FORUM high-tech

|-  AUTRES PANNES

||-  Questions techniques

|||-  

Virus Security Tool

 

Ajouter une réponse
 

 
Page photos
 
     
Vider la liste des messages à citer
 
 Page :
1
Auteur Sujet :

Virus Security Tool

riquet17
riquet17
Présent de temps en temps (De 50 à 99 messages postés)
  1. Posté le 02/09/2010 à 16:07:11  
  1. answer
 
Bonjour,
 J'ai supprimé cette saloperie avec Rkill et Combofix.
 Pourrirez-vous m'aider dans l'analyse des rapports Hijack et Combofix ?
 Merci.

 Logfile of Trend Micro HijackThis v2.0.2
 Scan saved at 16:48:14, on 02/09/2010
 Platform: Windows XP SP3 (WinNT 5.01.2600)
 MSIE: Internet Explorer v7.00 (7.00.6000.17080)
 Boot mode: Normal

 Running processes:
 C:\WINDOWS\System32\smss.exe
 C:\WINDOWS\system32\winlogon.e​xe
 C:\WINDOWS\system32\services.e​xe
 C:\WINDOWS\system32\lsass.exe
 C:\WINDOWS\system32\svchost.ex​e
 C:\WINDOWS\System32\svchost.ex​e
 C:\WINDOWS\system32\svchost.ex​e
 C:\WINDOWS\system32\spoolsv.ex​e
 C:\PROGRA~1\AVG\AVG8\avgwdsvc.​exe
 C:\Program Files\Creative\Shared Files\CTDevSrv.exe
 C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
 C:\Program Files\Java\jre6\bin\jqs.exe
 C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\mdm.exe
 C:\Program Files\System Control Manager\edd.exe
 C:\Program Files\CyberLink\Shared Files\RichVideo.exe
 c:\Program Files\Fichiers communs\Roxio Shared\9.0\SharedCOM\RoxWatch9​.exe
 C:\WINDOWS\system32\svchost.ex​e
 C:\PROGRA~1\AVG\AVG8\avgam.exe
 C:\PROGRA~1\AVG\AVG8\avgrsx.ex​e
 C:\PROGRA~1\AVG\AVG8\avgemc.ex​e
 C:\PROGRA~1\AVG\AVG8\avgnsx.ex​e
 C:\Program Files\AVG\AVG8\avgcsrvx.exe
 C:\Program Files\AVG\AVG8\avgcsrvx.exe
 c:\Program Files\Fichiers communs\Roxio Shared\9.0\SharedCOM\RoxMediaD​B9.exe
 C:\WINDOWS\system32\wbem\wmiap​srv.exe
 C:\Program Files\Synaptics\SynTP\SynTPEnh​.exe
 C:\WINDOWS\system32\igfxtray.e​xe
 C:\WINDOWS\system32\hkcmd.exe
 C:\WINDOWS\system32\igfxsrvc.e​xe
 C:\WINDOWS\system32\igfxpers.e​xe
 C:\PROGRA~1\AVG\AVG8\avgtray.e​xe
 C:\Program Files\Fichiers communs\Real\Update_OB\realsch​ed.exe
 C:\Program Files\Fichiers communs\InstallShield\UpdateSe​rvice\ISUSPM.exe
 C:\Program Files\Fichiers communs\InstallShield\UpdateSe​rvice\issch.exe
 C:\Program Files\DNA\btdna.exe
 C:\Program Files\Microsoft ActiveSync\wcescomm.exe
 C:\PROGRA~1\MI3AA1~1\rapimgr.e​xe
 C:\Program Files\Nuance\NaturallySpeaking​9\Program\natspeak.exe
 C:\WINDOWS\system32\wuauclt.ex​e
 C:\WINDOWS\explorer.exe
 C:\Documents and Settings\ERIC\Bureau\HiJackThi​s.exe

 R0 - HKCU\Software\Microsoft\Intern​et Explorer\Main,Start Page = http://www.google.fr/
 R1 - HKLM\Software\Microsoft\Intern​et Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
 R1 - HKLM\Software\Microsoft\Intern​et Explorer\Main,Default_Search_U​RL = http://go.microsoft.com/fwlink/?LinkId=54896
 R1 - HKLM\Software\Microsoft\Intern​et Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
 R0 - HKLM\Software\Microsoft\Intern​et Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
 R1 - HKCU\Software\Microsoft\Intern​et Connection Wizard,ShellNext = http://www.nec-computers.fr/
 R1 - HKCU\Software\Microsoft\Window​s\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:6522
 R0 - HKCU\Software\Microsoft\Intern​et Explorer\Toolbar,LinksFolderNa​me = Liens
 R3 - URLSearchHook: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D​756017C} - C:\Program Files\AVG\AVG8\Toolbar\IEToolb​ar.dll
 R3 - URLSearchHook: (no name) - *{CFBFAE00-17A6-11D0-99CB-00C0​4FD64497} - (no file)
 O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7​D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\​AcroIEHelper.dll
 O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C091​46192CA} - C:\Documents and Settings\All Users\Application Data\Real\RealPlayer\BrowserRe​cordPlugin\IE\rpbrowserrecordp​lugin.dll
 O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E​497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
 O2 - BHO: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D​756017C} - C:\Program Files\AVG\AVG8\Toolbar\IEToolb​ar.dll
 O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C​1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
 O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE​594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs​\ie\jqs_plugin.dll
 O3 - Toolbar: AVG Security Toolbar - {CCC7A320-B3CA-4199-B1A6-9F516​DD69829} - C:\Program Files\AVG\AVG8\Toolbar\IEToolb​ar.dll
 O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMI​G.EXE" /Spoil /RemAdvDef /Migration32
 O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLG​NT\TINTSETP.EXE /SYNC
 O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLG​NT\TINTSETP.EXE /IMEName
 O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh​.exe
 O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.e​xe
 O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
 O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.e​xe
 O4 - HKLM\..\Run: [DNS7reminder] "C:\Program Files\Nuance\NaturallySpeaking​9\Ereg\Ereg.exe" -r "C:\Documents and Settings\All Users\Application Data\Nuance\NaturallySpeaking9​\Ereg.ini
 O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.e​xe
 O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
 O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsch​ed.exe" -osboot
 O4 - HKCU\..\Run: [ISUSPM] "C:\Program Files\Fichiers communs\InstallShield\UpdateSe​rvice\ISUSPM.exe" -scheduler
 O4 - HKCU\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateSe​rvice\issch.exe" -start
 O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Program Files\DNA\btdna.exe"
 O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"
 O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
 O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
 O4 - Startup: Dragon NaturallySpeaking.lnk = C:\Program Files\Nuance\NaturallySpeaking​9\Program\natspeak.exe
 O4 - Global Startup: VPN Client.lnk = ?
 O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFF​ICE11\EXCEL.EXE/3000
 O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04​FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.​dll
 O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04​FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.​dll
 O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04​FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.​dll
 O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C5​71A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\​REFIEBAR.DLL
 O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba3​8496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
 O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba3​8496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
 O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04​F795683} - C:\Program Files\Messenger\msmsgs.exe
 O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04​F795683} - C:\Program Files\Messenger\msmsgs.exe
 O17 - HKLM\System\CCS\Services\Tcpip​\Parameters: Domain = sizaire.local
 O17 - HKLM\Software\..\Telephony: DomainName = sizaire.local
 O17 - HKLM\System\CCS\Services\Tcpip​\..\{52FAA862-5535-4B55-B574-1​9DCDE760781}: NameServer = 192.99.8.250,194.2.0.20
 O17 - HKLM\System\CS1\Services\Tcpip​\Parameters: Domain = sizaire.local
 O17 - HKLM\System\CS2\Services\Tcpip​\Parameters: Domain = sizaire.local
 O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE​494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
 O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.d​ll
 O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.ex​e
 O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.​exe
 O23 - Service: CT Device Query service (CTDevice_Srv) - Creative Technology Ltd - C:\Program Files\Creative\Shared Files\CTDevSrv.exe
 O23 - Service: Creative Centrale Media Server (CTUPnPSv) - Creative Technology Ltd - C:\Program Files\Creative\Creative Centrale\CTUPnPSv.exe
 O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
 O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1​1\Intel 32\IDriverT.exe
 O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
 O23 - Service: SCM Driver Daemon (NishService) - Unknown owner - C:\Program Files\System Control Manager\edd.exe
 O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
 O23 - Service: RoxMediaDB9 - Sonic Solutions - c:\Program Files\Fichiers communs\Roxio Shared\9.0\SharedCOM\RoxMediaD​B9.exe
 O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - c:\Program Files\Fichiers communs\Roxio Shared\9.0\SharedCOM\RoxWatch9​.exe
 O23 - Service: stllssvr - MicroVision Development, Inc. - c:\Program Files\Fichiers communs\SureThing Shared\stllssvr.exe

 --
 End of file - 9086 bytes


 ComboFix 10-09-01.04 - eric 02/09/2010 16:33:27.1.2 - x86
 Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.101​5.508 [GMT 2:00]
 Lancé depuis: c:\documents and settings\ERIC\Bureau\ComboFix.​exe
 AV: AVG Internet Security Network Edition *On-access scanning enabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74​245D6BF}
 .

