.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:PROGRA~1SPYBOT~1SDHelper.dll
O2 - BHO: LphantBar Toolbar - {6b284373-1765-4464-a587-80fbc2b2eefa} - C:Program FilesLphantBar bLpha.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:Program FilesFichiers communsMicrosoft SharedWindows LiveWindowsLiveLogin.dll
O3 - Toolbar: LphantBar Toolbar - {6b284373-1765-4464-a587-80fbc2b2eefa} - C:Program FilesLphantBar bLpha.dll
O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSsystem32NvCpl.dll,NvStartup
O4 - HKCU..Run: [msnmsgr] "C:Program FilesWindows LiveMessengermsnmsgr.exe" /background
O4 - HKUSS-1-5-19..Run: [CTFMON.EXE] C:WINDOWSSystem32CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUSS-1-5-20..Run: [CTFMON.EXE] C:WINDOWSSystem32CTFMON.EXE (User 'SERVICE RESEAU')
O4 - HKUSS-1-5-18..Run: [CTFMON.EXE] C:WINDOWSSystem32CTFMON.EXE (User 'SYSTEM')
O4 - HKUS.DEFAULT..Run: [CTFMON.EXE] C:WINDOWSSystem32CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:PROGRA~1SPYBOT~1SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:PROGRA~1SPYBOT~1SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windows ... 3395243359
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://www.triforce.fr/plugin/DivXBrowserPlugin.cab
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:Program FilesLavasoftAd-Awareaawservice.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:Program FilesFichiers communsAppleMobile Device SupportinAppleMobileDeviceService.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:WINDOWSATKKBService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:Program FilesFichiers communsInstallShieldDriver11Intel 32IDriverT.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:Program FilesFichiers communsLogishrdBluetoothLBTServ.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:WINDOWSSystem32
vsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:WINDOWSsystem32PnkBstrA.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:WINDOWSsystem32PSIService.exe

--
End of file - 4516 bytes

[kahairw]

Et voilà le rapport de combofix :

ComboFix 08-11-02.05 - kahairw 2008-11-03 20:35:02.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1620 [GMT 1:00]
Lancé depuis: c:documents and settingskahairwBureauComboFix.exe
.

((((((((((((((((((((((((((((( Fichiers créés du 2008-10-03 au 2008-11-03 ))))))))))))))))))))))))))))))))))))
.

