rapport hijackthis

télécharge RKFiles
http://skads.org/special/rkfiles.zip

dézippe-le sur ton bureau

démarre en mode sasn échec
Double-click sur RKFiles.bat pour le lancer.
le log sera sauvé dans c:\log.txt
Poste-le.

Bonjour,

J'ai aussi celui là

c:\windows\system32\o infected: Backdoor.Botget Ftp B.gen

Merci
@+

salut natsa, j'attends le rapport RK FILES

Bonjour,
J'ai essayer de faire la manip, mais je ne sais pas si je l'ai bien faite car voilà le rapport :

C:\Documents and Settings\Nathalie\Bureau
??????

Merci @+

essaye ça

1/ PFIND-New
http://www.bleepingcomputer.com/files/grinler/pfind-new.zip
double clic sur pfind.bat et enregistre le rapport, poste-le.

2/ Ouvre hijackthis, vas dans "open the misc tool section", "open uninstall manager" puis "save list". Copie et colle le rapport généré ici

Je ne peux pas acceder à l'adresse ci-dessus, voici le message qui s'affiche

404 ERROR: Page Not Found!


The requested page http://www.bleepingcomputer.com/files/grinler/pfind-new.zip could not be found on this server.

Doit-je quand même faire la manip avec hijackthis ?
Merci @+

oui fais la manip avec HJT pendant que je cherche une autre possibilité.

Voici le rapport :

AC3Filter (remove only)
Ad-Aware SE Personal
Adobe Download Manager 2.0 (Supprimer uniquement)
Adobe Reader 7.0 - Français
ADS Tech Master Installer V3.0
ADS Tech V3.1 Instant DVD CapWiz
Archiveur WinRAR
a-squared free 1.5.1
BitDefender 8 Professional
CCleaner (remove only)
Complément Microsoft Word pour Microsoft Works Suite
CoreVorbis Audio Decoder (remove only)
Correctif Windows XP - KB823182
Correctif Windows XP - KB823980
Correctif Windows XP - KB824105
Correctif Windows XP - KB825119
Correctif Windows XP - KB828035
Correctif Windows XP - KB828741
Correctif Windows XP - KB837001
Correctif Windows XP - KB840374
Correctif Windows XP - KB885523
Cossacks - The Art of War
Direct Show Ogg Vorbis Filter (remove only)
DivX Codec 3.1alpha release
DivX Player
DivX Pro Trial
DVD Shrink 3.2
Easy CD & DVD Creator 6
EasyCleaner
ewido security suite
Extension Système de Microsoft Money
Free - Kit de connexion
HijackThis 1.99.1
HP Image Zone 3.5
HP PSC & OfficeJet 3.5
HP Software Update
Huffyuv AVI lossless video codec (Remove Only)
InCD EasyWrite Reader
Language pack for Ad-Aware SE
Lecteur Windows Media 10
Les Sims : Surprise-partie
Memories Disc Creator 2.0
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 French Language Pack
Microsoft Combat Flight Simulator
Microsoft Money
Microsoft Office 2000 Premium
Microsoft Picture It! Photo 7.0
Microsoft Word 2002
Microsoft Works 7.0
Nero OEM
Nero Suite
NeroVision Express 2
Panda ActiveScan
QuickTime
SAGEM F@st 800-908
Sélecteur d'installation de Microsoft Works Suite 2003
Shareaza version 2.1.0.0
Shockwave
Spybot - Search & Destroy 1.3
Ulead DVD MovieFactory 2 SE
Ulead VideoStudio 7 SE DVD
Windows Media Format Runtime
XP Codec Pack
XviD MPEG-4 Video Codec

Merci
@+

ouvre regedit,

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Pour chacune de ces clés, dis-moi si tu trouves dans le panneau de droite l'une des valeurs suivantes

Je n'ai trouvé aucune valeur pour chacune des clés

Merci
@+

avant de poster le log rkfiles, est-ce que tu avais attendu que la fentre dos se ferme ?
Ca peut prendre un certain temps.

Sinon,
désactive ta restauration système :
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/2002083(...)

Redémarre en mode sans échec et lance ton antivirus.

Redémarre et recrée un point de restauration de suite.
http://www.vulgarisation-informatique.com/creer-point-restauration.php

Puis dis ce qu'il en est de toutes ces alertes.

Voici mon log RKFILES à titre d'exemple



ça a pris une bonne vingtaine de minutes.

Voilà enfin le rapport de RKFiles

C:\Documents and Settings\Nathalie\Bureau

PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
Files Found in system Folder............
------------------------
C:\WINDOWS\system32\pncrt.dll: UPX!
C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213
C:\WINDOWS\system32\DivX.dll: PEC2
C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213
C:\WINDOWS\system32\DivX.dll: PEC2

Files Found in all users startup Folder............
------------------------
C:\WINDOWS\system32\pncrt.dll: UPX!
Files Found in all users windows Folder............
------------------------
C:\WINDOWS\tsc.exe: UPX!
C:\WINDOWS\vsapi32.dll: UPX!t4
Finished
bye

le rapport d'ewido (mode sans echec) :

---------------------------------------------------------
ewido security suite - Rapport de scan
---------------------------------------------------------

+ Créé le: 21:27:04, 28/08/2005
+ Somme de contrôle: 395B520B

+ Résultats du scan:

C:\Documents and Settings\Nathalie\Cookies\nathalie@www.smartadserver[1].txt -> Spyware.Cookie.Smartadserver : Nettoyer et sauvegarder