 ((((((((((((((((((((((((((((((​(((((( Autres suppressions ))))))))))))))))))))))))))))))​))))))))))))))))))
 .

 c:\documents and settings\ERIC\Local Settings\Application Data\Windows Server
 c:\documents and settings\ERIC\Local Settings\Application Data\Windows Server\server.dat
 c:\program files\autorun.inf
 c:\windows\system32\scrrnfr.dl​l

 Une copie infectée de c:\windows\system32\drivers\cp​qarray.sys a été trouvée et désinfectée
 Copie restaurée à partir de - Kitty had a snack  
 .
 ((((((((((((((((((((((((((((((​((((((((( Pilotes/Services ))))))))))))))))))))))))))))))​)))))))))))))))))))
 .

 -------\Legacy_SSHNAS


 ((((((((((((((((((((((((((((( Fichiers créés du 2010-08-02 au 2010-09-02 ))))))))))))))))))))))))))))))​))))))
 .

 2010-09-02 09:38 . 2010-09-02 09:38 -------- d-----w- c:\documents and settings\ERIC\Application Data\Malwarebytes
 2010-09-02 09:38 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mb​amswissarmy.sys
 2010-09-02 09:38 . 2010-09-02 09:38 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
 2010-09-02 09:38 . 2010-09-02 09:38 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
 2010-09-02 09:38 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mb​am.sys
 2010-08-31 13:40 . 2010-08-31 13:40 201728 ----a-w- c:\windows\Dsipya.exe
 2010-08-31 13:40 . 2010-09-02 14:04 -------- d-----w- c:\documents and settings\ERIC\Local Settings\Application Data\owihtuvlh
 2010-08-31 13:40 . 2010-09-02 14:04 -------- d-----w- c:\documents and settings\ERIC\Local Settings\Application Data\twritlvcg
 2010-08-31 13:40 . 2010-09-02 14:04 -------- d-----w- c:\documents and settings\ERIC\Local Settings\Application Data\vjwittiks
 2010-08-31 13:39 . 2010-09-02 14:04 -------- d-----w- c:\documents and settings\ERIC\Application Data\C937880E4376F323409CD4EBD​90845E7

 .
 ((((((((((((((((((((((((((((((​(((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))​))))))))))))))))))
 .
 2010-09-02 14:41 . 2009-01-05 14:25 -------- d-----w- c:\program files\DNA
 2010-09-02 14:41 . 2009-01-05 14:25 -------- d-----w- c:\documents and settings\ERIC\Application Data\DNA
 2010-08-31 14:04 . 2004-08-18 14:11 86290 ----a-w- c:\windows\system32\perfc00C.d​at
 2010-08-31 14:04 . 2004-08-18 14:11 514184 ----a-w- c:\windows\system32\perfh00C.d​at
 2010-08-31 13:41 . 2009-01-05 14:25 -------- d-----w- c:\documents and settings\ERIC\Application Data\BitTorrent
 2010-08-31 13:05 . 2009-01-05 14:25 -------- d-----w- c:\program files\BitTorrent
 2010-06-30 12:32 . 2004-08-18 14:11 149504 ----a-w- c:\windows\system32\schannel.d​ll
 2010-06-24 12:17 . 2004-08-18 14:11 832512 ----a-w- c:\windows\system32\wininet.dl​l
 2010-06-24 12:17 . 2004-08-18 14:10 78336 ----a-w- c:\windows\system32\ieencode.d​ll
 2010-06-24 12:17 . 2004-08-18 14:10 17408 ----a-w- c:\windows\system32\corpol.dll
 2010-06-24 09:02 . 2004-08-18 14:11 1852032 ----a-w- c:\windows\system32\win32k.sys
 2010-06-21 15:27 . 2004-08-18 14:11 354304 ----a-w- c:\windows\system32\drivers\sr​v.sys
 2010-06-17 14:03 . 2004-08-18 14:10 80384 ----a-w- c:\windows\system32\iccvid.dll
 2010-06-15 18:28 . 2008-03-08 11:11 1714 ----a-w- c:\documents and settings\ERIC\Application Data\SAS7_000.DAT
 2010-06-14 14:31 . 2004-08-18 14:29 744448 ----a-w- c:\windows\pchealth\helpctr\bi​naries\helpsvc.exe
 2010-06-14 07:42 . 2004-08-18 14:11 1172480 ----a-w- c:\windows\system32\msxml3.dll
 2007-05-14 10:21 . 2008-03-02 20:34 92829791 ----a-w- c:\program files\AUS.cab
 .

 ((((((((((((((((((((((((((((((​((( Points de chargement Reg ))))))))))))))))))))))))))))))​))))))))))))))))))
 .
 .
 *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
 REGEDIT4

 [HKEY_CURRENT_USER\Software\Mic​rosoft\Internet Explorer\URLSearchHooks]
 "{A3BC75A2-1F87-4686-AA43-5347​D756017C}"= "c:\program files\AVG\AVG8\Toolbar\IEToolb​ar.dll" [2009-11-25 1230080]

 [HKEY_CLASSES_ROOT\clsid\{a3bc7​5a2-1f87-4686-aa43-5347d756017​c}]

 [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A3BC75A2-1F87-4686-AA43-5347D756017C}]
 2009-11-25 12:02 1230080 ----a-w- c:\program files\AVG\AVG8\Toolbar\IEToolb​ar.dll

 [HKEY_LOCAL_MACHINE\SOFTWARE\Mi​crosoft\Internet Explorer\Toolbar]
 "{CCC7A320-B3CA-4199-B1A6-9F51​6DD69829}"= "c:\program files\AVG\AVG8\Toolbar\IEToolb​ar.dll" [2009-11-25 1230080]

 [HKEY_CLASSES_ROOT\clsid\{ccc7a​320-b3ca-4199-b1a6-9f516dd6982​9}]

 [HKEY_CURRENT_USER\Software\Mic​rosoft\Internet Explorer\Toolbar\Webbrowser]
 "{CCC7A320-B3CA-4199-B1A6-9F51​6DD69829}"= "c:\program files\AVG\AVG8\Toolbar\IEToolb​ar.dll" [2009-11-25 1230080]

 [HKEY_CLASSES_ROOT\clsid\{ccc7a​320-b3ca-4199-b1a6-9f516dd6982​9}]

 [HKEY_CURRENT_USER\SOFTWARE\Mic​rosoft\Windows\CurrentVersion\​Run]
 "ISUSPM"="c:\program files\Fichiers communs\InstallShield\UpdateSe​rvice\ISUSPM.exe" [2007-08-30 205480]
 "ISUSScheduler"="c:\program files\Fichiers communs\InstallShield\UpdateSe​rvice\issch.exe" [2006-09-11 86960]
 "BitTorrent DNA"="c:\program files\DNA\btdna.exe" [2009-11-09 323392]

 [HKEY_LOCAL_MACHINE\SOFTWARE\Mi​crosoft\Windows\CurrentVersion​\Run]
 "IMJPMIG8.1"="c:\windows\IME\i​mjp8_1\IMJPMIG.EXE" [2004-08-05 208952]
 "PHIME2002ASync"="c:\windows\s​ystem32\IME\TINTLGNT\TINTSETP.​EXE" [2004-08-05 455168]
 "PHIME2002A"="c:\windows\syste​m32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168]
 "SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh​.exe" [2007-07-03 815104]
 "IgfxTray"="c:\windows\system3​2\igfxtray.exe" [2007-07-03 142104]
 "HotKeysCmds"="c:\windows\syst​em32\hkcmd.exe" [2007-07-03 162584]
 "Persistence"="c:\windows\syst​em32\igfxpers.exe" [2007-07-03 138008]
 "DNS7reminder"="c:\program files\Nuance\NaturallySpeaking​9\Ereg\Ereg.exe" [2007-03-19 259624]
 "AVG8_TRAY"="c:\progra~1\AVG\A​VG8\avgtray.exe" [2010-07-09 2048352]
 "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
 "TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsch​ed.exe" [2010-03-08 202256]

 [HKEY_USERS\.DEFAULT\Software\M​icrosoft\Windows\CurrentVersio​n\Run]
 "CTFMON.EXE"="c:\windows\syste​m32\CTFMON.EXE" [2008-04-14 15360]

 c:\documents and settings\ERIC\Menu D‚marrer\Programmes\D‚marrage\
 Dragon NaturallySpeaking.lnk - c:\program files\Nuance\NaturallySpeaking​9\Program\natspeak.exe [2007-5-14 2524776]

 c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
 VPN Client.lnk - c:\windows\Installer\{C91DE044​-D900-4F15-BBD1-44FD9D59B277}\​Icon3E5562ED7.ico [2008-8-27 6144]

 [HKEY_LOCAL_MACHINE\software\mi​crosoft\windows nt\currentversion\winlogon\notify\avgrsstarter]
 2009-07-31 08:39 11952 ----a-w- c:\windows\system32\avgrsstx.d​ll

 [HKEY_LOCAL_MACHINE\software\mi​crosoft\windows\currentversion​\group policy\state\S-1-5-21-407192248-2624971933-4159592112-1139\Scripts\Logon\0\0]
 "Script"=script.bat

 [HKEY_LOCAL_MACHINE\software\mi​crosoft\shared tools\msconfig\startupreg\Adob​e Reader Speed Launcher]
 2008-10-15 00:04 39792 ----a-w- c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe

