Impossible d'éliminer Nurech (et d'autres peut-être !!!)

lm76 le 17 novembre 2008 à 09h23

Bonjour,

J'ai essayé tout ce que je comprenais, mais là je baisse un peu les bras. Je n'arrive pas à éliminer "Nurech" qui est identifié par SpyBot. Et au final je me retrouve avec d'autres eliminés par spybot mais qui reviennent !!!
Pourriez vous m'aider ?

Je vous en remercie par avance !
Cordialement,

Lionel

répondre

naheulbeuk le 17 novembre 2008 à 10h42

bonjour,

Télécharge HijackThis

Guide d'utilisation : http://www.site-naheulbeuk.com/hijackthis.php

Clique alors sur "Do a system scan and save a logfile"
Le scan se fait très rapidement, puis un bloc-note apparaît
(le "logfile")
Dans ce bloc-note, va dans "Edition", puis "Selectionner Tout",
le texte est alors séléctionné, retourne dans "Edition" toujours
en laissant le texte séléctionné, et clique sur copier.
Colle le contenu ici dans ta prochaine réponse !

-------
Visitez mon site sur la sécurité informatique : http://www.site-naheulbeuk.com
Et son forum : http://www.site-naheulbeuk.com/forum/

répondre

lm76 le 17 novembre 2008 à 11h57

Merci pour la réponse (Super rapide !!!) !

Je tenais juste à préciser que j'ai mis dans msconfig le démarrage minimum (Je ne sais si cela influe sur HijackThis ?!).

Merci encore pour votre aide !

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:55:44, on 16/11/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Documents and Settings\All Users\Application Data\csrss.exe
C:\WINDOWS\system32\drivers\services.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\drivers\services.exe
C:\Documents and Settings\Gilles\svchost.exe
C:\Documents and Settings\Gilles\Application Data\gadcom\gadcom.exe
C:\WINDOWS\system32\drivers\services.exe
C:\Documents and Settings\Gilles\svchost.exe
C:\Documents and Settings\Gilles\Menu Démarrer\Programmes\Démarrage\userinit.exe
C:\WINDOWS\system32\wpabaln.exe
C:\Documents and Settings\Gilles\Mes documents\Utilitaires\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-internet.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par Club-Internet
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.club-internet.fr:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;*.local;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: (no name) - {06663B56-0D73-4f9f-BCC5-4AA941470AFD} - C:\Program Files\PandoBar\SrchAstt\1.bin\P4SRCHAS.DLL
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\drivers\services.exe
O1 - Hosts: .youporn.com
O1 - Hosts: 0
O1 - Hosts: .0.1 news.google.ca
O1 - Hosts: ww.youporn.com
O1 - Hosts: 0
O1 - Hosts: .google.mn
O1 - Hosts: .youporn.com
O1 - Hosts: 0
O1 - Hosts: .0.1 news.google.ca
O1 - Hosts: ww.youporn.com
O1 - Hosts: 0
O2 - BHO: C:\WINDOWS\system32\jksf83deff.dll - {C5AF42A3-94F3-42BD-F434-3604832C897D} - C:\WINDOWS\system32\jksf83deff.dll
O2 - BHO: Rmn plugin - {EF99D588-3D5F-4194-828A-E03870A57A77} - gcomd32.dll (file missing)
O3 - Toolbar: (no name) - {A20A76AD-7A29-4756-87FE-70C334CB40C0} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [[system]] C:\WINDOWS\system32\drivers\services.exe
O4 - HKLM\..\Run: [winlogon] C:\Documents and Settings\Gilles\svchost.exe
O4 - HKCU\..\Run: [gadcom] "C:\Documents and Settings\Gilles\Application Data\gadcom\gadcom.exe" 61A847B5BBF72810358B2B27128065E9C084320161C4661227A755E9C2933154389A
O4 - HKCU\..\Run: [[system]] C:\WINDOWS\system32\drivers\services.exe
O4 - HKCU\..\Run: [winlogon] C:\Documents and Settings\Gilles\svchost.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-20\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User '?')
O4 - HKUS\S-1-5-21-1645522239-842925246-839522115-1004\..\Run: [gadcom] "C:\Documents and Settings\Gilles\Application Data\gadcom\gadcom.exe" 61A847B5BBF72810358B2B27128065E9C084320161C4661227A755E9C2933154389A (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-18\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-21-1645522239-842925246-839522115-1004 Startup: userinit.exe (User '?')
O4 - Startup: userinit.exe
O8 - Extra context menu item: &Search - http://ko.bar.need2find.com/KO/menusearch.html?p=KO
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.club-internet.fr
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/fr(...)
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O20 - Winlogon Notify: Csrss - C:\WINDOWS\SYSTEM32\csrss5.dll
O20 - Winlogon Notify: sysfdll32 - C:\WINDOWS\SYSTEM32\sysfdll32.dll
O20 - Winlogon Notify: sysfldr - C:\WINDOWS\SYSTEM32\sysfldr.dll
O20 - Winlogon Notify: zmpiwrzp - C:\WINDOWS\SYSTEM32\zmpiwrzp32.dll
O21 - SSODL: FdaQkablTWpru - {C8196FE9-62B3-C543-5B43-9F22ADA2BAC6} - C:\WINDOWS\system32\uuvl.dll
O22 - SharedTaskScheduler: g984tsmy55ygffgnjkdfgdsfd - {C5AF42A3-94F3-42BD-F434-3604832C897D} - C:\WINDOWS\system32\jksf83deff.dll

--
End of file - 7275 bytes

répondre

naheulbeuk le 17 novembre 2008 à 12h06

re, tu es bien infecté

1/ Télécharge R-Hosts :
http://siri.urz.free.fr/Softs/RHosts.exe

Lance-le.
Clique sur Restaurer

2/ Télécharge ComboFix (créé par sUBs) sur ton Bureau

Démarre en mode sans échec : http://forum.telecharger.01net.com/telecharger/virus_et_assimiles/failles_de_(...)

Double clique combofix.exe.

Tape sur la touche 1 pour démarrer le scan puis laisse toi guider.

ComboFix redémarrera ton PC

Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

:hello:

-------
Visitez mon site sur la sécurité informatique : http://www.site-naheulbeuk.com
Et son forum : http://www.site-naheulbeuk.com/forum/

répondre

lm76 le 17 novembre 2008 à 14h41

J'ai un problème !
Tout d'abord je n'arrive à redemarrer en mode sans échec qu'une fois sur dix ... j'arrive bien à chaque fois sur l'écran où je choisi "sans échec ... normalement ... etc", mais après quelques secondes d'attente une fois le mode sans échec sélectionné ... l'ordinateur "reset" neuf fois sur dix !
Et lorsque j'arrive à demarrer en mode sans échec ComboFix me dit dans une fenêtre RootKit !! : ComboFix à détecté la présence d'une activité de rootkit et à besoin de faire redemarer la machine !
La redemarer ?? en mode sans echec ??? J'ai essayé plusieurs fois mais j'ai toujours le même message de Combofix !
Que puis-je faire ? :??:

répondre

naheulbeuk le 17 novembre 2008 à 18h04

re, on va essayer autrement

Passe un coup de MalwareBytes (scan complet) et nettoie tout ce qu'il trouve
Aide : http://www.site-naheulbeuk.com/malwarebytes.php
Post moi le rapport généré à la fin dans ta prochaine réponse

-------
Visitez mon site sur la sécurité informatique : http://www.site-naheulbeuk.com
Et son forum : http://www.site-naheulbeuk.com/forum/

répondre

lm76 le 17 novembre 2008 à 19h19

Le cas semble de plus en plus despéré ... J'ai un écran bleu qui me dit que Winlogon s'est terminé sans raison et que donc le système s'arrête !!! Même après plusieurs essais !!!

Il y a peut-être plus que des virus ce sur PC ??? Ou alors j'en ai encore jamais vu des comme ça !!! En fait c'est le PC d'un ami qui s'y connait encore moins que moi !

Que pensez vous de la situation ? Je peux avoir un disque UCB4Win, pensez vous que cela m'aidera à y voir plus clair pour identifier d'où ces phénomènes peuvent venir !? J'ai testé la mémoire avec MemTest au cas où ... mais tout va bien de ce coté (C'est déjà ça !)