::Fin du rapport

J'ai pris soin de supprimer mes cookies

et aussi le rapport de Bitdefender après le redemarrage du pc

c:\windows\system32\o infected: Backdoor.BotGet.FtpB.Gen

Voilà
Merci

Vas sur ce site http://virusscan.jotti.org/
Colle dans la case à gauche de parcourir
C:\WINDOWS\tsc.exe
clique ensuite sur "submit". Un rapport est généré assez rapidement. Dépose le dans ta réponse

recommence avec ce chemin
C:\WINDOWS\vsapi32.dll

Voilà pour le premier
C:\WINDOWS\tsc.exe
MIGHT BE INFECTED/MALWARE (Sandbox emulation took a long time and/or runtime packers were found, this is suspicious. Normally programs aren't packed and don't force the sandbox into lengthy emulation. Do realize no scanner issued any warning, the file can very well be harmless. Caution is advised, however.) (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
MD5 d273d2d73c977c13067cf60805f7bdd6
Packers detected: UPX
Scanner results
AntiVir Found nothing
ArcaVir Found nothing
Avast Found nothing
AVG Antivirus Found nothing
BitDefender Found nothing
ClamAV Found nothing
Dr.Web Found nothing
F-Prot Antivirus Found nothing
Fortinet Found nothing
Kaspersky Anti-Virus Found nothing
NOD32 Found nothing
Norman Virus Control Found nothing
UNA Found nothing
VBA32 Found nothing


Voilà le deuxième
File: vsapi32.dll
Status: OK (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
MD5 afd4c131d9647db5005ac4520f6ac39c
Packers detected: -
Scanner results
AntiVir Found nothing
ArcaVir Found nothing
Avast Found nothing
AVG Antivirus Found nothing
BitDefender Found nothing
ClamAV Found nothing
Dr.Web Found nothing
F-Prot Antivirus Found nothing
Fortinet Found nothing
Kaspersky Anti-Virus Found nothing
NOD32 Found nothing
Norman Virus Control Found nothing
UNA Found nothing
VBA32 Found nothing


Merci
@+

rien. De toutes façon ce sont des fichiers relatifs à Trend-Micro.

Est-ce que tu as désactivé la restauration système... comme dit plus haut ?

Oui
@+

Coucou,

@+

Bonsoir,

je ne vois pas ou pourrait se planquer cette saleté qui fait revenir à chaque fois ces malwares.

télécharge cet explorateur,
http://www.trackerv3.com/download/trkv400.zip
Tu le décompresses et tu l'installes
Lance-le
Ouvre le menu "Tools", vas dans Configuration/General et assure-toi que la case
"show hidden files and folders" est cochée
Vas dans le menu "View" et assure-toi que "show info panel" est coché
Assure-toi que le répertoire C:\program files est sélectionné (en surbrillance)
Dans la partie en bas, clique sur "report" et vérifie que "classic directory dump" et "string file version" sont cochées.
maintenant tu cliques sur "to clipboard", cela va copier tous les fichiers de program files dans le presse-papier
colle-le dans ta réponse

Fais la même chose avec C:\program files\fichiers communs

---------

J'espère qu'on va pas devoir faire la même chose avec System32

Bonjour,

Voici le 1er rapport : c:\program files

C:\Program Files
--------------------------------------------------------------------------------
Adobe <DIR> 03/04/2005 13:56:59
ADSTech <DIR> 06/03/2005 17:25:13
ADSTech Instant DVD <DIR> 06/03/2005 17:25:06
ahead <DIR> 04/05/2005 07:42:42
Common files <DIR> 04/02/2005 18:48:17
ComPlus Applications <DIR> 02/02/2005 20:44:09
directx <DIR> 06/03/2005 19:36:55
Fichiers communs <DIR> 03/04/2005 13:51:50
Free.fr <DIR> 02/02/2005 23:31:17
HP <DIR> 01/04/2005 20:25:41
InstallShield Installation Information <DIR> 23/08/2005 13:29:14
Internet Explorer <DIR> 20/02/2005 20:14:10
Lavasoft <DIR> 14/08/2005 15:46:22
Maxis <DIR> 21/08/2005 18:30:26
Messenger <DIR> 24/04/2005 10:24:50
microsoft frontpage <DIR> 02/02/2005 23:02:10
Microsoft Money <DIR> 23/07/2005 21:57:44
Microsoft Office <DIR> 02/02/2005 21:11:30
Microsoft Picture It! 7 <DIR> 02/02/2005 21:16:52
Microsoft Visual Studio <DIR> 02/02/2005 22:37:44
Microsoft Works <DIR> 02/02/2005 21:09:28
Microsoft Works Suite 2003 <DIR> 02/02/2005 21:02:36
Movie Maker <DIR> 02/02/2005 20:46:01
MSN <DIR> 02/02/2005 20:43:41
MSN Gaming Zone <DIR> 02/02/2005 20:43:25
NetMeeting <DIR> 24/04/2005 10:23:55
Outlook Express <DIR> 02/02/2005 20:45:37
QuickTime <DIR> 06/03/2005 20:02:54
Roxio <DIR> 10/05/2005 18:39:02
SAGEM <DIR> 03/02/2005 08:27:48
Services en ligne <DIR> 02/02/2005 20:46:31
Shareaza <DIR> 22/03/2005 16:42:54
Softwin <DIR> 03/02/2005 20:15:32
TrackerV3 <DIR> 30/08/2005 18:29:03
Ulead Systems <DIR> 06/03/2005 19:51:48
Uninstall Information <DIR> 27/02/2005 14:31:01
Windows Media Player <DIR> 19/03/2005 17:40:05
Windows NT <DIR> 02/02/2005 20:43:21
WindowsUpdate <DIR> 08/04/2005 12:54:25
xerox <DIR> 02/02/2005 20:49:25
Archiviosex.txt 465 24/08/2005 21:49:39
RegSearch.exe 719 360 30/06/2005 01:20:00 ver 1.0.2.1
regsearch.zip 362 812 24/08/2005 21:44:44
--------------------------------------------------------------------------------
3 file(s), 40 folder(s) 1 082 637 bytes