 [HKEY_LOCAL_MACHINE\software\mi​crosoft\shared tools\msconfig\startupreg\Alcmtr]
 2007-07-03 17:03 69632 ----a-w- c:\windows\Alcmtr.exe

 [HKEY_LOCAL_MACHINE\software\mi​crosoft\shared tools\msconfig\startupreg\MGSysCtrl]
 2007-06-20 09:11 180736 ----a-w- c:\program files\System Control Manager\MGSysCtrl.exe

 [HKEY_LOCAL_MACHINE\software\mi​crosoft\shared tools\msconfig\startupreg\RemoteControl]
 2007-01-08 20:26 68640 ----a-w- c:\apps\PowerDVD\PDVDServ.exe

 [HKEY_LOCAL_MACHINE\software\mi​crosoft\shared tools\msconfig\startupreg\RoxWatchTray]
 2007-01-16 10:50 225280 ----a-w- c:\program files\Fichiers communs\Roxio Shared\9.0\SharedCOM\RoxWatchT​ray9.exe

 [HKEY_LOCAL_MACHINE\software\mi​crosoft\shared tools\msconfig\startupreg\RTHDCPL]
 2007-07-03 17:03 16377344 ----a-w- c:\windows\RTHDCPL.exe

 [HKEY_LOCAL_MACHINE\software\mi​crosoft\shared tools\msconfig\startupreg\snp2std]
 2006-09-15 11:21 675840 ----a-w- c:\windows\vsnp2std.exe

 [HKEY_LOCAL_MACHINE\software\mi​crosoft\shared tools\msconfig\startupreg\SSBkgdUpdate]
 2006-10-25 08:03 210472 ----a-w- c:\program files\Fichiers communs\ScanSoft Shared\SSBkgdUpdate\SSBkgdUpda​te.exe

 [HKEY_LOCAL_MACHINE\software\mi​crosoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
 2005-06-03 01:52 36975 ----a-w- c:\program files\Java\jre1.5.0_04\bin\jus​ched.exe

 [HKLM\~\services\sharedaccess\p​arameters\firewallpolicy\stand​ardprofile\AuthorizedApplicati​ons\List]
 "%windir%\\system32\\sessmgr.e​xe"=
 "c:\\APPS\\PowerDVD\\PowerDVD.​exe"=
 "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
 "c:\\Program Files\\BitTorrent\\bittorrent.​exe"=
 "c:\\Program Files\\DNA\\btdna.exe"=
 "c:\program files\Microsoft ActiveSync\rapimgr.exe"= c:\program files\Microsoft ActiveSync\rapimgr.exe:169.254​.2.0/255.255.255.0:Enabled:Act​iveSync RAPI Manager
 "c:\program files\Microsoft ActiveSync\wcescomm.exe"= c:\program files\Microsoft ActiveSync\wcescomm.exe:169.25​4.2.0/255.255.255.0:Enabled:Ac​tiveSync Connection Manager
 "c:\program files\Microsoft ActiveSync\WCESMgr.exe"= c:\program files\Microsoft ActiveSync\WCESMgr.exe:169.254​.2.0/255.255.255.0:Enabled:Act​iveSync Application

 [HKLM\~\services\sharedaccess\p​arameters\firewallpolicy\stand​ardprofile\GloballyOpenPorts\L​ist]
 "26675:TCP"= 26675:TCP:169.254.2.0/255.255.​255.0:Enabled:ActiveSync Service

 R0 AvgRkx86;avgrkx86.sys;c:\windo​ws\system32\drivers\avgrkx86.s​ys [30/07/2008 19:40 12552]
 R1 AvgLdx86;AVG AVI Loader Driver x86;c:\windows\system32\driver​s\avgldx86.sys [30/07/2008 19:40 335240]
 R1 AvgTdiX;AVG8 Network Redirector;c:\windows\system32​\drivers\avgtdix.sys [30/07/2008 19:40 108552]
 R2 avg8emc;AVG8 E-mail Scanner;c:\progra~1\AVG\AVG8\a​vgemc.exe [12/01/2009 10:58 908056]
 R2 avg8wd;AVG8 WatchDog;c:\progra~1\AVG\AVG8\​avgwdsvc.exe [12/01/2009 10:58 297752]
 R2 NishService;SCM Driver Daemon;c:\program files\System Control Manager\edd.exe [26/09/2007 10:06 40960]
 R3 MGHwCtrl;MGHwCtrl;c:\windows\s​ystem32\drivers\MGHwCtrl.sys [26/09/2007 10:06 9088]
 S3 CTUPnPSv;Creative Centrale Media Server;c:\program files\Creative\Creative Centrale\CTUPnPSv.exe [21/05/2008 13:42 64000]
 .
 Contenu du dossier 'Tâches planifiées'

 2010-09-02 c:\windows\Tasks\RealUpgradeLo​gonTaskS-1-5-21-407192248-2624​971933-4159592112-1139.job
 - c:\program files\Real\RealUpgrade\realupg​rade.exe [2010-02-24 21:09]

 2010-09-02 c:\windows\Tasks\RealUpgradeSc​heduledTaskS-1-5-21-407192248-​2624971933-4159592112-1139.job
 - c:\program files\Real\RealUpgrade\realupg​rade.exe [2010-02-24 21:09]

 2010-09-02 c:\windows\Tasks\WGASetup.job
 - c:\windows\system32\KB905474\w​gasetup.exe [2009-04-08 20:18]
 .
 .
 ------- Examen supplémentaire -------
 .
 uStart Page = hxxp://www.google.fr/
 uInternet Connection Wizard,ShellNext = hxxp://www.nec-computers.fr/
 uInternet Settings,ProxyServer = http=127.0.0.1:6522
 uInternet Settings,ProxyOverride = <local>
 IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\​EXCEL.EXE/3000
 TCP: {52FAA862-5535-4B55-B574-19DCD​E760781} = 192.99.8.250,194.2.0.20
 .
 - - - - ORPHELINS SUPPRIMES - - - -

 WebBrowser-{3041D03E-FD4B-44E0​-B742-2D9B88305F98} - c:\program files\AskBarDis\bar\bin\askBar​.dll
 MSConfigStartUp-enomcxsawr - c:\docume~1\ERIC\LOCALS~1\Temp​\enomcxsawr.tmp
 MSConfigStartUp-LanguageShortc​ut - c:\apps\PowerDVD\Language\Lang​uage.exe
 MSConfigStartUp-lsdefrag - c:\docume~1\ERIC\LOCALS~1\Temp​\aecrwmxons.tmp
 MSConfigStartUp-OfficeScanNT Monitor - c:\program files\Trend Micro\Client Server Security Agent\pccntmon.exe
 AddRemove-HijackThis - c:\documents and settings\ERIC\Local Settings\Temporary Internet Files\Content.IE5\A8H0AN31\Hij​ackThis.exe
 AddRemove-Octoshape add-in for Adobe Flash Player - c:\documents and settings\ERIC\Application Data\Macromedia\Flash Player\www.macromedia.com\bin\​octoshape\octoshape.exe



 ******************************​******************************​**************

 catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
 Rootkit scan 2010-09-02 16:41
 Windows 5.1.2600 Service Pack 3 NTFS

 Recherche de processus cachés ...

 Recherche d'éléments en démarrage automatique cachés ...

 Recherche de fichiers cachés ...

 Scan terminé avec succès
 Fichiers cachés: 0

 ******************************​******************************​**************
 .
 --------------------- CLES DE REGISTRE BLOQUEES ---------------------

 [HKEY_USERS\S-1-5-21-407192248-​2624971933-4159592112-1139\Sof​tware\Microsoft\Windows Mobile Disc\W*i*n*d*o*w*s* *M*o*b*i*l*e*"!\CriticalAppInstall\ActiveSync]
 "Name"="ActiveSync"
 "DisplayName"="Microsoft ActiveSync"
 "Param1"="ActiveSync"
 "Type"="wellknown"
 "Order"=dword:00000001
 "State"=dword:0000000b

 [HKEY_USERS\S-1-5-21-407192248-​2624971933-4159592112-1139\Sof​tware\Microsoft\Windows Mobile Disc\W*i*n*d*o*w*s* *M*o*b*i*l*e*"!\CriticalAppInstall\IESettings]
 "Name"="IESettings"
 "Type"="IESettings"
 "Order"=dword:00000004
 "State"=dword:0000000b

 [HKEY_USERS\S-1-5-21-407192248-​2624971933-4159592112-1139\Sof​tware\Microsoft\Windows Mobile Disc\W*i*n*d*o*w*s* *M*o*b*i*l*e*"!\CriticalAppInstall\MediaFiles]
 "Name"="MediaFiles"
 "Type"="MediaFiles"
 "Order"=dword:00000003
 "State"=dword:0000000b

 [HKEY_USERS\S-1-5-21-407192248-​2624971933-4159592112-1139\Sof​tware\Microsoft\Windows Mobile Disc\W*i*n*d*o*w*s* *M*o*b*i*l*e*"!\CriticalAppInstall\NPW]
 "Name"="NPW"
 "Param1"="NPW"
 "Type"="wellknown"
 "Order"=dword:00000002
 "State"=dword:0000000b