Que feriez vous à ma place ? Merci encore pour votre aide !

répondre

naheulbeuk le 17 novembre 2008 à 19h30

non c'est un pb de virus tu es très infecté

on va essayer de nettoyer cela à la main, on verra si combofix se lance par la suite

fais ceci dans l'ordre et en entier :

Note: Cette procédure a été créée spécifiquement pour cet utilisateur ! Si vous n'êtes pas cet utilisateur en question, ne suivez pas ces instructions au risque d'endommager votre PC !!!

1/ relance hijackthis et coche les cases devant ces lignes (si présentes) :

O2 - BHO: C:\WINDOWS\system32\jksf83deff.dll - {C5AF42A3-94F3-42BD-F434-3604832C897D} - C:\WINDOWS\system32\jksf83deff.dll
O2 - BHO: Rmn plugin - {EF99D588-3D5F-4194-828A-E03870A57A77} - gcomd32.dll (file missing)
O4 - HKLM\..\Run: [[system]] C:\WINDOWS\system32\drivers\services.exe
O4 - HKLM\..\Run: [winlogon] C:\Documents and Settings\Gilles\svchost.exe
O4 - HKCU\..\Run: [gadcom] "C:\Documents and Settings\Gilles\Application Data\gadcom\gadcom.exe" 61A847B5BBF72810358B2B27128065E9C084320161C4661227A755E9C2933154389A
O4 - HKCU\..\Run: [[system]] C:\WINDOWS\system32\drivers\services.exe
O4 - HKCU\..\Run: [winlogon] C:\Documents and Settings\Gilles\svchost.exe
O4 - HKUS\S-1-5-21-1645522239-842925246-839522115-1004\..\Run: [gadcom] "C:\Documents and Settings\Gilles\Application Data\gadcom\gadcom.exe" 61A847B5BBF72810358B2B27128065E9C084320161C4661227A755E9C2933154389A (User '?')
O4 - S-1-5-21-1645522239-842925246-839522115-1004 Startup: userinit.exe (User '?')
O4 - Startup: userinit.exe
O8 - Extra context menu item: &Search - http://ko.bar.need2find.com/KO/menusearch.html?p=KO
O20 - Winlogon Notify: Csrss - C:\WINDOWS\SYSTEM32\csrss5.dll
O20 - Winlogon Notify: sysfdll32 - C:\WINDOWS\SYSTEM32\sysfdll32.dll
O20 - Winlogon Notify: sysfldr - C:\WINDOWS\SYSTEM32\sysfldr.dll
O20 - Winlogon Notify: zmpiwrzp - C:\WINDOWS\SYSTEM32\zmpiwrzp32.dll
O21 - SSODL: FdaQkablTWpru - {C8196FE9-62B3-C543-5B43-9F22ADA2BAC6} - C:\WINDOWS\system32\uuvl.dll
O22 - SharedTaskScheduler: g984tsmy55ygffgnjkdfgdsfd - {C5AF42A3-94F3-42BD-F434-3604832C897D} - C:\WINDOWS\system32\jksf83deff.dll

Puis ferme toutes les autres fenêtres autres que hijackthis et clic sur "fix checked"

2/ ferme hijackthis

3/ Télécharge OTMoveIt3 (de Old_Timer) sur ton Bureau.

Double-clique sur OTMoveIt.exe pour le lancer.

Assure toi que la case "Unregister Dll's and Ocx's" soit bien cochée !!!

Copie le texte qui se trouve dans l'encadré ci-dessous, et colle le dans le cadre de gauche de OTMoveIt nommé Paste List of Files/Folders to be moved.

:files
C:\WINDOWS\system32\jksf83deff.dll
C:\WINDOWS\system32\gcomd32.dll
C:\WINDOWS\system32\drivers\services.exe
C:\Documents and Settings\Gilles\svchost.exe
C:\Documents and Settings\Gilles\Application Data\gadcom\gadcom.exe
C:\WINDOWS\SYSTEM32\csrss5.dll
C:\WINDOWS\SYSTEM32\sysfdll32.dll
C:\WINDOWS\SYSTEM32\sysfldr.dll
C:\WINDOWS\SYSTEM32\zmpiwrzp32.dll
C:\WINDOWS\system32\uuvl.dll

Clique sur MoveIt! pour lancer la suppression.

Si OTMoveIt propose de redémarrer ton PC, accepte.

Lorsque un résultat apparaît dans le cadre Results, clique sur Exit.

Dans ta future réponse, envoie le rapport de OTMoveIt situé dans ce dossier : C:\_OTMoveIt\MovedFiles.txt\

-->Message édité par naheulbeuk le 17/11/2008 19:31:44<--

-------
Visitez mon site sur la sécurité informatique : http://www.site-naheulbeuk.com
Et son forum : http://www.site-naheulbeuk.com/forum/

répondre

lm76 le 18 novembre 2008 à 11h27

Bonjour,

Désolé de ne pas avoir donné de nouvelles avant ... mais j'ai eu beaucoup de mal pour en arriver au point où j'en suis !

Lors d'une des tentives de redemarrage fructueuse, Combofix s'est mis route "tout seul" et a viré BEAUCOUP de monde ! J'en ai profité pour lancer MalwareBytes, qui en a ENCORE trouvé ! Sauf que je n'ai pas pu redemarrer comme il me l'a demandé ... J'ai juste pu redemarrer en mode sans echec où je l'ai relancé et il me les a retrouvés et enlevés ! J'ai égalemnt fait la manip avec OTMoveIT3 !

Voilà, rien n'a été vraiment "synchro" ... c'est pour cela que je vous joint un rapport HijackThis (Mode sans echec) pour faire lepoint ! Notons que le PC "reset" toujours autant au demarrage (Apres le logo d'accueil Windows).

Merci encore !!!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:13:10, on 18/11/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\Gilles\Mes documents\Utilitaires\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.club-internet.fr:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;*.local;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: (no name) - {06663B56-0D73-4f9f-BCC5-4AA941470AFD} - C:\Program Files\PandoBar\SrchAstt\1.bin\P4SRCHAS.DLL
O2 - BHO: C:\WINDOWS\system32\jksf83deff.dll - {C5AF42A3-94F3-42BD-F434-3604832C897D} - C:\WINDOWS\system32\jksf83deff.dll
O3 - Toolbar: (no name) - {A20A76AD-7A29-4756-87FE-70C334CB40C0} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: userinit.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.club-internet.fr
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/fr(...)
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O21 - SSODL: FdaQkablTWpru - {C8196FE9-62B3-C543-5B43-9F22ADA2BAC6} - C:\WINDOWS\system32\uuvl.dll
O22 - SharedTaskScheduler: g984tsmy55ygffgnjkdfgdsfd - {C5AF42A3-94F3-42BD-F434-3604832C897D} - C:\WINDOWS\system32\jksf83deff.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Planificateur de tâches (Schedule) - Unknown owner - C:\WINDOWS\system32\drivers\services.exe (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 7585 bytes

répondre

naheulbeuk le 18 novembre 2008 à 12h04

re, il reste encore des bébètes mais une partie a été virée

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
Guide d'utilisation : http://mickael.barroux.free.fr/securite/sdfix.php

Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

Redémarre ton ordinateur

Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).

A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.

Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".

Choisis ton compte.

Déroule la liste des instructions ci-dessous :

Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.bat pour lancer le script.

Appuie sur Y pour commencer le processus de nettoyage.

Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.

Appuie sur une touche pour redémarrer le PC.

Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.

Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.

Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.

Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.

Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum.

N.B.:
- Le fichier SDFIX_README.htm (dans le dossier SDFix) contient la liste des malwares pris en compte par l'outil.
- Andy fait plusieurs mises à jour, souvent plus d'une par jour... N'hésitez donc pas à demander de télécharger une nouvelle version lorsque le nettoyage dure et que l'outil ne semble pas tout voir.

-------
Visitez mon site sur la sécurité informatique : http://www.site-naheulbeuk.com
Et son forum : http://www.site-naheulbeuk.com/forum/

répondre

lm76 le 18 novembre 2008 à 13h14

J'ai eu un message "bizarre" en redemarrant la première fois sur un "bel" écran bleu :

"STOP : c0000135 {Composant introuvable}
Cette application n'a pas pu demarrer car basedik32 est introuvable. La réinstallation de cett apllication peut corriger ce problème."