2008-11-03 19:05 . 2008-11-03 19:05 <REP> d-------- c:windowsERUNT
2008-11-03 19:03 . 2008-11-03 19:10 <REP> d-------- C:SDFix
2008-11-03 17:10 . 2008-11-03 17:10 <REP> d-------- c:program filesLavasoft
2008-11-03 17:10 . 2008-11-03 17:10 <REP> d-------- c:program filesFichiers communsWise Installation Wizard
2008-11-03 17:10 . 2008-11-03 17:10 <REP> d-------- c:documents and settingsAll UsersApplication DataLavasoft
2008-11-03 13:54 . 2008-11-03 13:54 <REP> d-------- C:Kaspersky
2008-11-03 13:52 . 2008-11-03 13:52 <REP> d-------- c:program filesMalwarebytes' Anti-Malware
2008-11-03 13:52 . 2008-11-03 13:52 <REP> d-------- c:documents and settingskahairwApplication DataMalwarebytes
2008-11-03 13:52 . 2008-11-03 13:52 <REP> d-------- c:documents and settingsAll UsersApplication DataMalwarebytes
2008-11-03 13:52 . 2008-10-22 16:10 38,496 --a------ c:windowssystem32driversmbamswissarmy.sys
2008-11-03 13:52 . 2008-10-22 16:10 15,504 --a------ c:windowssystem32driversmbam.sys
2008-11-03 13:49 . 2008-11-03 13:49 <REP> d-------- c:program filesFichiers communsBitDefender
2008-11-03 13:49 . 2008-11-03 13:49 <REP> d-------- c:program filesBitDefender
2008-11-02 17:03 . 2008-11-02 17:03 <REP> d-------- c:program filesMSXML 4.0
2008-11-01 15:51 . 2008-11-01 15:51 <REP> d-------- c:documents and settingskahairwApplication DataSony
2008-11-01 15:47 . 2008-11-01 15:47 <REP> d-------- c:program filesSony Setup
2008-11-01 15:42 . 2008-11-01 15:42 <REP> d-------- c:documents and settingskahairwApplication DataPropellerhead Software
2008-11-01 15:42 . 2008-11-01 15:42 <REP> d-------- c:documents and settingsAll UsersApplication DataPropellerhead Software
2008-11-01 15:42 . 2008-11-01 15:42 368,640 --a------ c:windowssystem32ReWire.dll
2008-11-01 15:42 . 2008-11-01 15:42 233,472 --a------ c:windowssystem32REX Shared Library.dll
2008-11-01 14:03 . 2008-11-01 14:03 257 --a------ c:windowswininit.ini
2008-10-30 14:03 . 2008-10-30 14:13 <REP> d-------- c:documents and settingskahairwApplication DataCorel
2008-10-30 14:03 . 2008-10-30 14:03 <REP> d-------- c:documents and settingsAll UsersApplication DataCorel
2008-10-30 14:02 . 2008-10-30 14:03 <REP> d-------- c:program filesFichiers communsCorel
2008-10-30 14:01 . 2008-10-30 14:39 2,516 --ahs---- c:windowssystem32KGyGaAvL.sys
2008-10-30 14:01 . 2008-10-30 14:03 88 -r-hs---- c:windowssystem32A07CBF2059.sys
2008-10-30 14:00 . 2008-10-30 14:02 <REP> d-------- c:program filesCorel
2008-10-23 11:01 . 2008-10-23 11:01 <REP> d-------- c:documents and settingsAll UsersApplication DataInstallShield
2008-10-23 10:58 . 2008-10-23 10:58 <REP> d-------- c:program filesgPotato.eu
2008-10-23 10:58 . 2005-08-11 14:29 73,728 --a------ c:windowssystem32ISUSPM.cpl
2008-10-21 10:24 . 2008-10-23 12:13 <REP> d-------- C:Warhammer Online - Age of Reckoning
2008-10-21 07:23 . 2008-10-21 07:23 <REP> d-------- C:ProgramData
2008-10-21 07:23 . 2008-10-21 07:23 <REP> d-------- c:program filesElectronic Arts
2008-10-17 13:12 . 2008-10-17 13:12 <REP> d-------- c:documents and settingsAll UsersApplication DataLogiShrd
2008-10-17 13:11 . 2008-10-17 13:11 <REP> d-------- c:documents and settingskahairwApplication DataLogitech
2008-10-17 13:11 . 2008-10-17 13:11 0 --ah----- c:windowssystem32driversMsftWdf_Kernel_01005_Coinstaller_Critical.Wdf
2008-10-17 13:11 . 2008-10-17 13:11 0 --ah----- c:windowssystem32driversMsft_Kernel_LUsbFilt_01005.Wdf
2008-10-17 13:11 . 2008-10-17 13:11 0 --ah----- c:windowssystem32driversMsft_Kernel_LMouFilt_01005.Wdf
2008-10-17 13:10 . 2008-10-17 13:10 <REP> d-------- c:program filesLogitech
2008-10-17 13:10 . 2008-10-17 13:10 <REP> d-------- c:program filesFichiers communsLogishrd