Et voilà le deuxième : c\program files\fichiers communs

C:\Program Files\Fichiers communs
--------------------------------------------------------------------------------
Adobe <DIR> 03/04/2005 13:59:35
Ahead <DIR> 05/02/2005 21:43:51
Designer <DIR> 02/02/2005 21:08:08
Hewlett-Packard <DIR> 20/02/2005 20:28:46
HP <DIR> 20/02/2005 20:19:37
InstallShield <DIR> 28/03/2005 19:48:53
Microsoft Shared <DIR> 04/05/2005 11:41:00
MSSoap <DIR> 02/02/2005 20:45:30
ODBC <DIR> 02/02/2005 20:34:01
Roxio Shared <DIR> 04/05/2005 11:17:58
Services <DIR> 02/02/2005 20:45:37
Softwin <DIR> 03/02/2005 20:15:37
SpeechEngines <DIR> 02/02/2005 20:33:58
System <DIR> 01/04/2005 20:20:10
Ulead Systems <DIR> 06/03/2005 17:28:26
--------------------------------------------------------------------------------
0 file(s), 15 folder(s) 0 bytes
================================================================================

Merci

@+

salut,

dans C:\program files, ouvre ce fichier :
Archiviosex.txt
et poste le contenu
Ensuite tu le supprimes

vide ta corbeille.

As-tu encore eu des alertes, précise le(s) nom(s) exact(s) stp, meme s'il y en a plusieurs.
Que fait BitDefender, il te les met en quarantaine ?

Le fichier archiviosex.txt est un rapport de regcleaner que j'avais déposé plus haut et que j'avais oublié d'effacé.

Aujourd'hui Bitdefender ne m'a pas alerté. Et lorqu'il m'alerte, je scanne les fichiers "infectés"et je les efface lorsque je peux ou je les mets en quarantaine que j'envoie au Labo Bitdefender et ensuite j'efface la quarantaine. Voilà

Merci
@+

C'est reg cleaner mais regsearch

Milles excuses

ok.

Ces messages d'alerte surgissent-ils suite à une action particulière ? P2P, ouverture d'un dossier..... ou aléatoirement ? au démarrage ? autre ?

N'oublie pas de bien relever les noms exacts et de le signaler dès que ça se présente.

edit> fais la meme chose avec "application data", avec tracker V3, pour ta session

Voilà le rapport pour Application Data

================================================================================
C:\Documents and Settings\Nathalie\Application Data
--------------------------------------------------------------------------------
Adobe <DIR> 03/04/2005 14:01:12
AdobeUM <DIR> 03/04/2005 14:01:59
Ahead <DIR> 13/02/2005 17:46:36
Common Files <DIR> 10/03/2005 20:02:15
Help <DIR> 06/03/2005 17:29:31
HP <DIR> 10/03/2005 20:01:54
Identities <DIR> 02/02/2005 20:55:28
Lavasoft <DIR> 14/08/2005 15:46:58
Macromedia <DIR> 05/02/2005 18:23:06
Microsoft <DIR> 08/06/2005 11:02:40
Microsoft Web Folders <DIR> 02/02/2005 22:36:19
MSN6 <DIR> 11/07/2005 14:04:27
Roxio <DIR> 10/07/2005 21:03:40
Shareaza <DIR> 22/03/2005 16:42:43
Ulead Systems <DIR> 28/04/2005 19:42:22
AdobeDLM.log 871 03/04/2005 13:56:59
desktop.ini 62 02/02/2005 20:33:30
dm.ini 0 03/04/2005 13:56:58
--------------------------------------------------------------------------------
3 file(s), 15 folder(s) 933 bytes
================================================================================
Généralement c'est au démarrage de mon Pc que j'ai des messages et que je me branche sur internet. P2P, non- par contre je n'ai jamais fait attention si cela provenait lors de l'ouverture d'un fichier particulier, je vais faire "gaffe" la prochaine fois

J'ai aussi parfois le pointeur de la souris qui se balade sur le bureau.

oui il faut essayer de donner le plus de détails possibles, même si ça parait idiot parfois.
Parce que là, on a quand même bien fouillé dans ton ordinateur.

On peut tenter autre chose,

lance TrackerV3, vas dans C:\WINDOWS\system32\ et assure-toi que dans l'arborescence de gauche system32 est bien en surbrillance.
Maintenant, dans la fenetre du bas, clique sur "find files",
Dans Name tu mets :
tftp
Dans location tu dois bien avoir C:\WINDOWS\system32

Assure-toi que "include subfolder " est coché.
Clique ensuite sur "find now"

Une liste va apparaitre. Sélectionne tous les éléments trouvés dans le panneau de droite (ctrl + a), puis fais un clic droit sur le rectangle de sélection>info to clipboard>"name,bytes,modified,path"

Colle cela dans ta prochaine réponse.
Chez moi ça donne ça, juste pour l'exemple :

tftp.exe, 17 920 bytes, 05/08/2004 14:00:00, ver 5.1.2600.0 (xpclient.010817-1148), C:\WINDOWS\system32\dllcache\
tftp.exe, 17 920 bytes, 05/08/2004 14:00:00, ver 5.1.2600.0 (xpclient.010817-1148), C:\WINDOWS\system32\

------------------------

Tu as une souris optique ?