:??:

Mais la seconde s'est bien passée et voilà le rapport de SDFix :

SDFix: Version 1.240
Run by Gilles on 18/11/2008 at 12:18

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

Checking Services :

Rootkit Found :
C:\WINDOWS\system32\drivers\ATI4LNXX.sys - Rootkit Pandex/Cutwail - Protect.sys

Name :
ATI4LNXX

Path :
\SystemRoot\System32\Drivers\ati4lnxx.sys

ATI4LNXX - Deleted

Infected user32.dll Found!

user32.dll File Locations:

"C:\WINDOWS\system32\user32.dll" 578560 11/10/2008 20:01
"C:\WINDOWS\system32\dllcache\user32.dll" 578560 11/10/2008 20:01
"C:\WINDOWS\$NtUninstallKB826939$\user32.dll" 561152 29/08/2002 11:45
"C:\WINDOWS\$NtUninstallKB824141$\user32.dll" 529920 22/11/2002 20:29
"C:\WINDOWS\ServicePackFiles\i386\user32.dll" 578048 20/08/2004 01:09
"C:\WINDOWS\SoftwareDistribution\Download\4f2ee013013f4216b9b7f78eb994bce2\sp1qfe\user32.dll" 561152 17/06/2004 18:56
"C:\WINDOWS\SoftwareDistribution\Download\7a1946fba2b8886ae6be37be6d51ae57\user32.dll" 579584 14/04/2008 03:33
"C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\user32.dll" 578048 02/03/2005 20:20
"C:\WINDOWS\$hf_mig$\KB925902\SP2QFE\user32.dll" 579072 08/03/2007 17:50
"C:\WINDOWS\$NtUninstallKB891711$\user32.dll" 561152 25/09/2003 17:57
"C:\WINDOWS\$NtUninstallKB890859$\user32.dll" 578048 20/08/2004 01:09
"C:\WINDOWS\$NtUninstallKB925902$\user32.dll" 578048 02/03/2005 20:10

[C:\WINDOWS\system32\user32.dll] 4410CEDCA038349F37EC02FB4AB97A4D
[C:\WINDOWS\system32\dllcache\user32.dll] 4410CEDCA038349F37EC02FB4AB97A4D
[C:\WINDOWS\$NtUninstallKB826939$\user32.dll] 0ABF2F5280940D32D1D52BD3500B0C37
[C:\WINDOWS\$NtUninstallKB824141$\user32.dll] 1467D0F30F0D88DD5DAF3B4C2EAC6034
[C:\WINDOWS\ServicePackFiles\i386\user32.dll] 61C8C283AD063BB697AE61A155C64A5A
[C:\WINDOWS\SoftwareDistribution\Download\4f2ee013013f4216b9b7f78eb994bce2\sp1qfe\user32.dll] 0118C8AD7AFB81AD9D5E3A1794E8EB78
[C:\WINDOWS\SoftwareDistribution\Download\7a1946fba2b8886ae6be37be6d51ae57\user32.dll] E853F84D3CE2FAA2A802E33CF89AC023
[C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\user32.dll] C34920EB988CE98910BD6B0417F334EB
[C:\WINDOWS\$hf_mig$\KB925902\SP2QFE\user32.dll] 4D88AAF39ADABFE45958EA1384E2C4FF
[C:\WINDOWS\$NtUninstallKB891711$\user32.dll] 78524A7AF390EA5071B400936C73E4FF
[C:\WINDOWS\$NtUninstallKB890859$\user32.dll] 61C8C283AD063BB697AE61A155C64A5A
[C:\WINDOWS\$NtUninstallKB925902$\user32.dll] 0DF75FB73F705B011630159A43D7C354

[C:\WINDOWS\System32\frjup] 753354F594809A9B96F73999B435A533

Note: SDFix does not repair this file!

Restoring Default Security Values
Restoring Default Hosts File
Restoring Default Schedule Service Path

Rebooting

Checking Files :

Trojan Files Found:

C:\WINDOWS\SYSTEM32\C_437Z.DLL - Deleted
C:\WINDOWS\system32\drivers\ATI4LNXX.sys - Deleted
C:\WINDOWS\SYSTEM32\JKSF83~1.DLL - Deleted

Removing Temp Files

ADS Check :

Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-18 13:04:42
Windows 5.1.2600 Service Pack 2 FAT NTAPI

scanning hidden processes ...

scanning hidden services ...

HKLM\SYSTEM\CurrentControlSet\Services\SENSka

scanning hidden autostart entries ...

scanning hidden files ...

C:\WINDOWS\system32\drivers\seneka.sys 16384 bytes
C:\WINDOWS\system32\drivers\senekapswy.sys 49152 bytes
C:\WINDOWS\system32\drivers\senekajaow.sys 16384 bytes
C:\WINDOWS\system32\seneka.dat 16384 bytes
C:\WINDOWS\system32\senekadf.dat 16384 bytes
C:\WINDOWS\system32\senekapop.dll 16384 bytes
C:\WINDOWS\system32\senekalog.dat 131072 bytes
C:\WINDOWS\system32\senekaabwe.dll 32768 bytes
C:\WINDOWS\Temp\seneka1525.tmp 16384 bytes
C:\WINDOWS\Temp\seneka168d.tmp 16384 bytes

scan completed successfully
hidden processes: 0
hidden services: 1
hidden files: 10

Remaining Services :

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Messenger\\MSMSGS.EXE"="C:\\Program Files\\Messenger\\MSMSGS.EXE:*:Enabled:Windows Messenger"
"C:\\Program Files\\Microsoft Games\\Age of Empires II\\empires2.exe"="C:\\Program Files\\Microsoft Games\\Age of Empires II\\empires2.exe:*:Enabled:Age of Empires II"
"C:\\Program Files\\Bonjour\\mDNSResponder.exe"="C:\\Program Files\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour"
"C:\\Program Files\\iTunes\\iTunes.exe"="C:\\Program Files\\iTunes\\iTunes.exe:*:Enabled:iTunes"
"C:\\Program Files\\VideoLAN\\VLC\\vlc.exe"="C:\\Program Files\\VideoLAN\\VLC\\vlc.exe:*:Enabled:VLC media player"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\\Program Files\\Grisoft\\AVG7\\avginet.exe"="C:\\Program Files\\Grisoft\\AVG7\\avginet.exe:*:Enabled:avginet.exe"
"C:\\Program Files\\Grisoft\\AVG7\\avgamsvr.exe"="C:\\Program Files\\Grisoft\\AVG7\\avgamsvr.exe:*:Enabled:avgamsvr.exe"
"C:\\Program Files\\Grisoft\\AVG7\\avgcc.exe"="C:\\Program Files\\Grisoft\\AVG7\\avgcc.exe:*:Enabled:avgcc.exe"
"C:\\Program Files\\Grisoft\\AVG7\\avgemc.exe"="C:\\Program Files\\Grisoft\\AVG7\\avgemc.exe:*:Enabled:avgemc.exe"
"C:\\Program Files\\Freeplayer\\vlc\\vlc.exe"="C:\\Program Files\\Freeplayer\\vlc\\vlc.exe:*:Enabled:VLC media player"
"C:\\WINDOWS\\System32\\rtcshare.exe"="C:\\WINDOWS\\System32\\rtcshare.exe:*:Enabled:Partage de l'application RTC"
"C:\\Program Files\\LimeWire\\LimeWire.exe"="C:\\Program Files\\LimeWire\\LimeWire.exe:*:Enabled:LimeWire"
"C:\\Program Files\\THQ\\Dawn Of War\\W40kWA.exe"="C:\\Program Files\\THQ\\Dawn Of War\\W40kWA.exe:*:Disabled:W40kWA"
"C:\\Program Files\\THQ\\Dawn Of War\\W40k.exe"="C:\\Program Files\\THQ\\Dawn Of War\\W40k.exe:*:Enabled:W40k"
"C:\\Program Files\\Starcraft\\StarCraft.exe"="C:\\Program Files\\Starcraft\\StarCraft.exe:*:Enabled:Starcraft"
"C:\\WINDOWS\\System32\\mmc.exe"="C:\\WINDOWS\\System32\\mmc.exe:*:Disabled:Microsoft Management Console"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

Remaining Files :