 [HKEY_USERS\S-1-5-21-407192248-​2624971933-4159592112-1139\Sof​tware\Microsoft\Windows Mobile Disc\W*i*n*d*o*w*s* *M*o*b*i*l*e*"!\CriticalAppInstall\Outlook]
 "Name"="Outlook"
 "DisplayName"="Microsoft Outlook"
 "Param1"="Outlook"
 "Type"="wellknown"
 "Order"=dword:00000000
 "State"=dword:00000002

 [HKEY_LOCAL_MACHINE\software\Cl​asses\CLSID\{A483C63A-CDBC-426​E-BF93-872502E8144E}]
 @Denied: (A 2) (Everyone)
 @="FlashBroker"
 "LocalizedString"="@c:\\WINDOW​S\\system32\\Macromed\\Flash\\​FlashUtil10h_ActiveX.exe,-101"

 [HKEY_LOCAL_MACHINE\software\Cl​asses\CLSID\{A483C63A-CDBC-426​E-BF93-872502E8144E}\Elevation​]
 "Enabled"=dword:00000001

 [HKEY_LOCAL_MACHINE\software\Cl​asses\CLSID\{A483C63A-CDBC-426​E-BF93-872502E8144E}\LocalServ​er32]
 @="c:\\WINDOWS\\system32\\Macr​omed\\Flash\\FlashUtil10h_Acti​veX.exe"

 [HKEY_LOCAL_MACHINE\software\Cl​asses\CLSID\{A483C63A-CDBC-426​E-BF93-872502E8144E}\TypeLib]
 @="{FAB3E735-69C7-453B-A446-B6​823C6DF1C9}"

 [HKEY_LOCAL_MACHINE\software\Cl​asses\Interface\{E3F2C3CB-5EB8​-4A04-B22C-7E3B4B6AF30F}]
 @Denied: (A 2) (Everyone)
 @="IFlashBroker4"

 [HKEY_LOCAL_MACHINE\software\Cl​asses\Interface\{E3F2C3CB-5EB8​-4A04-B22C-7E3B4B6AF30F}\Proxy​StubClsid32]
 @="{00020424-0000-0000-C000-00​0000000046}"

 [HKEY_LOCAL_MACHINE\software\Cl​asses\Interface\{E3F2C3CB-5EB8​-4A04-B22C-7E3B4B6AF30F}\TypeL​ib]
 @="{FAB3E735-69C7-453B-A446-B6​823C6DF1C9}"
 "Version"="1.0"

 [HKEY_LOCAL_MACHINE\software\De​terministicNetworks\DNE\Parame​ters]
 "SymbolicLinkValue"=hex(6):5c,​00,52,00,65,00,67,00,69,00,73,​00,74,00,72,00,79,
 00,5c,00,4d,00,61,00,63,00,68,​00,69,00,6e,00,65,00,5c,00,53,​00,79,00,73,00,\
 .
 --------------------- DLLs chargées dans les processus actifs ---------------------

 - - - - - - - > 'explorer.exe'(712)
 c:\windows\system32\WPDShServi​ceObj.dll
 c:\windows\system32\PortableDe​viceTypes.dll
 c:\windows\system32\PortableDe​viceApi.dll
 c:\windows\system32\eappprxy.d​ll
 .
 ------------------------ Autres processus actifs ------------------------
 .
 c:\program files\Creative\Shared Files\CTDevSrv.exe
 c:\program files\Cisco Systems\VPN Client\cvpnd.exe
 c:\program files\Java\jre6\bin\jqs.exe
 c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\mdm.exe
 c:\program files\CyberLink\Shared Files\RichVideo.exe
 c:\program files\Fichiers communs\Roxio Shared\9.0\SharedCOM\RoxWatch9​.exe
 c:\progra~1\AVG\AVG8\avgam.exe
 c:\progra~1\AVG\AVG8\avgrsx.ex​e
 c:\progra~1\AVG\AVG8\avgnsx.ex​e
 c:\program files\AVG\AVG8\avgcsrvx.exe
 c:\program files\AVG\AVG8\avgcsrvx.exe
 c:\program files\Fichiers communs\Roxio Shared\9.0\SharedCOM\RoxMediaD​B9.exe
 c:\windows\system32\wbem\wmiap​srv.exe
 c:\windows\system32\igfxsrvc.e​xe
 c:\program files\Microsoft ActiveSync\wcescomm.exe
 c:\progra~1\MI3AA1~1\rapimgr.e​xe
 .
 ******************************​******************************​**************
 .
 Heure de fin: 2010-09-02 16:46:30 - La machine a redémarré
 ComboFix-quarantined-files.txt 2010-09-02 14:46

 Avant-CF: 124 217 999 360 octets libres
 Après-CF: 124 327 645 184 octets libres

 WindowsXP-KB310994-SP2-Pro-Boo​tDisk-FRA.exe
 [boot loader]
 timeout=2
 default=multi(0)disk(0)rdisk(0​)partition(2)\WINDOWS
 [operating systems]
 c:\cmdcons\BOOTSECT.DAT="Micro​soft Windows Recovery Console" /cmdcons
 UnsupportedDebug="do not select this" /debug
 multi(0)disk(0)rdisk(0)partiti​on(2)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

 - - End Of File - - B0B6CDE80C753085CAFE68126C2E4C​D2


---------------
riquet
mido70
Débutant confirmé (de 1 000 à 4 999 messages postés)
  1. Posté le 02/09/2010 à 16:35:04  
  1. answer
 
Commencez avec USBFix..

 Téléchargez UsbFix de C_XX & Chiquitine29,

 /|\ Branchez tout vos périphériques USB externes, /|\

 • Lancez UsbFix sur votre bureau,
 • Sélectionnez l'option [Suppression ] ,
 .. Le bureau disparaîtra et le pc redémarrera ,
 .. Au redémarrage, UsbFix scannera votre pc, laisse le aller,

 .. le rapport apparaîtra,
 &#9658; Postez le rapport ( C:\UsbFix.txt ).

 "Process.exe"; une composante de l'outil, est détecté par certains antivirus. Il ne s'agit pas d'un virus, mais d'un module d’USBFix.

mido70
Débutant confirmé (de 1 000 à 4 999 messages postés)
  1. Posté le 02/09/2010 à 17:07:21  
  1. answer
 
Dans l'attente du rapport d'USBFix.



 Une version 9 d'AVG est disponible : téléchargement.

 Ou encore pouvez changer pour Antivir :
 http://nsa11.casimages.com/img​/2009/10/28/091028084653960127​.gif Téléchargement - & - Tuto de config.
 ______________________________​__________________

 Relancer HijackThishttp://img185.imageshack.us/im​g185/3497/hijackthisicne.png
 • Appuyez sur http://img200.imageshack.us/im​g200/9024/hjtbouton2.png,
 • Cocher http://nsa10.casimages.com/img​/2009/10/28/091028084420516532​.gif les lignes suivantes,
 &#8883; Fermer Internet Explorer et autre fenêtre..
 • Appuyer sur http://a.imageshack.us/img217/​1711/hijacthisboutonfixcheck.p​ng pour les supprimer.

 http://img8.imageshack.us/img8​/1048/crochetrouge.jpg infection,  
 http://img8.imageshack.us/img8​/3308/crochetbleug.jpg non-nécessaire.



 http://img8.imageshack.us/img8​/1048/crochetrouge.jpg R1 - HKCU\Software\Microsoft\Window​s\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:6522    
 
 http://img8.imageshack.us/img8​/3308/crochetbleug.jpg R3 - URLSearchHook: (no name) - *{CFBFAE00-17A6-11D0-99CB-00C0​4FD64497} - (no file)
 http://img8.imageshack.us/img8​/3308/crochetbleug.jpg O2 - BHO: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D​756017C} - C:\Program Files\AVG\AVG8\Toolbar\IEToolb​ar.dll    
 http://img8.imageshack.us/img8​/3308/crochetbleug.jpg O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C​1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll    
 http://img8.imageshack.us/img8​/3308/crochetbleug.jpg O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE​594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs​\ie\jqs_plugin.dll    
 http://img8.imageshack.us/img8​/3308/crochetbleug.jpg O3 - Toolbar: AVG Security Toolbar - {CCC7A320-B3CA-4199-B1A6-9F516​DD69829} - C:\Program Files\AVG\AVG8\Toolbar\IEToolb​ar.dll    

 http://img8.imageshack.us/img8​/3308/crochetbleug.jpg O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.e​xe    
 http://img8.imageshack.us/img8​/3308/crochetbleug.jpg O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.e​xe    
 http://img8.imageshack.us/img8​/3308/crochetbleug.jpg O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMI​G.EXE" /Spoil /RemAdvDef /Migration32    
 http://img8.imageshack.us/img8​/3308/crochetbleug.jpg O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLG​NT\TINTSETP.EXE /SYNC    
 http://img8.imageshack.us/img8​/3308/crochetbleug.jpg O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLG​NT\TINTSETP.EXE /IMEName    

 http://img8.imageshack.us/img8​/3308/crochetbleug.jpg O4 - HKLM\..\Run: [DNS7reminder] "C:\Program Files\Nuance\NaturallySpeaking​9\Ereg\Ereg.exe" -r "C:\Documents and Settings\All Users\Application Data\Nuance\NaturallySpeaking9​\Ereg.ini    
 http://img8.imageshack.us/img8​/3308/crochetbleug.jpg O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"    
 http://img8.imageshack.us/img8​/3308/crochetbleug.jpg O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsch​ed.exe" -osboot    
 http://img8.imageshack.us/img8​/3308/crochetbleug.jpg O4 - HKCU\..\Run: [ISUSPM] "C:\Program Files\Fichiers communs\InstallShield\UpdateSe​rvice\ISUSPM.exe" -scheduler    
 http://img8.imageshack.us/img8​/3308/crochetbleug.jpg O4 - HKCU\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateSe​rvice\issch.exe" -start    
 http://img8.imageshack.us/img8​/3308/crochetbleug.jpg O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Program Files\DNA\btdna.exe"    

 http://img8.imageshack.us/img8​/3308/crochetbleug.jpg O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')    
 http://img8.imageshack.us/img8​/3308/crochetbleug.jpg O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')    
 http://img8.imageshack.us/img8​/3308/crochetbleug.jpg O4 - Global Startup: VPN Client.lnk = ?
 http://img8.imageshack.us/img8​/3308/crochetbleug.jpg O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe    


 &#8883; Au redémarrage suivant, ces suppressions prendront effet.