Bonjour,

Voici le rapport de lance Tracker V3,

Je n'ai pas de souris optique, elle est standard
(avec un fil... :oups:)

tftp.exe, 17 920 bytes, 28/08/2001 14:00:00, ver 5.1.2600.0 (xpclient.010817-1148), C:\WINDOWS\system32\
tftp.exe, 17 920 bytes, 28/08/2001 14:00:00, ver 5.1.2600.0 (xpclient.010817-1148), C:\WINDOWS\system32\dllcache\
TFTP1012, 0 bytes, 17/07/2005 12:00:53, C:\WINDOWS\system32\
TFTP1028, 0 bytes, 21/06/2005 09:44:32, C:\WINDOWS\system32\
TFTP1036, 0 bytes, 03/02/2005 09:00:29, C:\WINDOWS\system32\
TFTP1160, 0 bytes, 27/08/2005 10:12:48, C:\WINDOWS\system32\
TFTP1176, 0 bytes, 24/08/2005 14:32:35, C:\WINDOWS\system32\
TFTP1264, 0 bytes, 18/08/2005 18:53:04, C:\WINDOWS\system32\
TFTP1320, 0 bytes, 23/08/2005 23:34:15, C:\WINDOWS\system32\
TFTP1356, 0 bytes, 22/07/2005 14:54:52, C:\WINDOWS\system32\
TFTP136, 0 bytes, 20/06/2005 20:53:07, C:\WINDOWS\system32\
TFTP1412, 0 bytes, 18/06/2005 20:50:34, C:\WINDOWS\system32\
TFTP1492, 0 bytes, 23/07/2005 16:26:13, C:\WINDOWS\system32\
TFTP1520, 0 bytes, 17/06/2005 17:04:18, C:\WINDOWS\system32\
TFTP1636, 0 bytes, 23/06/2005 10:28:47, C:\WINDOWS\system32\
TFTP1676, 0 bytes, 21/06/2005 13:16:34, C:\WINDOWS\system32\
TFTP1700, 0 bytes, 24/08/2005 18:27:19, C:\WINDOWS\system32\
TFTP1716, 0 bytes, 14/06/2005 22:34:58, C:\WINDOWS\system32\
TFTP1852, 0 bytes, 02/07/2005 19:45:08, C:\WINDOWS\system32\
TFTP1856, 0 bytes, 11/07/2005 13:37:17, C:\WINDOWS\system32\
TFTP1864, 0 bytes, 09/06/2005 10:03:05, C:\WINDOWS\system32\
TFTP1920, 0 bytes, 04/07/2005 10:49:37, C:\WINDOWS\system32\
TFTP1928, 0 bytes, 07/07/2005 08:18:49, C:\WINDOWS\system32\
TFTP196, 0 bytes, 16/06/2005 09:36:56, C:\WINDOWS\system32\
TFTP1960, 0 bytes, 23/08/2005 21:28:02, C:\WINDOWS\system32\
TFTP200, 0 bytes, 22/07/2005 21:21:05, C:\WINDOWS\system32\
TFTP2044, 0 bytes, 27/08/2005 19:42:45, C:\WINDOWS\system32\
TFTP216, 0 bytes, 03/02/2005 08:46:37, C:\WINDOWS\system32\
TFTP2240, 0 bytes, 12/06/2005 18:45:43, C:\WINDOWS\system32\
TFTP2292, 0 bytes, 03/02/2005 19:47:58, C:\WINDOWS\system32\
TFTP2332, 0 bytes, 03/02/2005 08:38:27, C:\WINDOWS\system32\
TFTP2356, 0 bytes, 08/07/2005 10:37:01, C:\WINDOWS\system32\
TFTP2360, 0 bytes, 06/07/2005 20:04:26, C:\WINDOWS\system32\
TFTP2584, 0 bytes, 18/07/2005 09:53:30, C:\WINDOWS\system32\
TFTP2636, 0 bytes, 19/06/2005 19:32:21, C:\WINDOWS\system32\
TFTP2692, 0 bytes, 23/08/2005 20:15:31, C:\WINDOWS\system32\
TFTP2840, 0 bytes, 30/08/2005 18:20:54, C:\WINDOWS\system32\
TFTP3008, 0 bytes, 17/06/2005 12:06:36, C:\WINDOWS\system32\
TFTP3072, 0 bytes, 30/06/2005 11:02:41, C:\WINDOWS\system32\
TFTP3132, 0 bytes, 22/06/2005 19:20:10, C:\WINDOWS\system32\
TFTP3136, 0 bytes, 15/06/2005 09:54:35, C:\WINDOWS\system32\
TFTP3236, 0 bytes, 06/06/2005 10:22:05, C:\WINDOWS\system32\
TFTP3320, 0 bytes, 19/07/2005 16:21:08, C:\WINDOWS\system32\
TFTP3400, 0 bytes, 15/06/2005 15:24:29, C:\WINDOWS\system32\
TFTP3408, 0 bytes, 06/07/2005 11:45:04, C:\WINDOWS\system32\
TFTP3436, 0 bytes, 19/07/2005 14:15:52, C:\WINDOWS\system32\
TFTP3452, 0 bytes, 11/07/2005 11:07:12, C:\WINDOWS\system32\
TFTP3504, 0 bytes, 22/06/2005 09:52:17, C:\WINDOWS\system32\
TFTP392, 0 bytes, 09/07/2005 19:16:44, C:\WINDOWS\system32\
TFTP3972, 0 bytes, 18/07/2005 13:26:02, C:\WINDOWS\system32\
TFTP400, 0 bytes, 03/02/2005 08:34:48, C:\WINDOWS\system32\
TFTP4028, 0 bytes, 23/07/2005 12:10:14, C:\WINDOWS\system32\
TFTP456, 0 bytes, 24/08/2005 17:48:35, C:\WINDOWS\system32\
TFTP472, 0 bytes, 09/06/2005 21:31:18, C:\WINDOWS\system32\
TFTP484, 0 bytes, 17/08/2005 12:12:34, C:\WINDOWS\system32\
TFTP496, 0 bytes, 24/08/2005 18:37:20, C:\WINDOWS\system32\
TFTP560, 0 bytes, 18/08/2005 20:49:57, C:\WINDOWS\system32\
TFTP608, 0 bytes, 14/06/2005 09:28:07, C:\WINDOWS\system32\
TFTP632, 0 bytes, 10/06/2005 10:05:45, C:\WINDOWS\system32\
TFTP656, 0 bytes, 15/06/2005 18:59:28, C:\WINDOWS\system32\
TFTP676, 0 bytes, 05/07/2005 10:58:56, C:\WINDOWS\system32\
TFTP820, 0 bytes, 03/02/2005 19:55:54, C:\WINDOWS\system32\
TFTP936, 0 bytes, 21/07/2005 18:55:07, C:\WINDOWS\system32\
TFTP956, 0 bytes, 12/06/2005 09:10:31, C:\WINDOWS\system32\