File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Thu 13 Nov 2008 20,480 A.SH. --- "C:\WINDOWS\system32\muin.dll"
Thu 13 Nov 2008 23,040 A.SH. --- "C:\WINDOWS\system32\qmgro.dll"
Sun 19 Oct 2008 16,384 A.SH. --- "C:\WINDOWS\system32\spoolo.dll"
Sat 20 Nov 2004 10,821 A.SH. --- "C:\WINDOWS\system32\KGyGaAvL.sys"
Sun 12 Mar 2006 10,311,680 ..SH. --- "C:\Program Files\AVIConverter\mencoder.exe"
Mon 15 Sep 2008 1,562,960 A.SHR --- "C:\Program Files\SDHelper (Spybot - Search & Destroy)\SDHelper.dll"
Tue 16 Sep 2008 1,833,296 A.SHR --- "C:\Program Files\TeaTimer (Spybot - Search & Destroy)\TeaTimer.exe"
Fri 30 Apr 2004 48 ..SH. --- "C:\Documents and Settings\All Users\DRM\v2ks.sec.bak"
Fri 30 Apr 2004 400 ..SH. --- "C:\Documents and Settings\All Users\DRM\v2ks.bla.bak"
Thu 17 Feb 2005 4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Fri 30 Apr 2004 400 ..SH. --- "C:\Documents and Settings\All Users\DRM\v3ks.bla.bak"
Thu 14 Jun 2007 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv02.tmp"
Wed 27 Jul 2005 20 A..H. --- "C:\Documents and Settings\Gilles\Mes documents\Ma musique\Sauvegarde de la licence\drmv1lic.bak"
Thu 17 Feb 2005 4,348 ...H. --- "C:\Documents and Settings\Gilles\Mes documents\Ma musique\Sauvegarde de la licence\drmv1key.bak"
Wed 27 Jul 2005 488 A.SH. --- "C:\Documents and Settings\Gilles\Mes documents\Ma musique\Sauvegarde de la licence\drmv2key.bak"

Finished!

répondre

naheulbeuk le 18 novembre 2008 à 13h23

re,

reste du boulot, coriace les bestioles

1/ télécharge user32.dll ici :
http://www.dll-files.com/dllindex/dll-files.shtml?user32

et colle le fichier .dll dans le dossier en gras :
C:\WINDOWS\system32

(si on te dit qu'il y a déjà le fichier dans ce dossier, écrase le

)

2/ Télécharge ComboFix (créé par sUBs) sur ton Bureau

Copie ce qui est en citation ci-dessous (intérieur du cadre) par sélection puis Ctrl-C :

Registry::
[-HKLM\SYSTEM\CurrentControlSet\Services\SENSka]

Driver::
seneka
senekapswy
senekajaow

File::
C:\WINDOWS\system32\drivers\seneka.sys
C:\WINDOWS\system32\drivers\senekapswy.sys
C:\WINDOWS\system32\drivers\senekajaow.sys
C:\WINDOWS\system32\seneka.dat
C:\WINDOWS\system32\senekadf.dat
C:\WINDOWS\system32\senekapop.dll
C:\WINDOWS\system32\senekalog.dat
C:\WINDOWS\system32\senekaabwe.dll
C:\WINDOWS\Temp\seneka1525.tmp
C:\WINDOWS\Temp\seneka168d.tmp

-Ouvre le Bloc-Notes puis colle le texte copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes)
-Enregistre ce fichier dans: Bureau
-Nom du fichier : CFScript.txt
-Type du fichier : tous les fichiers
-clique sur Enregistrer
-quitte le Bloc Notes

Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture

* Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
* Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

:hello:

-------
Visitez mon site sur la sécurité informatique : http://www.site-naheulbeuk.com
Et son forum : http://www.site-naheulbeuk.com/forum/

répondre

lm76 le 18 novembre 2008 à 13h37

Petit problème. On ne peut plus telecharger user32.ddl à l'endroit indiqué :

1/ télécharge user32.dll ici :
http://www.dll-files.com/dllindex/dll-files.shtml?user32

".../...
Recommended: Fix user32.dll Errors
Enhance your PC-speed: Free Performance Scan
File description: Win32 USER32 core component, v. 4.00.950

Filesize to download: 20.6 kb

Sorry, we are currently unable to provide this file to you. Please contact Microsoft for more information.

.../..."

Je peux le prendre où ?

répondre

lm76 le 18 novembre 2008 à 13h57

Sur un autre XP ? J'en ai un sous la main !

répondre

naheulbeuk le 18 novembre 2008 à 14h59

oui sur un autre xp

-------
Visitez mon site sur la sécurité informatique : http://www.site-naheulbeuk.com
Et son forum : http://www.site-naheulbeuk.com/forum/

répondre

lm76 le 18 novembre 2008 à 18h33

J'ai bien "écraser" user32.dll et lancé ComboFix mais il m'a demandé de redemarrer l'ordi ... et depuis je ne peux plus le remettre en route !
Après le logo de WindowsXP, tantôt il "reset" tantôt j'ai un écran bleu avec le message qui me dit que win logon s'est arrêté !

Je vous tiens au courant dés qu'il redemarre correctement (L'espoir ... !)

A bientôt (j'espère)

répondre

lm76 le 18 novembre 2008 à 23h08

Tout arrive ... Juste un petit détail l'écrasement de user32.dll n'avait pas du être pris en compte :??:

. Je l'ai donc refait.

ComboFix 08-11-16.05 - Gilles 2008-11-18 22:31:32.3 - FAT32x86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.683 [GMT 1:00]
Commutateurs utilisés :: A:\CFScript.txt

[B]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/B]

FILE ::
c:\windows\system32\drivers\seneka.sys
c:\windows\system32\drivers\senekajaow.sys
c:\windows\system32\drivers\senekapswy.sys
c:\windows\system32\seneka.dat
c:\windows\system32\senekaabwe.dll
c:\windows\system32\senekadf.dat
c:\windows\system32\senekalog.dat
c:\windows\system32\senekapop.dll
c:\windows\Temp\seneka1525.tmp
c:\windows\Temp\seneka168d.tmp
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\drivers\seneka.sys
c:\windows\system32\drivers\senekajaow.sys
c:\windows\system32\drivers\senekapswy.sys
c:\windows\system32\seneka.dat
c:\windows\system32\senekaabwe.dll
c:\windows\system32\senekadf.dat
c:\windows\system32\senekalog.dat
c:\windows\system32\senekapop.dll
c:\windows\Temp\seneka1525.tmp
c:\windows\Temp\seneka168d.tmp

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_SENEKA
-------\Legacy_SENEKA
-------\Legacy_fci
-------\Legacy_icf
-------\Legacy_TCPSR

((((((((((((((((((((((((((((( Fichiers créés du 2008-10-18 au 2008-11-18 ))))))))))))))))))))))))))))))))))))
.