 ______________________________​__________________

 Désinstaller combofix.
 Dans Démarrer &#8594; Exécuter.., entrez combofix /uninstall
 ______________________________​__________________

 Mises à jours Logiciels.
 Important pour prévenir les failles de sécurités des logiciels qui ont accès à Internet.

 • Faites les mise à jours proposées par Sumo Lite.
 &#8883; À vérifier aux 30jours.
 ______________________________​__________________

 • Créer un raccourci sur le bureau, pour utilisation au besoin ;
 BitTorrent DNA.
 ______________________________​__________________

 • Lancer un jet de CCleaner ..

riquet17
Présent de temps en temps (De 50 à 99 messages postés)
  1. Posté le 06/09/2010 à 16:50:01  
  1. answer
 
Bonjour,
 Merci pour votre assistance. Vous trouverez ci-dessous le rapport USBFIX.
 Le PC me semble stable à l'exception du pare feu AVG qui me signale sans cesse le Cheval de Troie "BackDoor Agent AGAO" ,fichier "superfreetool.com/server1.exe​", que je ne parviens pas à localiser, malgré des scans Malwarebytes et Ad'Aware.
 Je viens de lancer USBFIX, je vais bien voir si le problème est réglé...
 Par ailleurs j'ai désinstallé Combofix et supprimé la ligne indiquée par Hijackthis.

 ############################## | UsbFix 7.023 | [Suppression]

 Utilisateur: eric (Administrateur) # PORTABLE2 [ ]
 Mis à jour le 02/09/10 par El Desaparecido / C_XX
 Lancé à 17:14:50 | 06/09/2010
 Site Web: http://www.teamxscript.org
 Contact: FindyKill.Contact@gmail.com

 CPU: Intel(R) Core(TM)2 Duo CPU T5270 @ 1.40GHz
 CPU 2: Intel(R) Core(TM)2 Duo CPU T5270 @ 1.40GHz
 Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 3
 Internet Explorer 7.0.5730.13

 Pare-feu Windows: Activé
 Antivirus: AVG Internet Security Network Edition 8.5 [Enabled | Updated]
 RAM -> 1015 Mo
 C:\ (%systemdrive%) -> Disque fixe # 141 Go (115 Go libre(s) - 82%) [HDD] # NTFS
 D:\ -> CD-ROM

 ################## | Éléments infectieux |

 Supprimé! P:\M.bat
 Supprimé! P:\pv.exe

 ################## | Registre |

 Supprimé! HKLM\Software\Microsoft\Window​s\CurrentVersion\Policies\Syst​em|DisableRegistryTools
 Supprimé! HKLM\Software\Microsoft\Window​s\CurrentVersion\Policies\expl​orer|NoDrives
 Supprimé! HKCU\Software\Microsoft\Window​s\CurrentVersion\Policies\expl​orer|NoDrives