2008-10-17 13:10 . 2008-10-17 13:10 <REP> d-------- c:documents and settingsAll UsersApplication DataLogitech
2008-10-17 13:10 . 2008-05-02 01:38 301,656 --a------ c:windowssystem32BtCoreIf.dll
2008-10-17 13:10 . 2008-05-02 01:39 170,512 --a------ c:windowssystem32kemutb.dll
2008-10-17 13:10 . 2008-05-02 01:39 145,936 --a------ c:windowssystem32KemUtil.dll
2008-10-17 13:10 . 2008-05-02 01:40 117,264 --a------ c:windowssystem32KemWnd.dll
2008-10-17 13:10 . 2008-05-02 01:40 84,496 --a------ c:windowssystem32KemXML.dll
2008-10-17 11:13 . 2008-10-17 11:13 63 --a------ c:windowsyesmessenger.ini
2008-10-12 16:06 . 2006-08-21 10:14 128,896 -----c--- c:windowssystem32dllcachefltmgr.sys
2008-10-12 16:06 . 2006-08-21 10:14 23,040 -----c--- c:windowssystem32dllcachefltmc.exe
2008-10-12 16:06 . 2006-08-21 13:26 16,896 -----c--- c:windowssystem32dllcachefltlib.dll
2008-10-12 11:46 . 2007-07-09 14:11 584,192 -----c--- c:windowssystem32dllcache pcrt4.dll
2008-10-12 11:31 . 2008-10-23 12:09 183,120 --a------ c:windowssystem32PnkBstrB.exe
2008-10-12 11:31 . 2008-10-23 12:09 137,480 --a------ c:windowssystem32driversPnkBstrK.sys
2008-10-12 11:30 . 2008-11-03 19:08 <REP> d-------- c:windowssystem32LogFiles
2008-10-12 11:30 . 2008-10-12 11:30 66,872 --a------ c:windowssystem32PnkBstrA.exe
2008-10-10 21:08 . 2008-10-10 21:11 <REP> d-------- c:program filesFichiers communsApple
2008-10-10 21:08 . 2008-10-10 21:08 <REP> d-------- c:program filesApple Software Update
2008-10-10 21:08 . 2008-10-10 21:08 <REP> d-------- c:documents and settingsAll UsersApplication DataApple
2008-10-10 16:17 . 2008-10-10 16:17 <REP> d-------- c:program filesFichiers communssnp325
2008-10-10 16:17 . 2007-01-19 15:38 10,241,280 --a------ c:windowssystem32driverssnp325.sys
2008-10-10 16:17 . 2006-10-10 13:11 827,392 --a------ c:windowsvsnp325.exe
2008-10-10 16:17 . 2006-10-10 14:49 270,336 --a------ c:windows snp325.exe
2008-10-10 16:17 . 2006-04-12 11:11 147,456 --a------ c:windowssystem32 snp325.dll
2008-10-10 16:17 . 2006-08-28 10:53 57,344 --a------ c:windowssystem32vsnp325.dll
2008-10-10 16:17 . 2005-11-23 12:55 53,248 --a------ c:windowssystem32csnp325.dll
2008-10-10 16:17 . 2006-10-09 16:32 20,480 --a------ c:windowsCameraFixer.exe
2008-10-10 16:17 . 2004-02-27 16:36 15,498 --a------ c:windowssnp325.ini
2008-10-10 16:17 . 2004-02-27 16:36 13,023 --a------ c:windowssnp325.src
2008-10-09 15:55 . 2008-10-27 12:30 <REP> d-------- c:program filesSpybot - Search & Destroy
2008-10-09 15:55 . 2008-11-03 15:56 <REP> d-------- c:documents and settingsAll UsersApplication DataSpybot - Search & Destroy
2008-10-09 11:18 . 2008-10-24 16:44 <REP> d-------- c:program filesAmphibizorus
2008-10-09 10:50 . 2008-10-09 10:50 <REP> d-------- c:program filesLphantBar
2008-10-09 10:50 . 2008-10-09 10:50 <REP> d-------- c:program filesConduit
2008-10-09 10:45 . 2008-10-09 10:50 <REP> d-------- c:program filesLphant
2008-10-08 20:11 . 2008-10-24 16:56 <REP> d-------- c:documents and settingskahairwApplication Data eamspeak2
2008-10-08 19:58 . 2008-10-08 19:58 <REP> d-------- c:documents and settingsAll UsersApplication Data
View_Profiles
2008-10-08 19:51 . 2008-10-08 19:51 <REP> d-------- c:documents and settingskahairwApplication DataVentrilo
2008-10-08 17:53 . 2008-10-08 17:53 0 --a------ c:windows
sreg.dat
2008-10-08 17:38 . 2008-10-08 18:00 <REP> d-------- c:windowssystem32CatRoot_bak
2008-10-08 17:37 . 2008-04-11 19:51 683,520 -----c--- c:windowssystem32dllcacheinetcomm.dll
2008-10-08 17:37 . 2008-05-01 15:31 331,776 -----c--- c:windowssystem32dllcachemsadce.dll
2008-10-08 17:37 . 2008-06-14 18:59 272,768 -----c--- c:windowssystem32dllcachethport.sys