2008-11-18 21:57 . 2008-11-18 21:57 2 --a------ c:\windows\system32\drivers\senekarxix.sys
2008-11-18 14:13 . 2008-10-11 20:01 578,560 --a------ c:\windows\system32\user32.sauv.dll
2008-11-18 12:15 . 2008-11-18 12:15 <REP> d-------- c:\windows\ERUNT
2008-11-18 12:13 . 2008-11-06 02:03 <REP> d-------- C:\SDFix
2008-11-17 23:18 . 2008-10-22 16:10 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-11-17 23:17 . 2008-11-17 23:17 <REP> d-------- c:\documents and settings\Gilles\Application Data\Malwarebytes
2008-11-17 23:06 . 2008-11-17 23:06 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2008-11-17 23:06 . 2008-11-17 23:06 <REP> d-------- c:\docume~1\ALLUSE~1\APPLIC~1\Malwarebytes
2008-11-17 23:06 . 2008-10-22 16:10 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-11-17 22:09 . 2008-11-17 22:09 2 --a------ c:\windows\system32\drivers\senekajyil.sys
2008-11-17 22:05 . 2008-11-17 22:24 90,112 --a------ c:\windows\DUMPbda2.tmp
2008-11-17 22:05 . 2008-11-17 23:03 90,112 --a------ c:\windows\DUMPa623.tmp
2008-11-17 22:05 . 2008-11-18 00:11 90,112 --a------ c:\windows\DUMPa018.tmp
2008-11-17 22:05 . 2008-11-18 08:19 90,112 --a------ c:\windows\DUMP98b5.tmp
2008-11-17 22:05 . 2008-11-18 18:13 90,112 --a------ c:\windows\DUMP93d3.tmp
2008-11-17 14:12 . 2008-11-17 14:12 <REP> d--hs---- C:\FOUND.007
2008-11-16 18:19 . 2008-11-16 18:19 379 --a------ c:\windows\wininit.ini
2008-11-13 16:56 . 2008-11-13 16:56 23,040 --ahs---- c:\windows\system32\qmgro.dll
2008-11-13 16:56 . 2008-11-13 16:56 20,480 --ahs---- c:\windows\system32\muin.dll
2008-11-13 16:49 . 2008-11-13 16:57 212 --a-s---- c:\windows\system32\1135108105.dat
2008-11-05 15:06 . 2008-11-05 15:06 244 --ah----- C:\sqmnoopt02.sqm
2008-11-05 15:06 . 2008-11-05 15:06 232 --ah----- C:\sqmdata02.sqm
2008-11-05 15:00 . 2008-11-05 20:56 612,614,144 --a------ c:\windows\system32\drivers\93e865c8.sys
2008-11-05 14:59 . 2008-11-05 14:59 244 --ah----- C:\sqmnoopt01.sqm
2008-11-05 14:59 . 2008-11-05 14:59 232 --ah----- C:\sqmdata01.sqm
2008-11-05 12:20 . 2001-08-28 12:00 4,224 --a------ c:\windows\system32\drivers\beep.sys
2008-11-05 12:20 . 2001-08-28 12:00 4,224 --a------ c:\windows\system32\dllcache\beep.sys
2008-11-05 12:20 . 2008-11-05 14:58 85 --a-s---- c:\windows\system32\464031213.dat
2008-11-02 15:20 . 2008-11-02 15:20 <REP> d-------- c:\documents and settings\Gilles\Application Data\GlarySoft
2008-11-02 15:03 . 2008-11-02 15:03 <REP> d-------- c:\program files\Glary Utilities
2008-10-29 21:13 . 2008-10-29 21:13 <REP> d--hs---- C:\FOUND.006
2008-10-28 14:22 . 2008-10-28 14:22 244 --ah----- C:\sqmnoopt00.sqm
2008-10-28 14:22 . 2008-10-28 14:22 232 --ah----- C:\sqmdata00.sqm
2008-10-26 18:11 . 2008-10-26 18:11 <REP> d-------- c:\windows\system32\NtmsData
2008-10-26 10:00 . 2008-10-26 10:00 <REP> d-------- c:\windows\system32\fr-fr
2008-10-26 10:00 . 2008-10-26 10:00 <REP> d-------- c:\windows\system32\fr
2008-10-26 10:00 . 2008-10-26 10:00 <REP> d-------- c:\windows\l2schemas
2008-10-26 09:48 . 2007-10-25 17:56 8,510,976 --a------ c:\windows\system32\dllcache\shell32.dll
2008-10-26 09:43 . 2008-06-10 02:32 73,728 --a------ c:\windows\system32\javacpl.cpl
2008-10-19 19:41 . 2008-10-19 19:41 <REP> d-------- c:\program files\TeaTimer (Spybot - Search & Destroy)
2008-10-19 19:41 . 2008-10-19 19:41 <REP> d-------- c:\program files\SDHelper (Spybot - Search & Destroy)
2008-10-19 17:35 . 2008-10-19 17:35 16,384 --ahs---- c:\windows\system32\spoolo.dll
2008-10-19 17:34 . 2008-11-13 16:58 1,299 --a-s---- c:\windows\system32\3341905758.dat

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-17 17:55 90,112 ----a-w c:\windows\DUMP3072.tmp
2008-11-17 17:51 90,112 ----a-w c:\windows\DUMPc44a.tmp
2008-11-17 14:00 90,112 ----a-w c:\windows\DUMPed8c.tmp
2008-11-05 20:22 90,112 ----a-w c:\windows\DUMP6e79.tmp
2008-11-05 20:12 90,112 ----a-w c:\windows\DUMP921e.tmp
2008-10-15 16:59 332,800 ----a-w c:\windows\system32\dllcache\netapi32.dll
2008-10-11 19:01 578,560 ----a-w c:\windows\system32\user32.ren.dll
2008-09-15 16:39 1,846,144 ----a-w c:\windows\system32\win32k.sys
2008-09-15 16:39 1,846,144 ----a-w c:\windows\system32\dllcache\win32k.sys
2008-09-07 13:55 68,096 ----a-w c:\windows\ScUnin.exe
2008-08-28 11:04 333,056 ----a-w c:\windows\system32\dllcache\srv.sys
2008-08-19 10:30 18,432 ----a-w c:\windows\system32\dllcache\iedw.exe
2008-01-20 13:23 345,008 ----a-w c:\documents and settings\Gilles\Application Data\GDIPFONTCACHEV1.DAT
2003-07-17 02:26 448,640 ----a-w c:\windows\inf\EL2K_N64.sys
2003-07-17 02:22 147,328 ----a-w c:\windows\inf\EL2K_XP.sys
2003-06-03 07:47 147,328 ----a-w c:\windows\inf\EL2K_2K.sys
2004-11-20 12:01 10,821 --sha-w c:\windows\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((( snapshot@2008-11-18_22.17.10.89 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-11-18 20:40:54 32,768 ----a-w c:\windows\system32\config\systemprofile\Cookies\index.dat
+ 2008-11-18 21:11:30 32,768 ----a-w c:\windows\system32\config\systemprofile\Cookies\index.dat
- 2008-11-18 20:40:54 65,536 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
+ 2008-11-18 21:11:30 65,536 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
- 2008-11-18 20:40:54 245,760 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
+ 2008-11-18 21:11:30 245,760 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
- 2008-10-11 19:01:44 578,560 ----a-w c:\windows\system32\user32.dll
+ 2004-08-20 00:09:46 578,048 ----a-w c:\windows\system32\user32.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{06663B56-0D73-4f9f-BCC5-4AA941470AFD}"= "c:\program files\PandoBar\SrchAstt\1.bin\P4SRCHAS.DLL" [2007-07-21 61440]

[HKEY_CLASSES_ROOT\clsid\{06663b56-0d73-4f9f-bcc5-4aa941470afd}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-10 68856]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2004-10-13 1694208]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-20 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"SoundMAXPnP"="c:\program files\Analog Devices\SoundMAX\SMax4PNP.exe" [2003-05-29 790528]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2007-06-29 286720]
"LVCOMS"="c:\program files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE" [2002-12-10 127022]
"AVG7_CC"="c:\progra~1\Grisoft\AVG7\avgcc.exe" [2008-04-20 579584]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-20 15360]
"AVG7_Run"="c:\progra~1\Grisoft\AVG7\avgw.exe" [2008-03-02 219136]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 5724184]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"FdaQkablTWpru"= {C8196FE9-62B3-C543-5B43-9F22ADA2BAC6} - c:\windows\system32\uuvl.dll [2007-04-16 32768]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.I420"= i420vfw.dll
"vidc.3iv2"= 3ivxVfWCodec.dll
"msacm.divxa32"= DivXa32.acm
"VIDC.HFYU"= huffyuv.dll
"VIDC.VP31"= vp31vfw.dll
"vidc.DIV3"= DivXc32.dll
"vidc.DIV4"= DivXc32f.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Winea56.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"LmHostsWudfSvc"=2 (0x2)
"HidServ Service"=2 (0x2)
"aspnet_statesrservice"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-disabled]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\MSMSGS.EXE"=
"c:\\Program Files\\Microsoft Games\\Age of Empires II\\empires2.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Program Files\\Grisoft\\AVG7\\avginet.exe"=
"c:\\Program Files\\Grisoft\\AVG7\\avgamsvr.exe"=
"c:\\Program Files\\Grisoft\\AVG7\\avgcc.exe"=
"c:\\Program Files\\Grisoft\\AVG7\\avgemc.exe"=
"c:\\Program Files\\Freeplayer\\vlc\\vlc.exe"=
"c:\\WINDOWS\\System32\\rtcshare.exe"=
"c:\\Program Files\\LimeWire\\LimeWire.exe"=
"c:\\Program Files\\THQ\\Dawn Of War\\W40kWA.exe"=
"c:\\Program Files\\THQ\\Dawn Of War\\W40k.exe"=
"c:\\Program Files\\Starcraft\\StarCraft.exe"=
"c:\\WINDOWS\\System32\\mmc.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"18718:TCP"= 18718:TCP:NortonAV
"17977:TCP"= 17977:TCP:NortonAV
"18471:TCP"= 18471:TCP:NortonAV
"17191:TCP"= 17191:TCP:NortonAV
"13056:TCP"= 13056:TCP:NortonAV
"13110:TCP"= 13110:TCP:NortonAV
"13089:TCP"= 13089:TCP:NortonAV
"13093:TCP"= 13093:TCP:NortonAV
"17065:TCP"= 17065:TCP:NortonAV
"13527:TCP"= 13527:TCP:NortonAV
"13606:TCP"= 13606:TCP:NortonAV
"13120:TCP"= 13120:TCP:NortonAV
"18460:TCP"= 18460:TCP:NortonAV
"15960:TCP"= 15960:TCP:NortonAV
"14522:TCP"= 14522:TCP:NortonAV
"14638:TCP"= 14638:TCP:NortonAV
"12997:TCP"= 12997:TCP:NortonAV
"17576:TCP"= 17576:TCP:NortonAV
"15335:TCP"= 15335:TCP:NortonAV
"13503:TCP"= 13503:TCP:NortonAV
"14303:TCP"= 14303:TCP:NortonAV
"18639:TCP"= 18639:TCP:NortonAV
"18907:TCP"= 18907:TCP:NortonAV
"14637:TCP"= 14637:TCP:NortonAV
"12091:TCP"= 12091:TCP:NortonAV
"15302:TCP"= 15302:TCP:NortonAV
"14222:TCP"= 14222:TCP:NortonAV
"15476:TCP"= 15476:TCP:NortonAV
"12811:TCP"= 12811:TCP:NortonAV
"18227:TCP"= 18227:TCP:NortonAV
"14509:TCP"= 14509:TCP:NortonAV
"13329:TCP"= 13329:TCP:NortonAV
"18998:TCP"= 18998:TCP:NortonAV
"13607:TCP"= 13607:TCP:NortonAV
"12283:TCP"= 12283:TCP:NortonAV
"15612:TCP"= 15612:TCP:NortonAV
"7689:TCP"= 7689:TCP:Service
"7705:TCP"= 7705:TCP:Service
"110:TCP"= 110:TCP:svchost