 ################## | Mountpoints2 |


 ################## | Listing |

 [06/09/2010 - 15:41:04 | D ]  C:\$AVG8.VAULT$
 [01/08/2008 - 09:25:48 | D ]  C:\02389140b652674bb48eca
 [26/12/2008 - 21:15:39 | D ]  C:\0d03bb8da4dfef862d087e0e97a​8
 [26/12/2008 - 21:14:42 | D ]  C:\3c37f32deb4910d63150e7706c
 [01/09/2009 - 10:01:44 | D ]  C:\5c516115678cd2f465ebe50fe6
 [19/04/2008 - 19:32:45 | D ]  C:\77c55863c387f6082a4fe39e7c4​e4bfe
 [29/07/2008 - 16:12:09 | D ]  C:\7989378aaa2c190acc63
 [05/11/2008 - 10:54:54 | D ]  C:\7ec1628a30387c371cea7dbeb0c​e34
 [21/04/2010 - 15:59:04 | D ]  C:\9618a3e0bf92fdebf4e021ed54e​049
 [01/08/2008 - 09:24:37 | D ]  C:\9cca556f81321b68ec2903f7bf
 [26/09/2007 - 10:40:14 | D ]  C:\APPS
 [25/05/2010 - 18:29:26 | A | 25304]  C:\ASLog.txt
 [15/07/2010 - 10:29:27 | D ]  C:\AvocatexXP
 [02/09/2010 - 10:43:43 | A | 292]  C:\Boot.bak
 [02/09/2010 - 16:19:03 | RASH | 328]  C:\BOOT.INI
 [05/08/2004 - 14:00:00 | RASH | 4952]  C:\Bootfont.bin
 [02/09/2010 - 16:19:03 | RASHD ]  C:\cmdcons
 [05/08/2004 - 14:00:00 | RASH | 263488]  C:\cmldr
 [02/09/2010 - 16:46:31 | A | 17294]  C:\ComboFix.txt
 [29/07/2008 - 16:09:53 | D ]  C:\Copie de AvocatexXP
 [26/09/2007 - 09:47:46 | AD ]  C:\DIVTOOLS
 [30/11/2007 - 17:39:15 | D ]  C:\Documents and Settings
 [30/11/2007 - 11:24:28 | D ]  C:\DRIVERS
 [26/09/2007 - 09:52:08 | A | 5034]  C:\DWNLOG.TXT
 [06/09/2010 - 13:48:21 | ASH | 1064468480]  C:\hiberfil.sys
 [26/09/2007 - 10:03:12 | D ]  C:\Intel
 [26/09/2007 - 10:24:27 | RASH | 0]  C:\IO.SYS
 [24/07/2008 - 21:08:02 | D ]  C:\MailTemp
 [26/09/2007 - 10:24:27 | RASH | 0]  C:\MSDOS.SYS
 [05/08/2004 - 14:00:00 | A | 47564]  C:\NTDETECT.COM
 [22/09/2008 - 09:36:39 | A | 252240]  C:\NTLDR
 [06/09/2010 - 12:50:36 | A | 373]  C:\OutlookStartup.ini
 [06/09/2010 - 13:48:20 | ASH | 1596592128]  C:\pagefile.sys
 [26/09/2007 - 09:48:28 | D ]  C:\PNP
 [06/09/2010 - 12:55:41 | RD ]  C:\Program Files
 [06/09/2010 - 17:26:32 | SHD ]  C:\RECYCLER
 [25/12/2009 - 21:07:44 | A | 10965]  C:\resetlog.txt
 [26/09/2007 - 10:04:49 | A | 575]  C:\RHDSetup.log
 [02/09/2010 - 10:32:45 | A | 456]  C:\rkill.log
 [26/09/2007 - 09:32:42 | A | 237]  C:\SAUDIT.TXT
 [31/12/2009 - 14:28:51 | A | 0]  C:\SecibHorloge.ini
 [26/09/2007 - 10:03:11 | A | 86]  C:\setup.log
 [18/08/2008 - 10:31:54 | A | 128502]  C:\ssapi.log
 [06/09/2010 - 17:10:53 | SHD ]  C:\System Volume Information
 [06/09/2010 - 17:26:32 | D ]  C:\UsbFix
 [06/09/2010 - 17:26:38 | A | 1086]  C:\UsbFix.txt
 [06/09/2010 - 17:11:00 | D ]  C:\WINDOWS
 [31/08/2010 - 15:40:33 | A | 5]  C:\zrpt.xml
 [12/10/2004 - 10:38:37 | N | 40960]  P:\1document.doc
 [23/01/2006 - 18:36:22 | N | 28081]  P:\1document.rtf
 [28/10/2009 - 13:25:21 | N | 143360]  P:\AVOAppServeur.dll
 [20/03/2008 - 21:49:29 | N | 35328]  P:\Avocatex.dot
 [09/07/2008 - 17:49:38 | N | 22016]  P:\Avocatex.xla
 [22/12/2009 - 19:39:43 | N | 63295488]  P:\AvocatexXP.exe
 [24/11/2004 - 15:26:03 | N | 1689]  P:\AvocatexXP.ini
 [22/07/2003 - 15:27:00 | N | 1320]  P:\AvocatexXP.lnk
 [19/06/2003 - 18:21:29 | N | 105]  P:\AvocatexXP.log
 [25/09/2009 - 10:26:33 | N | 2248704]  P:\AvocatexXP_Config.exe
 [18/12/2008 - 13:03:40 | N | 475136]  P:\BaseCollaborateur.exe
 [06/09/2010 - 03:30:02 | A | 119]  P:\chavo.vbs
 [19/09/2006 - 13:27:14 | N | 95972]  P:\click.exe
 [02/10/2009 - 17:20:20 | N | 434]  P:\click.reg
 [14/09/2007 - 02:12:08 | N | 32768]  P:\ClickYes.exe
 [23/11/2007 - 03:12:10 | N | 28672]  P:\CMCT3FR.dll
 [23/11/2007 - 03:12:15 | N | 609584]  P:\comctl32.ocx
 [13/01/2006 - 12:09:58 | D ]  P:\Comptabilite
 [22/02/2010 - 12:37:00 | N | 1081641]  P:\courrier PhFrantz.pdf
 [13/01/2006 - 12:10:12 | D ]  P:\CRW
 [13/01/2006 - 12:10:18 | D ]  P:\Crystal
 [07/09/2004 - 18:15:12 | N | 61440]  P:\CtlBoutonRaph.ocx
 [05/05/2009 - 18:09:07 | N | 3039232]  P:\ctlHorloge.ocx
 [29/06/2009 - 11:42:02 | N | 36864]  P:\DictaPlusThirdParty.dll
 [24/06/2009 - 17:49:13 | N | 1712128]  P:\DllConfigSecibExpert.dll
 [08/12/2009 - 11:15:15 | N | 53248]  P:\dllConvertionPDF.dll
 [14/10/2009 - 18:31:27 | N | 245760]  P:\dllEnvoiMails.dll
 [14/10/2009 - 18:31:28 | N | 933888]  P:\DllOutlookVB.dll
 [14/10/2009 - 18:31:28 | N | 413696]  P:\dllrattachement.dll
 [19/11/2009 - 18:23:14 | N | 1093632]  P:\eBarreau.dll
 [05/09/2008 - 11:16:39 | D ]  P:\efl
 [31/12/2009 - 04:34:54 | D ]  P:\ETATS
 [02/03/2010 - 15:54:08 | D ]  P:\FaxStore
 [27/03/2009 - 13:54:12 | D ]  P:\FORMATION
 [15/06/2004 - 16:34:37 | N | 65536]  P:\GenapCti.ocx
 [15/09/2009 - 10:41:50 | N | 2426544]  P:\GoogleToolbarInstaller_en32​_signed.exe
 [29/10/2009 - 11:37:24 | N | 118784]  P:\HorlogeExe.exe
 [24/01/2008 - 15:21:50 | N | 231030]  P:\hotline.exe
 [31/12/2009 - 04:34:54 | D ]  P:\Icones
 [02/04/2002 - 10:35:52 | N | 71168]  P:\imgedit.oca
 [08/08/2000 - 18:00:00 | N | 311056]  P:\imgedit.ocx
 [29/06/2006 - 09:55:42 | D ]  P:\Install
 [19/11/2009 - 18:23:16 | N | 4608]  P:\Interop.dllrattachement.dll
 [03/08/2009 - 16:24:45 | N | 286720]  P:\Interop.Outlook.dll
 [19/11/2009 - 18:23:16 | N | 73728]  P:\Interop.PDFCreator.dll
 [14/10/2009 - 18:31:29 | N | 10752]  P:\Interop.VBA.dll
 [13/01/2006 - 12:14:16 | D ]  P:\Jurisprudence
 [13/01/2006 - 12:17:24 | D ]  P:\JuriWin
 [02/09/2010 - 17:53:25 | D ]  P:\logs
 [14/07/2010 - 03:33:01 | D ]  P:\MAJ
 [22/09/2005 - 11:06:20 | N | 61440]  P:\Maj.exe
 [14/07/2010 - 03:33:03 | D ]  P:\MAJ_AvocatexXP
 [13/01/2006 - 12:15:59 | D ]  P:\MAJ_OLD
 [27/03/2009 - 10:18:54 | D ]  P:\Manuel
 [06/02/2009 - 10:25:25 | N | 1193]  P:\Manuel - Raccourci.lnk
 [13/01/2009 - 13:13:40 | N | 31744]  P:\MAREE  + reponse CAC.doc
 [01/09/2010 - 14:17:13 | D ]  P:\Matrices
 [02/01/2006 - 16:15:00 | N | 14062947]  P:\Matrices.rar
 [05/02/2008 - 12:31:25 | N | 28672]  P:\MicrosoftIndexSearch_Chemin​UNC.exe
 [09/03/2010 - 12:28:19 | D ]  P:\Modeles
 [13/01/2006 - 15:36:20 | D ]  P:\Moulinette Avocatex vers AvocatexXP
 [14/09/2007 - 02:12:09 | N | 45056]  P:\MsgBox.exe
 [19/05/2009 - 13:50:51 | N | 115016]  P:\msinet.ocx
 [31/03/2003 - 15:48:55 | N | 43520]  P:\MSMAPI32.oca
 [24/06/1998 - 00:00:00 | N | 137000]  P:\MSMAPI32.OCX
 [29/10/2002 - 16:37:58 | N | 48640]  P:\MSMASK32.oca
 [22/05/2000 - 01:00:00 | N | 166600]  P:\MSMASK32.OCX
 [03/03/2006 - 12:45:07 | N | 61]  P:\Normal.bat
 [04/05/2004 - 12:22:52 | N | 912240]  P:\Office2003-kb828041-client-​FRA.exe
 [30/07/2008 - 09:30:26 | D ]  P:\Outils
 [09/03/2010 - 12:12:00 | N | 86016]  P:\Papier en-tête ACTEO.doc
 [22/12/2009 - 04:20:40 | N | 80503]  P:\param.xml
 [20/03/2008 - 21:49:28 | N | 15895117]  P:\PDFCreator-0_9_5_setup.exe
 [07/01/2009 - 15:42:26 | N | 16194992]  P:\PDFCreator-0_9_6_setup.exe
 [30/03/2009 - 15:24:30 | N | 15589000]  P:\PDFCreator-0_9_7_setup.exe
 [26/03/2009 - 19:44:15 | N | 214016]  P:\Promesse.doc
 [20/02/2006 - 17:55:58 | N | 577239]  P:\RealVNC.exe
 [21/10/2003 - 13:53:36 | N | 42496]  P:\RECU.DOT
 [29/07/2008 - 13:44:29 | D ]  P:\Recup
 [08/09/2005 - 10:21:54 | N | 1109]  P:\Research.ini
 [22/12/2008 - 08:13:33 | N | 1257472]  P:\Research.ocx
 [30/12/2009 - 15:37:27 | D ]  P:\RPT
 [02/11/2009 - 15:30:08 | D ]  P:\Sandrine_MAJ_Master
 [19/11/2007 - 15:16:15 | D ]  P:\ScanStore
 [06/09/2010 - 03:30:01 | A | 24979]  P:\scbxp.bat
 [27/05/2009 - 20:04:08 | N | 224]  P:\SECIB Expert.log
 [08/09/2005 - 11:49:22 | N | 372736]  P:\Secib.xls
 [30/09/2003 - 17:06:41 | N | 8259]  P:\SECIBCtrl.log
 [28/10/2009 - 13:25:24 | N | 585728]  P:\SECIBCtrl.ocx
 [28/10/2009 - 13:25:25 | N | 32768]  P:\SecibCustomCtrls.dll
 [04/02/2009 - 19:19:01 | N | 32768]  P:\SecibListner.exe
 [03/08/2009 - 16:24:46 | N | 49152]  P:\SetupPDFCreator.exe
 [31/12/2009 - 11:13:28 | N | 126]  P:\SetupPDFCreator.log
 [23/04/2009 - 15:28:43 | N | 1150976]  P:\SimplificationMatrices.exe
 [13/01/2006 - 12:18:35 | D ]  P:\Site1
 [18/02/2009 - 11:05:31 | N | 203321]  P:\SKMBT_C35209021810060.pdf
 [03/02/2006 - 17:32:34 | D ]  P:\SQL
 [19/09/2006 - 09:15:32 | D ]  P:\Synchro
 [29/06/2006 - 10:00:37 | D ]  P:\Synchro.old
 [24/08/2007 - 10:15:36 | N | 179179]  P:\telem.exe
 [05/09/2008 - 11:16:39 | D ]  P:\temp
 [06/02/2009 - 10:25:28 | SH | 55296]  P:\Thumbs.db
 [20/11/2002 - 15:37:19 | N | 270336]  P:\_SECIBCtrl.ocx
 [16/04/2003 - 17:20:14 | N | 185344]  P:\_tdbg6.oca
 [15/07/2010 - 11:42:01 | D ]  Z:\Autre
 [18/11/2009 - 11:11:44 | D ]  Z:\Beatrice
 [28/01/2010 - 15:30:29 | D ]  Z:\Christianne
 [02/08/2010 - 11:44:00 | D ]  Z:\Daniela
 [18/06/2009 - 20:24:24 | D ]  Z:\Emilie
 [25/05/2010 - 16:32:20 | D ]  Z:\Eric
 [30/04/2010 - 15:23:38 | N | 248947]  Z:\Formule de publication 3265.pdf
 [03/08/2010 - 10:58:46 | D ]  Z:\Guillaume
 [23/02/2010 - 12:14:26 | N | 61440]  Z:\Heures P Salles.xls
 [03/02/2010 - 17:15:06 | D ]  Z:\Hubert
 [03/03/2010 - 16:23:31 | RD ]  Z:\Lorene
 [26/01/2010 - 16:25:53 | D ]  Z:\Nicole
 [15/09/2009 - 15:38:09 | D ]  Z:\Rozenn
 [06/07/2010 - 14:10:07 | N | 5861417]  Z:\SKMBT_C35210070613050.pdf
 [25/06/2009 - 09:33:00 | D ]  Z:\Solene
 [15/03/2010 - 11:46:43 | D ]  Z:\Stephanie
 [03/08/2010 - 09:09:32 | SH | 1289728]  Z:\Thumbs.db
 [01/09/2010 - 17:43:32 | D ]  Z:\Yann

 ################## | Vaccin |

 C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
 P:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
 U:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
 Z:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

 ################## | Upload |

 Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_PORTABLE2.​zip
 http://chiquitine.changelog.fr/Sample/Upload.php
 Merci de votre contribution.