Merci
@+

Salut,

Etrange tous ces fichiers. Certains ont été créés il y a bien longtemps.
Je ne saurais trancher sur leur légitimité...

Je te propose de les mettre tous en quarantaine, avec bitdefender, mais à l'exception de ces 2 là :

tftp.exe dans C:\WINDOWS\system32\
tftp.exe dans C:\WINDOWS\system32\dllcache\

Ceux-là sont bons.

Ne vide pas la quarantaine, on ne sait jamais.
Par la suite, observe si de nouveaux fichiers similaires apparaissent dans C:\WINDOWS\system32
Observe également si tu as de nouvelles alertes de BitDefender.

Donne des nouvelles.

Ok, j'ai fait la manip pas de soucis.

Mais au moment où je me suis connectée sur internet un message de Bitdefender est apparu

c:\windows\system32\o infected: Backdoor.BotGet.FtpB.Gen

"Ca s'en va et ça revient"

Merci
@+

arf !

lance TrackerV3, "find files", dans tout le disque dur (C:)
Coche la case "exact match" puis lance la recherche de ce terme :
o

Sélectionne tous les éléments trouvés dans le panneau de droite (ctrl + a), puis fais un clic droit sur le rectangle de sélection>info to clipboard>"name,bytes,modified,path"

Poste le résultat.

J'ai fait la manip mais il n'a rien trouvé

Merci
@+

Bon.

En attendant, je te propose de faire des mises à jour, c'est important pour la sécurité du système.
Vas ici et télécharge les dernières MAJ, pour Windows et pour IE
http://windowsupdate.microsoft.com/
Je te conseille de prendre le SP2

Est-ce que ta version de Bitdefender inclut un firewall ? je n'ai pas trouvé de processus explicite à ce sujet dans ton rapport (par méconnaissance). Quelle est cette version d'ailleurs ?

Bonjour,

Oui, je crois que ma version de Bitdefender inclut un Firewall. Ma version est la n° 8 Professionnel Plus.

Quand à SP2, j'avais déjà essayé et mon ordinateur s'est complétement bloqué. A vrai dire le professionnel qui m'a assemblé mon Pc (et qui est un copain) m'a installé XP sans que je sois en possession d'une licence. alors ??????

Merci
@+

Bonsoir,

fais voir le contenu de C:\Windows\Downloaded Program Files à l'aide de TrackerV3

Bonsoir,

Voilà le rapport
================================================================================
C:\WINDOWS\Downloaded Program Files
--------------------------------------------------------------------------------
rave <DIR> 06/02/2005 18:20:39
asinst.dll 135 168 01/08/2005 08:16:40 ver 57, 8, 0, 0
asinst.inf 525 15/07/2005 09:12:24
axscan.ocx 903 680 05/05/2005 16:28:44 ver 1.0.0.27
default.inf 619 22/10/2004 14:35:00
desktop.ini 65 02/02/2005 20:46:54
DirectAnimation Java Classes.osd 697 14/10/1997 19:52:54
imloader.exe 398 456 08/11/2004 12:56:28 ver 3, 1, 0, 1000
messengerstatsclient.dll 160 864 29/05/2003 15:00:20 ver 7.1.9502.1
Microsoft XML Parser for Java.osd 1 162 20/01/2000 15:25:06
MsnMessengerSetupDownloader.inf 227 13/07/2004 12:41:38
MsnMessengerSetupDownloader.ocx 119 496 05/11/2004 16:58:20 ver 1.0.0.1
ravllio.vxd 6 638 18/04/2003 21:11:40
ravscan.dll 167 936 04/09/2003 15:33:28 ver 1, 0, 0, 211
ravupdt.dll 290 816 04/09/2003 15:34:04 ver 1, 0, 0, 371
ravupdt.ini 381 05/03/2003 21:27:22
speedup.fic 16 17/07/2005 20:04:14
swflash.inf 3 759 08/12/2003 14:58:16
teleir_cert.osd 1 390 21/10/2004 17:55:42
update.log 19 563 17/07/2005 19:36:12
validate.rdb 16 17/07/2005 20:04:14
wuweb.inf 293 03/08/2004 14:51:26
xscan.inf 1 777 09/06/2004 17:51:18
xscan53.ocx 435 712 09/06/2004 17:56:02 ver 5, 70, 0, 1086
--------------------------------------------------------------------------------
23 file(s), 1 folder(s) 2 649 256 bytes
================================================================================

Merci
@+

Bonsoir,

Télécharge WinPFind http://www.bleepingcomputer.com/files/oldtimer/WinPFind.zip
Dézippe-le dans C:\

Redémarre en mode sans échec.
Double-clique sur le fichier c:\winpfind\winpfind.exe, clique ensuite sur le bouton "Start Scan button"
Patiente le temps du scan.
Quand c'est terminé, redémarre normalement et poste le contenu du fichier WinPFind.Txt qui se trouve dans le répertoire c:\winpfind

Bonjour,

Voici le rapport de winpfind :

WARNING: not all files found by this scanner are bad. Consult with a knowledgable person before proceeding.