R0 viaraid;viaraid;c:\windows\system32\DRIVERS\viaraid.sys [2003-12-31 70272]
S0 aqgf;aqgf;c:\windows\system32\drivers\fagto.sys []
S1 93e865c8;93e865c8;c:\windows\system32\drivers\93e865c8.sys [2008-11-05 612614144]
S2 nrvzrfrv;nrvzrfrv;\??\c:\windows\system32\drivers\nrvzrfrv.sys []
S3 Winea56;Winea56;\??\c:\windows\System32\drivers\Winea56.sys []
S4 hpt3xx;hpt3xx; []
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-18 23:02:50
Windows 5.1.2600 Service Pack 2 FAT NTAPI

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
Heure de fin: 2008-11-18 23:04:38 - La machine a redémarré
ComboFix-quarantined-files.txt 2008-11-18 22:04:36
ComboFix2.txt 2008-11-18 21:17:44

Avant-CF: 4,429,266,944 octets libres
Après-CF: 4,415,275,008 octets libres

239 --- E O F --- 2008-11-13 15:51:22

répondre

naheulbeuk le 19 novembre 2008 à 09h42

ah il s'accroche même si y en a de moins en moins... on va s'attaquer à la source du pb

- Télécharge DiagHelp.zip sur ton bureau - Tuto : http://mickael.barroux.free.fr/securite/diaghelp.php
- Ne double-clic pas dessus !! Fais un clic droit sur le fichier et extraire tout
- Un nouveau dossier chercher va être créé DiagHelp
- Ouvre le et double-clic sur go.cmd (le .cmd peut ne pas apparaître)
- Une fenêtre va s'ouvrir, choisis l'option 1
- L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande.

ATTENTION : pendant l'analyse, après le rapport catchme, il te sera demandé d'appuyer sur une touche afin de poursuivre le scan, suis bien les instructions à l'écran !

- A la fin de l'analyse, il peut-être (pas obligatoire) demandé de redémarrer l'ordinateur... Une fois l'ordinateur redémarré, le rapport va apparaître sur le bloc-note.. Ce dernier se trouve sur C:\resultat.txt
- Copie/colle le contenu du bloc-note qui s'ouvre, pour cela :
-- Dans le bloc-note, cliquez sur le menu Edition / Selectionner tout
-- A nouveau menu Edition / copier
-- Dans un nouveau message ici, faire un clic droit / coller

-------
Visitez mon site sur la sécurité informatique : http://www.site-naheulbeuk.com
Et son forum : http://www.site-naheulbeuk.com/forum/

répondre

lm76 le 19 novembre 2008 à 11h16

Bonjour !

Merci d'être toujours fidèle au poste :super:

Je ne sais pas ce que je ferais sans vous !!!

Il ne demarre toujours pas (ecran bleu erreur win logon). Je viens tout juste de pouvoir redemarrer en mode sans echec et faire ce que vous m'avez demandé.
Voilà le rapport :

DiagHelp version v1.4 - http://www.malekal.com
excute le 19/11/2008 à 11:08:17,34

Liste des derniers fichies modifies/crees dans windir\system32 et prefetch
C:\WINDOWS\prefetch\CHCP.COM-18156052.pf -->18/11/2008 22:30:58
C:\WINDOWS\prefetch\ATTRIB.EXE-39EAFB02.pf -->18/11/2008 22:30:58
C:\WINDOWS\prefetch\ALG.EXE-0F138680.pf -->18/11/2008 22:30:58
C:\WINDOWS\prefetch\WSCNTFY.EXE-1B24F5EB.pf -->18/11/2008 22:30:58
C:\WINDOWS\prefetch\SMAGENT.EXE-34504AD2.pf -->18/11/2008 22:30:58
C:\WINDOWS\prefetch\MDNSRESPONDER.EXE-02F30C6E.pf -->18/11/2008 22:30:58
C:\WINDOWS\prefetch\AVGEMC.EXE-02DDE41E.pf -->18/11/2008 22:30:58
C:\WINDOWS\prefetch\AVGUPSVC.EXE-15343DF0.pf -->18/11/2008 22:30:58
C:\WINDOWS\prefetch\AVGAMSVR.EXE-000E06F0.pf -->18/11/2008 22:30:58
C:\WINDOWS\prefetch\ATI2EVXX.EXE-19D16EB9.pf -->18/11/2008 22:30:58

C:\WINDOWS\System32\drivers\senekarxix.sys -->18/11/2008 21:57:42
C:\WINDOWS\System32\drivers\senekajyil.sys -->17/11/2008 22:09:32
C:\WINDOWS\System32\drivers\93e865c8.sys -->05/11/2008 20:56:28
C:\WINDOWS\System32\drivers\mbamswissarmy.sys -->22/10/2008 16:10:38
C:\WINDOWS\System32\drivers\mbam.sys -->22/10/2008 16:10:22
C:\WINDOWS\System32\drivers\srv.sys -->28/08/2008 12:04:18
C:\WINDOWS\System32\drivers\afd.sys -->14/08/2008 11:51:44

C:\WINDOWS\System32\wpa.dbl -->19/11/2008 10:28:12
C:\WINDOWS\System32\wpa.bak -->18/11/2008 22:15:12
C:\WINDOWS\System32\3341905758.dat -->13/11/2008 16:58:22
C:\WINDOWS\System32\1135108105.dat -->13/11/2008 16:57:46
C:\WINDOWS\System32\qmgro.dll -->13/11/2008 16:56:44
C:\WINDOWS\System32\muin.dll -->13/11/2008 16:56:42
C:\WINDOWS\System32\464031213.dat -->05/11/2008 14:58:42
C:\WINDOWS\System32\PerfStringBackup.INI -->29/10/2008 21:45:46
C:\WINDOWS\System32\perfh00C.dat -->29/10/2008 21:45:46
C:\WINDOWS\System32\perfc00C.dat -->29/10/2008 21:45:46
C:\WINDOWS\System32\perfh009.dat -->29/10/2008 21:45:46
C:\WINDOWS\System32\perfc009.dat -->29/10/2008 21:45:46
C:\WINDOWS\System32\amcompat.tlb -->26/10/2008 10:37:44
C:\WINDOWS\System32\nscompat.tlb -->26/10/2008 10:37:44
C:\WINDOWS\System32\spdwnwxp.log -->26/10/2008 10:09:32
C:\WINDOWS\System32\jupdate-1.6.0_07-b06.log -->26/10/2008 09:43:38
C:\WINDOWS\System32\FNTCACHE.DAT -->26/10/2008 09:38:06
C:\WINDOWS\System32\TZLog.log -->20/10/2008 21:58:20
C:\WINDOWS\System32\spoolo.dll -->19/10/2008 17:35:48
C:\WINDOWS\System32\netapi32.dll -->15/10/2008 17:59:28
C:\WINDOWS\System32\ceg.sdr -->11/10/2008 20:04:50
C:\WINDOWS\System32\3fcv.ra -->11/10/2008 20:04:50
C:\WINDOWS\System32\def.help -->11/10/2008 20:04:50
C:\WINDOWS\System32\fe.sp -->11/10/2008 20:04:50
C:\WINDOWS\System32\tfdsx.xl -->11/10/2008 20:04:48