2008-10-08 17:34 . 2008-07-18 21:07 270,880 --a------ c:windowssystem32mucltui.dll
2008-10-08 17:34 . 2008-07-18 21:07 210,976 --a------ c:windowssystem32muweb.dll
2008-10-08 17:34 . 2008-07-18 21:07 29,728 --a------ c:windowssystem32mucltui.dll.mui
2008-10-07 19:37 . 2008-10-22 21:27 <REP> d-------- c:program filesDivX
2008-10-07 18:42 . 2008-10-07 18:42 <REP> d-------- c:windowsPixArt
2008-10-07 18:40 . 2008-10-07 18:40 <REP> d-------- c:program filesWebcam 1200
2008-10-07 18:40 . 2008-10-07 18:40 <REP> d-------- c:documents and settingskahairwApplication DataInstallShield
2008-10-07 18:40 . 2007-06-29 15:32 611,584 --a------ c:windowssystem32driversPFC027.SYS
2008-10-07 18:40 . 2007-05-17 14:50 129,024 --a------ c:windowssystem32SP207.AX
2008-10-07 18:40 . 2006-11-20 08:04 6,656 --a------ c:windowssystem32CoInst_070629.dll
2008-10-07 18:40 . 2007-06-29 10:07 566 --a------ c:windowssystem32SP207.INI
2008-10-07 18:38 . 2006-07-03 09:31 94,208 --a------ c:windowsamcap.exe
2008-10-07 18:01 . 2008-11-03 16:59 <REP> d-------- c:program filesSteam
2008-10-07 17:24 . 2008-10-31 19:52 <REP> d-------- c:documents and settingsAll UsersApplication DataMessenger Plus!
2008-10-07 17:16 . 2008-10-07 17:22 <REP> d-------- c:program filesYahoo!
2008-10-07 17:16 . 2008-10-07 17:16 <REP> d-------- c:program filesVideoLAN
2008-10-07 17:16 . 2008-10-07 17:16 <REP> d-------- c:program filesCCleaner
2008-10-07 17:16 . 2008-10-07 17:16 <REP> d-------- c:documents and settingskahairwApplication Datavlc
2008-10-07 17:15 . 2008-10-07 17:15 <REP> d-------- c:program filesXvid
2008-10-07 17:15 . 2008-10-07 17:15 <REP> d-------- c:program filesK-Lite Codec Pack
2008-10-07 17:11 . 2008-10-07 17:11 <REP> d-------- c:program filesMessenger Plus! Live
2008-10-07 17:11 . 2008-10-07 17:11 <REP> d-------- c:program filesGpljoy
2008-10-07 17:11 . 2008-10-07 17:11 <REP> d-------- c:program filesCircle Developement
2008-10-07 17:11 . 2008-10-07 17:12 <REP> d-------- c:documents and settingskahairwApplication DataGpljoy
2008-10-07 17:11 . 2008-10-07 17:11 <REP> d-------- c:documents and settingsAll UsersApplication Data2 tray tick inside
2008-10-07 17:10 . 2008-10-30 18:43 <REP> d-------- c:documents and settingskahairwContacts
2008-10-07 17:09 . 2008-10-07 17:09 <REP> d----c--- c:windowssystem32DRVSTORE
2008-10-07 17:08 . 2008-10-07 17:09 <REP> d-------- c:program filesWindows Live
2008-10-07 17:08 . 2008-10-07 17:09 <REP> d--hsc--- c:program filesFichiers communsWindowsLiveInstaller
2008-10-07 17:08 . 2008-10-07 17:08 <REP> d-------- c:documents and settingsAll UsersApplication DataWLInstaller
2008-10-07 17:02 . 2008-10-17 10:09 <REP> d--h----- c:windows$hf_mig$
2008-10-07 17:01 . 2008-07-18 21:10 45,768 --a------ c:windowssystem32wups2.dll
2008-10-07 17:01 . 2008-07-18 21:10 38,088 --a------ c:windowssystem32wucltui.dll.mui
2008-10-07 17:01 . 2008-07-18 21:09 29,896 --a------ c:windowssystem32wuaucpl.cpl.mui
2008-10-07 17:01 . 2008-07-18 21:09 29,896 --a------ c:windowssystem32wuapi.dll.mui
2008-10-07 17:01 . 2008-07-18 21:09 22,216 --a------ c:windowssystem32wuaueng.dll.mui
2008-10-07 16:56 . 2008-10-07 16:56 <REP> d-------- c:documents and settingsLocalServiceMenu Démarrer
2008-10-07 16:51 . 2008-10-07 16:51 <REP> d-------- c:windowsServicePackFiles
2008-10-07 16:51 . 2004-08-19 15:09 77,312 --a------ c:windowssystem32usbui.dll
2008-10-07 16:51 . 2004-08-19 14:54 58,496 --a------ c:windowssystem32drivers edbook.sys
2008-10-07 16:51 . 2001-08-17 21:46 6,400 --a------ c:windowssystem32driversenum1394.sys
2008-10-07 16:49 . 2006-10-08 20:51 23,856 --a------ c:windowssystem32spupdsvc.exe
2008-10-07 16:49 . 2004-07-17 10:40 19,528 --a------ c:windows002325_.tmp