If you see a message in the titlebar saying "Not responding..." you can ignore it. Windows somethimes displays this message due to the high volume of disk I/O. As long as the hard disk light is flashing, the program is still working properly.

»»»»»»»»»»»»»»»»» Windows OS and Versions »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Product Name: Microsoft Windows XP Current Build: Service Pack 1 Current Build Number: 2600
Internet Explorer Version: 6.0.2800.1106

»»»»»»»»»»»»»»»»» Checking Selected Standard Folders »»»»»»»»»»»»»»»»»»»»

Checking %SystemDrive% folder...

Checking %ProgramFilesDir% folder...

Checking %WinDir% folder...
PECompact2 19/08/2005 21:22:36 15636721 C:\WINDOWS\LPT$VPN.791
qoologic 19/08/2005 21:22:36 15636721 C:\WINDOWS\LPT$VPN.791
SAHAgent 19/08/2005 21:22:36 15636721 C:\WINDOWS\LPT$VPN.791
UPX! 19/08/2005 21:22:44 170053 C:\WINDOWS\tsc.exe
PECompact2 19/08/2005 21:22:36 15636721 C:\WINDOWS\VPTNFILE.791
qoologic 19/08/2005 21:22:36 15636721 C:\WINDOWS\VPTNFILE.791
SAHAgent 19/08/2005 21:22:36 15636721 C:\WINDOWS\VPTNFILE.791
UPX! 19/08/2005 21:22:40 1044560 C:\WINDOWS\vsapi32.dll
aspack 19/08/2005 21:22:40 1044560 C:\WINDOWS\vsapi32.dll

Checking %System% folder...
PEC2 28/08/2001 14:00:00 41131 C:\WINDOWS\SYSTEM32\dfrg.msc
PEC2 03/09/2004 20:03:48 716800 C:\WINDOWS\SYSTEM32\DivX.dll
PECompact2 03/09/2004 20:03:48 716800 C:\WINDOWS\SYSTEM32\DivX.dll
UPX! 26/11/2003 01:32:02 123392 C:\WINDOWS\SYSTEM32\pncrt.dll
Umonitor 29/08/2002 11:44:56 658944 C:\WINDOWS\SYSTEM32\rasdlg.dll
winsync 28/08/2001 14:00:00 1309184 C:\WINDOWS\SYSTEM32\wbdbase.deu

Checking %System%\Drivers folder and sub-folders...

Items found in C:\WINDOWS\SYSTEM32\drivers\etc\Hosts


Checking the Windows folder and sub-folders for system and hidden files within the last 60 days...
04/09/2005 16:53:58 S 2048 C:\WINDOWS\bootstat.dat
04/09/2005 16:53:04 S 64 C:\WINDOWS\CSC\00000001
04/09/2005 15:16:14 S 64 C:\WINDOWS\CSC\00000002
03/09/2005 22:32:44 S 64 C:\WINDOWS\CSC\csc1.tmp
01/09/2005 20:00:56 H 0 C:\WINDOWS\inf\oem14.inf
04/09/2005 16:53:50 H 8192 C:\WINDOWS\system32\config\default.LOG
04/09/2005 16:54:16 H 1024 C:\WINDOWS\system32\config\SAM.LOG
04/09/2005 16:54:00 H 12288 C:\WINDOWS\system32\config\SECURITY.LOG
04/09/2005 16:55:08 H 86016 C:\WINDOWS\system32\config\software.LOG
04/09/2005 16:54:02 H 905216 C:\WINDOWS\system32\config\system.LOG
17/07/2005 21:43:02 HS 388 C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\76483ffa-0432-49fb-ba77-1a5a17c3126f
17/07/2005 21:43:02 HS 24 C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\Preferred
14/08/2005 12:50:12 HS 388 C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\User\05f26c1b-11e1-4169-8869-d5f5cd7694fe
14/08/2005 12:50:12 HS 24 C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\User\Preferred