C:\WINDOWS\ntbtlog.txt -->19/11/2008 11:07:10
C:\WINDOWS\0.log -->19/11/2008 10:27:58
C:\WINDOWS\bootstat.dat -->19/11/2008 10:27:52
C:\WINDOWS\WindowsUpdate.log -->18/11/2008 23:06:58
C:\WINDOWS\system.ini -->18/11/2008 23:02:50
C:\WINDOWS\wiadebug.log -->18/11/2008 22:34:54
C:\WINDOWS\wiaservc.log -->18/11/2008 22:34:54
C:\WINDOWS\setuplog.txt -->18/11/2008 22:15:30
C:\WINDOWS\DUMP93d3.tmp -->18/11/2008 18:13:20
C:\WINDOWS\DUMP98b5.tmp -->18/11/2008 08:19:08
C:\WINDOWS\DUMPa018.tmp -->18/11/2008 00:11:06
C:\WINDOWS\DUMPa623.tmp -->17/11/2008 23:03:58
C:\WINDOWS\win.ini -->17/11/2008 22:56:46
C:\WINDOWS\DUMPbda2.tmp -->17/11/2008 22:24:28
C:\WINDOWS\DUMP3072.tmp -->17/11/2008 18:55:16

winlogon.exe
svchost.exe
ws2_32.dll
Verified: Signed
user32.dll
Verified: Signed
tcpip.sys
Verified: Unsigned
ndis.sys
Verified: Signed
null.sys
Verified: Signed

ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - www.sysinternals.com

------------------------------------------------------------------------------
Explorer.EXE pid: 1680
Command line: C:\WINDOWS\Explorer.EXE

Base Size Version Path
0x58b50000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\comctl32.dll
0x76f80000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL
0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll
0x76ac0000 0x11000 3.05.2284.0000 C:\WINDOWS\system32\ATL.DLL
0x7d200000 0x2be000 3.01.4000.4039 C:\WINDOWS\system32\msi.dll
0x01340000 0x5b000 8.01.0000.0000 C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.dll
0x78130000 0x9b000 8.00.50727.1433 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.1433_x-ww_5cf844d2\MSVCR80.dll
0x013a0000 0x4c000 8.00.0000.0000 C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.FRA
0x74730000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll
0x01e40000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll
0x10930000 0x49000 5.02.5721.5145 C:\WINDOWS\system32\PortableDeviceApi.dll
0x00cc0000 0x2b000 C:\Program Files\WinRAR\rarext.dll
0x00ea0000 0x12000 1.01.0000.0000 C:\Program Files\Malwarebytes' Anti-Malware\mbamext.dll
0x00c90000 0xd000 2.08.0000.0366 C:\PROGRA~1\GLARYU~1\CONTEX~1.DLL
0x40000000 0xc6000 7.00.0004.0453 C:\PROGRA~1\GLARYU~1\rtl70.bpl
0x023e0000 0x157000 7.00.0004.0453 C:\PROGRA~1\GLARYU~1\vcl70.bpl
0x621a0000 0x10000 7.05.0000.0409 C:\Program Files\Grisoft\AVG7\avgse.dll
0x7c3a0000 0x7b000 7.10.3077.0000 C:\WINDOWS\system32\MSVCP71.dll
0x7c340000 0x56000 7.10.3052.0004 C:\WINDOWS\system32\MSVCR71.dll
0x41f00000 0x7000 1.01.0000.3917 C:\WINDOWS\system32\asfsipc.dll
0x60980000 0x7000 3.01.4000.1823 C:\WINDOWS\system32\MSISIP.DLL
0x74e10000 0x10000 5.06.0000.8820 C:\WINDOWS\System32\wshext.dll
0x73d20000 0xfe000 6.02.4131.0000 C:\WINDOWS\system32\MFC42.DLL
0x61d70000 0xe000 6.00.8665.0000 C:\WINDOWS\system32\MFC42LOC.DLL
0x59000000 0xe000 5.06.0000.6626 C:\WINDOWS\System32\wshFR.DLL
0x365a0000 0x16000 10.00.6313.0000 C:\PROGRA~1\MICROS~2\Office10\MCPS.DLL
0x76010000 0x65000 6.02.3104.0000 C:\WINDOWS\system32\MSVCP60.DLL

ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - www.sysinternals.com

------------------------------------------------------------------------------
winlogon.exe pid: 656
Command line: winlogon.exe

Base Size Version Path
0x01000000 0x82000 \??\C:\WINDOWS\system32\winlogon.exe
0x58b50000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\COMCTL32.dll
0x74730000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll
0x20000000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll
0x01090000 0xae000 1.05.0540.0000 C:\WINDOWS\system32\WgaLogon.dll
0x76f80000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL
0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll
0x76ac0000 0x11000 3.05.2284.0000 C:\WINDOWS\system32\ATL.DLL
0x16080000 0x19000 1.00.0003.0001 C:\Program Files\Bonjour\mdnsNSP.dll

Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est C819-6FE8

Répertoire de C:\WINDOWS\system

10/09/1999 12:06 4 672 WOWPOST.EXE
1 fichier(s) 4 672 octets
0 Rép(s) 4 435 492 864 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est C819-6FE8

Répertoire de C:\WINDOWS\system32

20/08/2004 01:09 6 144 csrss.exe
1 fichier(s) 6 144 octets
0 Rép(s) 4 435 492 864 octets libres

Contenu de Downloaded Program Files
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est C819-6FE8

Répertoire de C:\WINDOWS\Downloaded Program Files

31/12/2003 14:39 <REP> .
31/12/2003 14:39 <REP> ..
31/12/2003 14:39 65 desktop.ini
25/08/2003 18:12 1 096 iuctl.inf
20/01/2000 15:25 1 162 Microsoft XML Parser for Java.osd
04/07/2004 23:12 6 191 238 QuickTimeInstallCache.qdat
25/07/2002 17:13 24 576 dwusplay.dll
25/07/2002 17:13 196 608 dwusplay.exe
19/09/2003 14:22 299 008 isusweb.dll
18/11/1999 13:49 992 msaudio.inf
27/10/2002 19:32 3 036 wmv9dmo.inf
08/09/2004 22:38 1 271 erma.inf
31/05/2002 09:20 117 328 PURfr-fr.dll
15/10/2004 07:59 110 592 PURfr-xx.dll
29/05/2003 15:00 160 864 messengerstatsclient.dll
24/10/2006 17:15 367 LegitCheckControl.inf
29/05/2003 15:00 84 064 minesweeper.dll
22/02/2007 23:41 304 544 MessengerStatsPAClient.dll
19/02/2007 11:26 159 128 ZIntro.ocx
13/04/2007 02:14 382 344 GAME_UNO1.dll
17/01/2007 15:44 316 GAME_UNO1.INF
13/05/2007 16:22 <REP> CONFLICT.1
28/02/2007 14:21 131 472 msgrchkr.dll
11/06/2007 12:21 5 021 swflash.inf
13/02/2008 17:55 130 live.ini
14/03/2005 14:58 7 073 scanoptions.tsi
16/03/2005 12:34 7 407 lang.ini
25/05/2006 01:21 53 248 ipsupd.dll
25/05/2006 01:21 118 784 bdupd.dll
07/12/2004 17:07 32 libfn.dll
07/12/2004 17:07 32 bdcore.dll
25/10/2007 16:54 471 040 oscan8.ocx
29/10/2007 16:45 1 244 oscan8.inf
30 fichier(s) 8 834 082 octets

Répertoire de C:\WINDOWS\Downloaded Program Files\CONFLICT.1

13/05/2007 16:22 <REP> .
13/05/2007 16:22 <REP> ..
28/02/2007 14:21 130 472 MineSweeper.dll
1 fichier(s) 130 472 octets

Total des fichiers listés :
31 fichier(s) 8 964 554 octets
5 Rép(s) 4 435 492 864 octets libres

Recherche de rootkit! (Merci S!Ri)

Recherche d'infections connues

Export des clefs sensibles..