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-07 14:57 --------- d-----w c:program filesmicrosoft frontpage
2008-10-07 14:56 558,142 ----a-w c:windowsjavaPackagesHBVD3FVX.ZIP
2008-10-07 14:56 155,995 ----a-w c:windowsjavaPackagesLRV3RPFH.ZIP
2008-10-07 14:54 --------- d-----w c:program filesServices en ligne
2008-09-19 21:55 200,704 ----a-w c:windowssystem32ssldivx.dll
2008-09-19 21:55 1,044,480 ----a-w c:windowssystem32libdivx.dll
2008-09-15 15:39 1,846,144 ----a-w c:windowssystem32win32k.sys
2008-08-14 13:44 2,182,400 ----a-w c:windowssystem32
toskrnl.exe
2008-08-14 13:44 2,059,776 ----a-w c:windowssystem32
tkrnlpa.exe
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerURLSearchHooks]
"{6b284373-1765-4464-a587-80fbc2b2eefa}"= "c:program filesLphantBar bLpha.dll" [2008-03-13 1524248]

[HKEY_CLASSES_ROOTclsid{6b284373-1765-4464-a587-80fbc2b2eefa}]

[HKEY_LOCAL_MACHINE~Browser Helper Objects{6b284373-1765-4464-a587-80fbc2b2eefa}]
2008-03-13 09:30 1524248 --a------ c:program filesLphantBar bLpha.dll

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerToolbar]
"{6b284373-1765-4464-a587-80fbc2b2eefa}"= "c:program filesLphantBar bLpha.dll" [2008-03-13 1524248]

[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
"msnmsgr"="c:program filesWindows LiveMessengermsnmsgr.exe" [2007-10-18 5724184]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
"NvCplDaemon"="c:windowssystem32NvCpl.dll" [2007-12-05 8523776]

[HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
"CTFMON.EXE"="c:windowsSystem32CTFMON.EXE" [2004-08-19 15360]

[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversionwinlogon
otifyLBTWlgn]
2008-05-02 01:42 72208 c:program filesFichiers communsLogishrdBluetoothLBTWLgn.dll

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWdfLoadGroup]
@=""

[HKLM~startupfolderC:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Logitech SetPoint.lnk]
path=c:documents and settingsAll UsersMenu DémarrerProgrammesDémarrageLogitech SetPoint.lnk
backup=c:windowspssLogitech SetPoint.lnkCommon Startup

[HKLM~startupfolderC:^Documents and Settings^kahairw^Menu Démarrer^Programmes^Démarrage^Empty.pif]
path=c:documents and settingskahairwMenu DémarrerProgrammesDémarrageEmpty.pif
backup=c:windowspssEmpty.pifStartup

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregCameraFixer]
--a------ 2006-10-09 16:32 20480 c:windowsCameraFixer.exe

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregCTFMON.EXE]
--a------ 2004-08-19 15:09 15360 c:windowssystem32ctfmon.exe

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregEA Core]
--a------ 2008-06-13 17:27 2752512 c:program filesElectronic ArtsEADMCore.exe

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregEnvyHFCPL]
--a------ 2005-01-09 19:24 3894272 c:program filesAudio DeckEnMixCPL.exe

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregLicense Boob]
--a------ 2008-10-07 17:11 514048 c:docume~1kahairwAPPLIC~1Gpljoyanti heck inside.exe

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregMonitor]
--a------ 2006-11-03 10:01 319488 c:windowsPixArtPac207Monitor.exe

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregMSConfig]
--a------ 2004-08-19 15:10 160768 c:windowsPCHealthHelpCtrBinariesmsconfig.exe

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregMSMSGS]
--------- 2004-10-13 17:24 1694208 c:program filesMessengermsmsgs.exe

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregMsnMsgr]
--a------ 2007-10-18 10:34 5724184 c:program filesWindows LiveMessengermsnmsgr.exe

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregNvCplDaemon]
--a------ 2007-12-05 00:41 8523776 c:windowssystem32
vcpl.dll

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregNvMediaCenter]
--a------ 2007-12-05 00:41 81920 c:windowssystem32
vmctray.dll

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregsnp325]
--a------ 2006-10-10 13:11 827392 c:windowsvsnp325.exe

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregSpybotSD TeaTimer]
--------- 2008-07-07 08:42 2156368 c:program filesSpybot - Search & DestroyTeaTimer.exe

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregSteam]
--a------ 2008-10-08 17:35 1410296 c:program filesSteamSteam.exe

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregTICK INSIDE TIME WAY]
--a------ 2008-10-08 17:54 688128 c:documents and settingsAll UsersApplication Data2 tray tick insideFive Grid.exe