Checking for CPL files...
25/05/2004 17:06:58 417792 C:\WINDOWS\SYSTEM32\ac3filter.cpl
Microsoft Corporation 28/08/2001 14:00:00 69120 C:\WINDOWS\SYSTEM32\access.cpl
Microsoft Corporation 29/08/2002 11:45:16 583680 C:\WINDOWS\SYSTEM32\appwiz.cpl
Broadcom Corporation 01/10/2004 15:40:16 266299 C:\WINDOWS\SYSTEM32\btcpl.cpl
Microsoft Corporation 29/08/2002 11:45:16 132096 C:\WINDOWS\SYSTEM32\desk.cpl
Microsoft Corporation 28/08/2001 14:00:00 152064 C:\WINDOWS\SYSTEM32\hdwwiz.cpl
Microsoft Corporation 29/08/2002 11:45:16 293888 C:\WINDOWS\SYSTEM32\inetcpl.cpl
Microsoft Corporation 29/08/2002 11:45:16 126464 C:\WINDOWS\SYSTEM32\intl.cpl
Microsoft Corporation 29/08/2002 11:45:16 66560 C:\WINDOWS\SYSTEM32\joy.cpl
Microsoft Corporation 28/08/2001 14:00:00 189952 C:\WINDOWS\SYSTEM32\main.cpl
Microsoft Corporation 28/08/2001 14:00:00 567296 C:\WINDOWS\SYSTEM32\mmsys.cpl
Microsoft Corporation 28/08/2001 14:00:00 35840 C:\WINDOWS\SYSTEM32\ncpa.cpl
Microsoft Corporation 28/08/2001 14:00:00 260096 C:\WINDOWS\SYSTEM32\nusrmgr.cpl
Microsoft Corporation 28/08/2001 14:00:00 38400 C:\WINDOWS\SYSTEM32\nwc.cpl
Microsoft Corporation 28/08/2001 14:00:00 36864 C:\WINDOWS\SYSTEM32\odbccp32.cpl
Microsoft Corporation 28/08/2001 14:00:00 112640 C:\WINDOWS\SYSTEM32\powercfg.cpl
Apple Computer, Inc. 04/05/2001 18:17:08 289280 C:\WINDOWS\SYSTEM32\QuickTime.cpl
Microsoft Corporation 29/08/2002 11:45:16 274944 C:\WINDOWS\SYSTEM32\sysdm.cpl
Microsoft Corporation 28/08/2001 14:00:00 28160 C:\WINDOWS\SYSTEM32\telephon.cpl
Microsoft Corporation 28/08/2001 14:00:00 90112 C:\WINDOWS\SYSTEM32\timedate.cpl
Microsoft Corporation 26/05/2005 04:16:32 175896 C:\WINDOWS\SYSTEM32\wuaucpl.cpl
Microsoft Corporation 28/08/2001 14:00:00 69120 C:\WINDOWS\SYSTEM32\dllcache\access.cpl
Microsoft Corporation 29/08/2002 11:45:16 583680 C:\WINDOWS\SYSTEM32\dllcache\appwiz.cpl
Microsoft Corporation 29/08/2002 11:45:16 132096 C:\WINDOWS\SYSTEM32\dllcache\desk.cpl
Microsoft Corporation 28/08/2001 14:00:00 152064 C:\WINDOWS\SYSTEM32\dllcache\hdwwiz.cpl
Microsoft Corporation 29/08/2002 11:45:16 293888 C:\WINDOWS\SYSTEM32\dllcache\inetcpl.cpl
Microsoft Corporation 29/08/2002 11:45:16 126464 C:\WINDOWS\SYSTEM32\dllcache\intl.cpl
Microsoft Corporation 29/08/2002 11:45:16 66560 C:\WINDOWS\SYSTEM32\dllcache\joy.cpl
Microsoft Corporation 28/08/2001 14:00:00 189952 C:\WINDOWS\SYSTEM32\dllcache\main.cpl
Microsoft Corporation 28/08/2001 14:00:00 567296 C:\WINDOWS\SYSTEM32\dllcache\mmsys.cpl
Microsoft Corporation 28/08/2001 14:00:00 35840 C:\WINDOWS\SYSTEM32\dllcache\ncpa.cpl
Microsoft Corporation 28/08/2001 14:00:00 260096 C:\WINDOWS\SYSTEM32\dllcache\nusrmgr.cpl
Microsoft Corporation 28/08/2001 14:00:00 38400 C:\WINDOWS\SYSTEM32\dllcache\nwc.cpl
Microsoft Corporation 28/08/2001 14:00:00 36864 C:\WINDOWS\SYSTEM32\dllcache\odbccp32.cpl
Microsoft Corporation 28/08/2001 14:00:00 112640 C:\WINDOWS\SYSTEM32\dllcache\powercfg.cpl
Microsoft Corporation 29/08/2002 11:45:16 151552 C:\WINDOWS\SYSTEM32\dllcache\sapi.cpl
Microsoft Corporation 29/08/2002 11:45:16 274944 C:\WINDOWS\SYSTEM32\dllcache\sysdm.cpl
Microsoft Corporation 28/08/2001 14:00:00 28160 C:\WINDOWS\SYSTEM32\dllcache\telephon.cpl
Microsoft Corporation 28/08/2001 14:00:00 90112 C:\WINDOWS\SYSTEM32\dllcache\timedate.cpl

»»»»»»»»»»»»»»»»» Checking Selected Startup Folders »»»»»»»»»»»»»»»»»»»»»

Checking files in %ALLUSERSPROFILE%\Startup folder...
03/09/2005 15:24:54 729 C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\BTTray.lnk
02/02/2005 20:49:06 HS 84 C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\desktop.ini
03/02/2005 08:28:00 842 C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\DSLMON.lnk
04/05/2005 07:57:16 1735 C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk

Checking files in %ALLUSERSPROFILE%\Application Data folder...
02/02/2005 20:33:32 HS 62 C:\Documents and Settings\All Users\Application Data\desktop.ini
29/06/2005 18:36:22 8 C:\Documents and Settings\All Users\Application Data\DragToDiscUserNameG.txt
24/04/2005 10:34:04 1333 C:\Documents and Settings\All Users\Application Data\hpzinstall.log

Checking files in %USERPROFILE%\Startup folder...
02/02/2005 20:49:06 HS 84 C:\Documents and Settings\Nathalie\Menu Démarrer\Programmes\Démarrage\desktop.ini

Checking files in %USERPROFILE%\Application Data folder...
03/04/2005 13:57:00 871 C:\Documents and Settings\Nathalie\Application Data\AdobeDLM.log
02/02/2005 20:33:32 HS 62 C:\Documents and Settings\Nathalie\Application Data\desktop.ini
03/04/2005 13:57:00 0 C:\Documents and Settings\Nathalie\Application Data\dm.ini

»»»»»»»»»»»»»»»»» Checking Selected Registry Keys »»»»»»»»»»»»»»»»»»»»»»»