 ################## | E.O.F |


---------------
riquet
mido70
Débutant confirmé (de 1 000 à 4 999 messages postés)
  1. Posté le 06/09/2010 à 17:05:05  
  1. answer
 
Ah.., c'est AVG I.S. payant que vous aviez.

 Ben.., aller télécharger sa mise à jours. Y sont rendu à 9..quelque chose chez Grisoft.


 



Le PC me semble stable à l'exception du pare feu AVG qui me signale sans cesse le Cheval de Troie "BackDoor Agent AGAO" ,fichier "superfreetool.com/server1.exe​",


Si ça vient du parefeux, c'est donc que ça doit avoir lieu durant la navigation. Donc ça pas rapport au disque. Et quand même. Préférable, avant de poursuivre sur cette investigation. De mettre cet engin à jours. D'abord parce que vous y avez droit et ensuite ça pourrait éliminer une erreur de détection.
 Et après ça. Si cette même détection ce reproduit, vos m'posterez le rapport(Log) d'AVG.

 • Relancer USBFix et sélectionner [Désinstallation]

riquet17
Présent de temps en temps (De 50 à 99 messages postés)
  1. Posté le 06/09/2010 à 17:33:42  
  1. answer
 
J'ai oublié de préciser pour "BackDoor Agent AGAO" : le processus utilisé est C/WINDOWS/system32/svchost.exe...

 Il est toujours là...


---------------
riquet
riquet17
Présent de temps en temps (De 50 à 99 messages postés)
  1. Posté le 06/09/2010 à 17:36:28  
  1. answer
 
Je n'avais pas vu votre réponse avant mon dernier post. Merci bien pour ces conseils.


---------------
riquet
mido70
Débutant confirmé (de 1 000 à 4 999 messages postés)
  1. Posté le 06/09/2010 à 17:59:34  
  1. answer
 
Oeung.., avec ce supplément de détail..

 Faites quand même le plus rapidement possible, ce qui suit. ..Ou peut-être après l'installation de la version 9 d'AVG.

 • Aller dans Démarrer &#8594; Tout les programmes &#8594; Accessoires ..
 • Ouvrez l'invité de commandes,
 • Copier/coller(par un clic-droit) cette ligne de commande et valider:
 tasklist /svc /fi "imagename eq svchost.exe" > "%userprofile%"\bureau\listeSr​v.txt
 &#9658; Poster le rapport listeSrv.txt qui apparaitra sur votre bureau.

 Ça va permettre de vérifier tout les services (sains ou non) lancés par toutes les occurrences de svchost.


 P.S.:
 Pour vérifier/scanner UN fichier suspect.
 Y a Virus Total qui fait ça avec plusieurs 10aines d'antivirus. En tenant compte de ce que les Kaspersky, Antivir, Nod32, GData ..ont à raconter. Ça donne une bonne évaluation de l'aspect +-suspect, que peut représenter un fichier.



riquet17
Présent de temps en temps (De 50 à 99 messages postés)
  1. Posté le 07/09/2010 à 12:06:47  
  1. answer
 
Bonjour,
 La ligne de commande vient derrière "C:/Documents and settings/mon nom" et ne produit aucun effet ??


---------------
riquet
mido70
Débutant confirmé (de 1 000 à 4 999 messages postés)
  1. Posté le 07/09/2010 à 13:49:59  
  1. answer
 



ne produit aucun effet ??


Le message de l'invité de commande est-il ;
 'tasklist.exe' n'est pas reconnu en tant que commande interne
 ou externe, un programme exécutable ou un fichier de commandes.


 Avec XP Pro, vous devriez avoir TaskList.exe, quelques part dans \Windows\.. ou Windows\system32\..
 ......Vérifier ça ..

 Télécharger Process Explorer.
 Avec ça vous n'aurez qu'à placer le curseur sur les svchost.exe, pour avoir la liste des services (leurs abréviation) chargés par ceux-ci. Si nécessaire. Poster l'image(pas le bureau au complet) de chaque fenêtre contenant ces abréviations de services.

riquet17
Présent de temps en temps (De 50 à 99 messages postés)
  1. Posté le 10/09/2010 à 15:33:04  
  1. answer
 
Bonjour,
 J'ai "trouvé" ça sur mon bureau dans un fichier texte, je ne l'avais pas vu arriver...

 Nom de l'image              PIDÿ Services                                    
 ========================= ====== ==============================​===============
 svchost.exe                 1420 DcomLaunch, TermService                      
 svchost.exe                 1520 RpcSs                                        
 svchost.exe                 1632 AudioSrv, Browser, CryptSvc, Dhcp, dmserver,

ERSvc, EventSystem, helpsvc, Irmon,

lanmanserver, lanmanworkstation, Netman,

Nla, RasMan, Schedule, seclogon, SENS,

SharedAccess, ShellHWDetection, TapiSrv,

Themes, TrkWks, W32Time, winmgmt, wuauserv,

WZCSVC                                      
 svchost.exe                 1672 WudfSvc                                      
 svchost.exe                 1784 Dnscache                                    
 svchost.exe                 1896 LmHosts, RemoteRegistry, SSDPSRV            
 svchost.exe                  500 WebClient                                    
 svchost.exe                  708 stisvc                                      
 svchost.exe                 3924 N/D                                          
 svchost.exe                 3412 HTTPFilter      

 Est-ce que c'est suffisant ?
 Pour l'instant je n'ai pas fait process explorer...
 Mais le pare feu continue de bloquer des connexions d'un cheval de troie, maintenant c'en est un autre...

 Merci de votra aide.


---------------
riquet
riquet17
Présent de temps en temps (De 50 à 99 messages postés)
  1. Posté le 10/09/2010 à 19:13:23  
  1. answer
 
Voici mon dernier Hijackthis :

 Logfile of Trend Micro HijackThis v2.0.2
 Scan saved at 20:08:46, on 10/09/2010
 Platform: Windows XP SP3 (WinNT 5.01.2600)
 MSIE: Internet Explorer v7.00 (7.00.6000.17080)
 Boot mode: Normal

 Running processes:
 C:\WINDOWS\System32\smss.exe
 C:\WINDOWS\system32\winlogon.e​xe
 C:\WINDOWS\system32\services.e​xe
 C:\WINDOWS\system32\lsass.exe
 C:\WINDOWS\system32\svchost.ex​e
 C:\WINDOWS\System32\svchost.ex​e
 C:\WINDOWS\system32\svchost.ex​e
 C:\WINDOWS\system32\spoolsv.ex​e
 C:\PROGRA~1\AVG\AVG8\avgwdsvc.​exe
 C:\Program Files\Creative\Shared Files\CTDevSrv.exe
 C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
 C:\Program Files\Java\jre6\bin\jqs.exe
 C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\mdm.exe
 C:\Program Files\System Control Manager\edd.exe
 C:\Program Files\CyberLink\Shared Files\RichVideo.exe
 c:\Program Files\Fichiers communs\Roxio Shared\9.0\SharedCOM\RoxWatch9​.exe
 C:\PROGRA~1\AVG\AVG8\avgam.exe
 C:\PROGRA~1\AVG\AVG8\avgrsx.ex​e
 C:\PROGRA~1\AVG\AVG8\avgnsx.ex​e
 C:\WINDOWS\system32\svchost.ex​e
 C:\PROGRA~1\AVG\AVG8\avgemc.ex​e
 C:\Program Files\AVG\AVG8\avgcsrvx.exe
 C:\Program Files\AVG\AVG8\avgcsrvx.exe
 c:\Program Files\Fichiers communs\Roxio Shared\9.0\SharedCOM\RoxMediaD​B9.exe
 C:\WINDOWS\system32\wbem\wmiap​srv.exe
 C:\WINDOWS\Explorer.exe
 C:\Program Files\Synaptics\SynTP\SynTPEnh​.exe
 C:\WINDOWS\system32\igfxtray.e​xe
 C:\WINDOWS\system32\hkcmd.exe
 C:\WINDOWS\system32\igfxpers.e​xe
 C:\WINDOWS\system32\igfxsrvc.e​xe
 C:\PROGRA~1\AVG\AVG8\avgtray.e​xe
 C:\Program Files\Fichiers communs\Real\Update_OB\realsch​ed.exe
 C:\Program Files\Fichiers communs\InstallShield\UpdateSe​rvice\ISUSPM.exe
 C:\WINDOWS\system32\wuauclt.ex​e
 C:\Program Files\Fichiers communs\InstallShield\UpdateSe​rvice\issch.exe
 C:\Program Files\DNA\btdna.exe
 C:\Program Files\Microsoft ActiveSync\wcescomm.exe
 C:\WINDOWS\system32\ctfmon.exe
 C:\PROGRA~1\MI3AA1~1\rapimgr.e​xe
 C:\WINDOWS\system32\svchost.ex​e
 C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE
 C:\Program Files\Fichiers communs\Adobe\Updater5\AdobeUp​dater.exe
 C:\PROGRA~1\FICHIE~1\INSTAL~1\​UPDATE~1\agent.exe
 C:\PROGRA~1\FICHIE~1\INSTAL~1\​UPDATE~1\ISUSPM.exe
 C:\Program Files\Microsoft ActiveSync\WCESMgr.exe
 C:\WINDOWS\System32\svchost.ex​e
 C:\Program Files\Internet Explorer\iexplore.exe
 C:\Documents and Settings\ERIC\Bureau\HiJackThi​s.exe