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupreg snp325]
--a------ 2006-10-10 14:49 270336 c:windows snp325.exe

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregKernel and Hardware Abstraction Layer]
--a------ 2008-02-29 02:12 76304 c:windowsKHALMNPR.Exe

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupreg
wiz]
--a------ 2007-12-05 00:41 1626112 c:windowssystem32
wiz.exe

[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"c:\Program Files\Windows Live\Messenger\livecall.exe"=
"c:\Program Files\Steam\SteamApps\krysounet\counter-strike\hl.exe"=
"c:\Program Files\Amphibizorus\mirc.exe"=
"c:\Program Files\Steam\SteamApps\common\call of duty 4\iw3mp.exe"=
"c:\Program Files\Steam\Steam.exe"=
"c:\Program Files\Electronic Arts\EADM\Core.exe"=
"c:\Program Files\Lphant\eLePhantClient.exe"=

R3 Envy24HFS;ICE Envy24 Family Audio Controller WDM;c:windowssystem32driversEnvy24HF.sys [2005-01-11 580736]
R3 PAC207;Webcam 1200;c:windowssystem32DRIVERSPFC027.SYS [2007-06-29 611584]
S2 BDVEDISK;BDVEDISK;c:program filesBitDefenderBitDefender 2009BDVEDISK.sys [ ]
S3 SNP325;USB PC Camera (SNPSTD325);c:windowssystem32DRIVERSsnp325.sys [2007-01-19 10241280]

*Newly Created Service* - PROCEXP90
.
Contenu du dossier 'Tâches planifiées'

2008-11-03 c:windowsTasksA299A16791865D97.job
- c:docume~1kahairwapplic~1gpljoyloudclockjump.exe [2008-10-07 17:12]
.
- - - - ORPHELINS SUPPRIMES - - - -

MSConfigStartUp-Bron-Spizaetus - c:windowsShellNewRakyatKelaparan.exe
MSConfigStartUp-Tok-Cirrhatus - c:documents and settingskahairwLocal SettingsApplication Datasmss.exe
MSConfigStartUp-Tok-Cirrhatus-2718 - c:documents and settingskahairwLocal SettingsApplication Datasmss.exe


.
------- Examen supplémentaire -------
.
FireFox -: Profile - c:documents and settingskahairwApplication DataMozillaFirefoxProfiles48xvwn7l.default
FireFox -: prefs.js - STARTUP.HOMEPAGE - www.google.fr
FF -: plugin - c:program filesYahoo!Common
pyaxmpb.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-03 20:38:50
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
Heure de fin: 2008-11-03 20:39:30
ComboFix-quarantined-files.txt 2008-11-03 19:39:24

[r@in | b0w]

Bonjour.

Je n'ai pas le temps de me poser sur ton rapport ComboFix mais, à première vue, tout a l'air bon.

Quelques questions encore:

_ Tu as quelle version d'Internet Explorer?

_ Tu as un antivirus installé? Un pare-feu?

[kahairw]

Bonjours ( oups ^^ )

J'utilise que mozilla firefox et je n'ai pas de firewall nan :$

[r@in | b0w]

Pour le pare-feu:

_ Utilisation d'un pare-feu alternatif:

Il est recommandé de ne pas utiliser le pare-feu Windows et d'en prendre un plus efficace.

Le choix est large: Zone Alarm & Sunbelt compatibles avec Vista sinon Ashampoo ou encore Sygate.

Après avoir sélectionné le pare-feu idéal, il faudra désactiver celui de Windows.

Pour Internet Explorer, pas de soucis, je voulais savoir si tu l'avais désinstallé ou pas.

On dirait que tu n'as pas de trojan, désolé pour toi

[kahairw]

Bonjour,

Je te remercie pour toute cette aide que tu ma apporté, c'est super sympa..

Par contre le pb des raccourcis tu sais pas commen je peux les viré ?

Merci pr tout encore

[r@in | b0w]

Ton histoire de raccourci n'est pas claire en fait.

Expliques-nous encore une fois.

[kahairw]

Salut,

En faite si je clicke par exemple sur " Mes documents " je rentre dc ds ce dossier et j'aurais un autres dossier Mes documents ds celui là et sa pour tout les dossier, par exemple j'ai un dossier " Mes mp3 " hop je clike dessus et ds ce dossier j'ai un autre dossier " Mes mp3 " sa me créer des racourci pr tout...

Par contre des ke je clike ds un de ces dossier sa me relance le lsass.exe ... C'est super bizare..