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
=

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

[HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers]
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\BitDefender Antivirus v8
{D653647D-D607-4DF6-A5B8-48D2BA195F7B} = C:\Program Files\Softwin\BitDefender8\bdshelxt.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\ewido
{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E} = e:\Program Files\ewido\security suite\context.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With
{09799AFB-AD67-11d1-ABCD-00C04FC30936} = %SystemRoot%\system32\SHELL32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = e:\Program Files\WinRAR\rarext.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}
Épingle du menu Démarrer = %SystemRoot%\system32\SHELL32.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\a2ContMenu
{AB77609F-2178-4E6F-9C4B-44AC179D937A} = e:\PROGRA~1\A2FREE~1\A2CONT~1.DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\BitDefender Antivirus v7
{D653647D-D607-4DF6-A5B8-48D2BA195F7B} = C:\Program Files\Softwin\BitDefender8\bdshelxt.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\BitDefender Antivirus v8
{D653647D-D607-4DF6-A5B8-48D2BA195F7B} = C:\Program Files\Softwin\BitDefender8\bdshelxt.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\BPS.Spyware.Adware.Remover
{7306D133-DBED-4096-84A3-8B98B23F02B4} =
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = e:\Program Files\WinRAR\rarext.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\ewido
{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E} = e:\Program Files\ewido\security suite\context.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Sharing
{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6} = ntshrui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = e:\Program Files\WinRAR\rarext.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{0D2E74C4-3C34-11d2-A27E-00C04FC30871}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F01-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F02-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{66742402-F9B9-11D1-A202-0000F81FEDEE}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{F9DB5320-233E-11D1-9F84-707F02C10627}
= E:\Program Files\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
AcroIEHlprObj Class = E:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{243B17DE-77C7-46BF-B94B-0B5F309A0E64}
= C:\Program Files\Microsoft Money\System\mnyside.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}
= E:\PROGRA~1\SPYBOT~1\SDHelper.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{4D5C8C25-D075-11d0-B416-00C04FB90376}
&Astuce du jour = %SystemRoot%\System32\shdocvw.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ToolBar]
{8E718888-423F-11D2-876E-00A0C9082467} = &Radio : C:\WINDOWS\System32\msdxm.ocx

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{CCA281CA-C863-46ef-9331-5C8D4460577F}
ButtonText = @btrez.dll,-4015 :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{E023F504-0C5A-4750-A1E7-A9046DEA8A21}
ButtonText = MoneySide :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{FB5F1910-F110-11d2-BB9E-00C04F795683}
ButtonText = Messenger : C:\Program Files\Messenger\MSMSGS.EXE

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{32683183-48a0-441b-a342-7c2a440a9478}
Media Band = %SystemRoot%\System32\browseui.dll

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\System32\browseui.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\System32\browseui.dll
{0E5CBF21-D15F-11D0-8301-00AA005B4383} = &Liens : %SystemRoot%\system32\SHELL32.dll
{BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} = :

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Microsoft Works Update Detection C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
BDMCon C:\PROGRA~1\Softwin\BITDEF~2\bdmcon.exe
BDOESRV C:\Program Files\Softwin\BitDefender8\\bdoesrv.exe
BDNewsAgent C:\PROGRA~1\Softwin\BITDEF~2\bdnagent.exe
NeroFilterCheck C:\WINDOWS\system32\NeroCheck.exe
HP Software Update "C:\Program Files\HP\HP Software Update\HPWuSchd.exe"
RoxioEngineUtility "C:\Program Files\Fichiers communs\Roxio Shared\System\EngUtil.exe"
RoxioDragToDisc "C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"
RoxioAudioCentral "C:\Program Files\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe"
MSConfig C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]
IMAIL Installed = 1
MAPI Installed = 1
MSFS Installed = 1

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
CTFMON.EXE C:\WINDOWS\System32\ctfmon.exe
MoneyAgent "C:\Program Files\Microsoft Money\System\mnyexpr.exe"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Network
NoFileSharing 1
NoPrintSharing 1


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} = C:\PROGRA~1\FICHIE~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
{6DFD7C5C-2451-11d3-A299-00C04F8EF6AF} =
{0DF44EAA-FF21-4412-828E-260A8728E7F1} =


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ratings

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
dontdisplaylastusername 0
legalnoticecaption
legalnoticetext
shutdownwithoutlogon 1
undockwithoutlogon 1


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
NoDriveTypeAutoRun 145
Drive 0


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
PostBootReminder {7849596a-48ea-486e-8937-a2a3009f31a9} = %SystemRoot%\system32\SHELL32.dll
CDBurn {fbeb8a05-beee-4442-804e-409d6c4515e9} = %SystemRoot%\system32\SHELL32.dll
WebCheck {E6FB5E20-DE35-11CF-9C87-00AA005127ED} = %SystemRoot%\System32\webcheck.dll
SysTray {35CEC8A3-2BE6-11D2-8773-92E220524153} = C:\WINDOWS\System32\stobject.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,
Shell = Explorer.exe
System =

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain
= crypt32.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet
= cryptnet.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll
= cscdll.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy
= sclgntfy.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn
= WlNotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon
= wlnotify.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path
Debugger = ntsd -d

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
AppInit_DLLs


»»»»»»»»»»»»»»»»»»»»»»»» Scan Complete »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
WinPFind v1.3.5 - Log file written to "WinPFind.Txt" in the WinPFind folder.
Scan completed on 04/09/2005 17:02:29

Merci
@+

Coucou

@+

Bonjour natsa,

est-ce que tu as eu d'autres alertes ?

Pourrais-tu déposer, parallèlement, le rapport d'actions de ton antivirus, avec les dates, les chemins, et les actions entreprise (quarantaine, suppression), ainsi que les noms des malwares.