 R1 - HKCU\Software\Microsoft\Intern​et Explorer\Main,Search Bar = http://go.microsoft.com/fwlink/?linkid=54896
 R0 - HKCU\Software\Microsoft\Intern​et Explorer\Main,Start Page = http://www.google.fr/
 R0 - HKLM\Software\Microsoft\Intern​et Explorer\Main,Start Page = http://fr.msn.com/
 R1 - HKCU\Software\Microsoft\Intern​et Connection Wizard,ShellNext = http://www.nec-computers.fr/
 R0 - HKCU\Software\Microsoft\Intern​et Explorer\Toolbar,LinksFolderNa​me = Liens
 R3 - URLSearchHook: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D​756017C} - C:\Program Files\AVG\AVG8\Toolbar\IEToolb​ar.dll
 R3 - URLSearchHook: (no name) - *{CFBFAE00-17A6-11D0-99CB-00C0​4FD64497} - (no file)
 F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe nbai.amo pbjnukb
 O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7​D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\​AcroIEHelper.dll
 O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C091​46192CA} - C:\Documents and Settings\All Users\Application Data\Real\RealPlayer\BrowserRe​cordPlugin\IE\rpbrowserrecordp​lugin.dll
 O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E​497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
 O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7​942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
 O2 - BHO: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D​756017C} - C:\Program Files\AVG\AVG8\Toolbar\IEToolb​ar.dll
 O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C​1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
 O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE​594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs​\ie\jqs_plugin.dll
 O3 - Toolbar: AVG Security Toolbar - {CCC7A320-B3CA-4199-B1A6-9F516​DD69829} - C:\Program Files\AVG\AVG8\Toolbar\IEToolb​ar.dll
 O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMI​G.EXE" /Spoil /RemAdvDef /Migration32
 O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLG​NT\TINTSETP.EXE /SYNC
 O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLG​NT\TINTSETP.EXE /IMEName
 O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh​.exe
 O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.e​xe
 O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
 O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.e​xe
 O4 - HKLM\..\Run: [DNS7reminder] "C:\Program Files\Nuance\NaturallySpeaking​9\Ereg\Ereg.exe" -r "C:\Documents and Settings\All Users\Application Data\Nuance\NaturallySpeaking9​\Ereg.ini
 O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.e​xe
 O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
 O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsch​ed.exe"  -osboot
 O4 - HKLM\..\RunOnce: [SpybotDeletingA7445] command.com /c del "C:\WINDOWS\system32\nbai.amo_​old"
 O4 - HKLM\..\RunOnce: [SpybotDeletingC2298] cmd.exe /c del "C:\WINDOWS\system32\nbai.amo_​old"
 O4 - HKCU\..\Run: [ISUSPM] "C:\Program Files\Fichiers communs\InstallShield\UpdateSe​rvice\ISUSPM.exe" -scheduler
 O4 - HKCU\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateSe​rvice\issch.exe" -start
 O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Program Files\DNA\btdna.exe"
 O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"
 O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
 O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
 O4 - HKCU\..\RunOnce: [SpybotDeletingB6766] command.com /c del "C:\WINDOWS\system32\nbai.amo_​old"
 O4 - HKCU\..\RunOnce: [SpybotDeletingD6560] cmd.exe /c del "C:\WINDOWS\system32\nbai.amo_​old"
 O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
 O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
 O4 - Startup: Dragon NaturallySpeaking.lnk = C:\Program Files\Nuance\NaturallySpeaking​9\Program\natspeak.exe
 O4 - Global Startup: VPN Client.lnk = ?
 O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFF​ICE11\EXCEL.EXE/3000
 O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04​FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.​dll
 O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04​FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.​dll
 O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04​FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.​dll
 O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-08002​00c9a66} - C:\WINDOWS\bdoscandel.exe
 O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-08002​00c9a66} - C:\WINDOWS\bdoscandel.exe
 O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C5​71A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\​REFIEBAR.DLL
 O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB​36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
 O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB​36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
 O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba3​8496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
 O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba3​8496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
 O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04​F795683} - C:\Program Files\Messenger\msmsgs.exe
 O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04​F795683} - C:\Program Files\Messenger\msmsgs.exe
 O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730​F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.co [...] oscan8.cab
 O17 - HKLM\System\CCS\Services\Tcpip​\Parameters: Domain = sizaire.local
 O17 - HKLM\Software\..\Telephony: DomainName = sizaire.local
 O17 - HKLM\System\CCS\Services\Tcpip​\..\{52FAA862-5535-4B55-B574-1​9DCDE760781}: NameServer = 192.99.8.250,194.2.0.20
 O17 - HKLM\System\CS1\Services\Tcpip​\Parameters: Domain = sizaire.local
 O17 - HKLM\System\CS2\Services\Tcpip​\Parameters: Domain = sizaire.local
 O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE​494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
 O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.d​ll
 O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.ex​e
 O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.​exe
 O23 - Service: CT Device Query service (CTDevice_Srv) - Creative Technology Ltd - C:\Program Files\Creative\Shared Files\CTDevSrv.exe
 O23 - Service: Creative Centrale Media Server (CTUPnPSv) - Creative Technology Ltd - C:\Program Files\Creative\Creative Centrale\CTUPnPSv.exe
 O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
 O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1​1\Intel 32\IDriverT.exe
 O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
 O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWSer​vice.exe
 O23 - Service: SCM Driver Daemon (NishService) - Unknown owner - C:\Program Files\System Control Manager\edd.exe
 O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
 O23 - Service: RoxMediaDB9 - Sonic Solutions - c:\Program Files\Fichiers communs\Roxio Shared\9.0\SharedCOM\RoxMediaD​B9.exe
 O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - c:\Program Files\Fichiers communs\Roxio Shared\9.0\SharedCOM\RoxWatch9​.exe
 O23 - Service: stllssvr - MicroVision Development, Inc. - c:\Program Files\Fichiers communs\SureThing Shared\stllssvr.exe

 --
 End of file - 10620 bytes


---------------
riquet
mido70
Débutant confirmé (de 1 000 à 4 999 messages postés)
  1. Posté le 10/09/2010 à 20:05:00  
  1. answer
 

 Pourquoi ne pas upgrader AVG 8 pour AVG9 ????????
 ______________________________​________________________

 ......Désactiver Spybot avant de faire Hijackthis.

 - Cocher et [Fixer] cette ligne :
 F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe nbai.amo pbjnukb


 Redémarrer le l'ordi.

 Et vérifier pour suprimer ce fichier ; C:\WINDOWS\system32\nbai.amo
 .............Si nécessaire afficher les fichier cachés.
 ______________________________​_________________________

 Produisez un diagnostique complet du PC.

 Téléchargez sur votre bureau ZHPDiag (de Coolman).
 • Lancer ZHPDiag.exe par un double-clique

 ...........Le rapport ZHPDiag.txt va s'ouvrir..

 Au lieu de poster ce rapport "trop volumineux" direct sur le forum.

 • Aller sur le site CJoint,
 • Appuyez sur [Parcourir] et chercher le rapport sur le disque,
 • Ensuite appuyez sur [Créer le lien CJoint],
 .. Une adresse http//......(bleu, mauve) sera créé.
 &#9658; Postez cette adresse http//.......

 Page :
1

Aller à :
 

Sujets relatifs
Virus : Trojan-gen(VC) et Trojan-gen(orther) virus a bord
tool bar anti virus
màj 23 de java : y a-t-il risque de virus ou autre malware Virus torjan (résolut)
Bug Bitdefender security 2010 trojan fakalert  
Plus de sujets relatifs à : Virus Security Tool

Les 5 sujets de discussion précédents Nombre de réponses Dernier message
pas de périphérique audio installé 1
KASPER me cherche des noises... 1
hotmail piraté ? 6
Antimalware Doctor 1
Utiliser CCleaner sur les 3 sessions en même temps [Résolu] 4