Liste des fichiers en exception sur le pare-feu XP SP2

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Messenger\\MSMSGS.EXE"="C:\\Program Files\\Messenger\\MSMSGS.EXE:*:Enabled:Windows Messenger"
"C:\\Program Files\\Microsoft Games\\Age of Empires II\\empires2.exe"="C:\\Program Files\\Microsoft Games\\Age of Empires II\\empires2.exe:*:Enabled:Age of Empires II"
"C:\\Program Files\\Bonjour\\mDNSResponder.exe"="C:\\Program Files\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour"
"C:\\Program Files\\iTunes\\iTunes.exe"="C:\\Program Files\\iTunes\\iTunes.exe:*:Enabled:iTunes"
"C:\\Program Files\\VideoLAN\\VLC\\vlc.exe"="C:\\Program Files\\VideoLAN\\VLC\\vlc.exe:*:Enabled:VLC media player"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\\Program Files\\Grisoft\\AVG7\\avginet.exe"="C:\\Program Files\\Grisoft\\AVG7\\avginet.exe:*:Enabled:avginet.exe"
"C:\\Program Files\\Grisoft\\AVG7\\avgamsvr.exe"="C:\\Program Files\\Grisoft\\AVG7\\avgamsvr.exe:*:Enabled:avgamsvr.exe"
"C:\\Program Files\\Grisoft\\AVG7\\avgcc.exe"="C:\\Program Files\\Grisoft\\AVG7\\avgcc.exe:*:Enabled:avgcc.exe"
"C:\\Program Files\\Grisoft\\AVG7\\avgemc.exe"="C:\\Program Files\\Grisoft\\AVG7\\avgemc.exe:*:Enabled:avgemc.exe"
"C:\\Program Files\\Freeplayer\\vlc\\vlc.exe"="C:\\Program Files\\Freeplayer\\vlc\\vlc.exe:*:Enabled:VLC media player"
"C:\\WINDOWS\\System32\\rtcshare.exe"="C:\\WINDOWS\\System32\\rtcshare.exe:*:Enabled:Partage de l'application RTC"
"C:\\Program Files\\LimeWire\\LimeWire.exe"="C:\\Program Files\\LimeWire\\LimeWire.exe:*:Enabled:LimeWire"
"C:\\Program Files\\THQ\\Dawn Of War\\W40kWA.exe"="C:\\Program Files\\THQ\\Dawn Of War\\W40kWA.exe:*:Disabled:W40kWA"
"C:\\Program Files\\THQ\\Dawn Of War\\W40k.exe"="C:\\Program Files\\THQ\\Dawn Of War\\W40k.exe:*:Enabled:W40k"
"C:\\Program Files\\Starcraft\\StarCraft.exe"="C:\\Program Files\\Starcraft\\StarCraft.exe:*:Enabled:Starcraft"
"C:\\WINDOWS\\System32\\mmc.exe"="C:\\WINDOWS\\System32\\mmc.exe:*:Disabled:Microsoft Management Console"

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

Export de la clef SharedTaskScheduler

[SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

exports des policies
REGEDIT4

[system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001
"HideLegacyLogonScripts"=dword:00000000
"HideLogoffScripts"=dword:00000000
"RunLogonScriptSync"=dword:00000001
"RunStartupScriptSync"=dword:00000000
"HideStartupScripts"=dword:00000000
"DisableRegistryTools"=dword:00000000

Export des clefs sensibles..
Rechercher adresses sensibles dans le fichier HOSTS...
catchme 0.3.1351 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-19 11:08:39
Windows 5.1.2600 Service Pack 2 FAT NTAPI

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden services: 0
hidden files: 0

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Error loading kernel support driver!
Make sure you are running this as Administrator.

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Error loading kernel support driver!
Make sure you are running this as Administrator.

Liste des programmes installes

Ad-Aware SE Personal
Adobe Acrobat and Reader 8.1.2 Security Update 1 (KB403742)
Adobe Anchor Service CS3
Adobe Asset Services CS3
Adobe Bridge CS3
Adobe Bridge Start Meeting
Adobe Camera Raw 4.0
Adobe CMaps
Adobe Color - Photoshop Specific
Adobe Color Common Settings
Adobe Color Common Settings
Adobe Color EU Recommended Settings
Adobe Color JA Extra Settings
Adobe Color NA Extra Settings
Adobe Default Language CS3
Adobe Device Central CS3
Adobe ExtendScript Toolkit 2
Adobe ExtendScript Toolkit 2
Adobe Flash Player ActiveX
Adobe Fonts All
Adobe Help Viewer CS3
Adobe Linguistics CS3
Adobe PDF Library Files
Adobe Photoshop CS3
Adobe Photoshop CS3
Adobe Reader 8.1.2 - Français
Adobe Reader 8.1.2 Security Update 1 (KB403742)
Adobe Setup
Adobe Setup
Adobe Setup
Adobe Stock Photos CS3
Adobe Type Support
Adobe Update Manager CS3
Adobe Version Cue CS3 Client
Adobe WinSoft Linguistics Plugin
Adobe XMP Panels CS3
Apple Software Update
Archiveur WinRAR
Assistant de connexion Windows Live
ATI Display Driver
ATI HydraVision
AVG 7.5
AVIConverter 2.1
AviSynth 2.5
Bac_v7
Beach Life
BHA B's Recorder GOLD 5.32
Calcul de prêt - Version 1.01 du jeudi 1er décembre 2005
Canon i250
CCleaner (remove only)
Compel Adaptec WinASPI
CorelDRAW Graphics Suite 12
Correctif pour Lecteur Windows Media 11 (KB939683)
Correctif pour Windows XP (KB952287)
Correctif Windows XP - KB867282
Correctif Windows XP - KB873333
Correctif Windows XP - KB873339
Correctif Windows XP - KB885250
Correctif Windows XP - KB885835
Correctif Windows XP - KB885836
Correctif Windows XP - KB885884
Correctif Windows XP - KB886185
Correctif Windows XP - KB887472
Correctif Windows XP - KB887742
Correctif Windows XP - KB888113
Correctif Windows XP - KB888302
Correctif Windows XP - KB890047
Correctif Windows XP - KB890175
Correctif Windows XP - KB890859
Correctif Windows XP - KB890923
Correctif Windows XP - KB891781
Correctif Windows XP - KB893066
Correctif Windows XP - KB893086
CSO-DAX Compressor V0.38
DivX 4.12 Codec
DivX 5.0.2 Pro Bundle
DivXG400
EAX Unified
Every Toolbar - Toolbar
FreeBot 1.0
Freeplayer
Galerie de photos Windows Live
Glary Utilities 2.8.0.366
Google Earth
Google Toolbar for Internet Explorer
Heroes of Might and Magic II
HijackThis 2.0.2
Hotfix for Windows Media Format 11 SDK (KB929399)
Hotfix for Windows XP (KB926239)
InterActual Player
InterVideo WinDVD 4
InterVideo WinDVD Creator
InterVideo WinRip
IP.Range.Scanner
iTunes
J2SE Runtime Environment 5.0 Update 5
Java(TM) 6 Update 7
K-Lite Codec Pack 2.34 Full
La Version 01
La Version 02
Lecteur Windows Media 11
LimeWire 4.16.6
LiveUpdate 2.5 (Symantec Corporation)
Malwarebytes' Anti-Malware
Managed DirectX (0901)
Messenger Plus! Live
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 Hotfix (KB928366)
Microsoft .NET Framework 2.0 Service Pack 1
Microsoft Age of Empires II
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft Office XP Professional avec FrontPage
Microsoft SQL Server 2005 Compact Edition [ENU]
Microsoft User-Mode Driver Framework Feature Pack 1.0
Microsoft Visual C++ 2005 Redistributable
MIKSOFT Mobile 3GP converter
Mise à jour de sécurité pour Lecteur Windows Media (KB911564)
Mise à jour de sécurité pour Lecteur Windows Media 10 (KB911565)
Mise à jour de sécurité pour Lecteur Windows Media 10 (KB917734)
Mise à jour de sécurité pour Lecteur Windows Media 11 (KB936782)
Mise à jour de sécurité pour Lecteur Windows Media 11 (KB954154)
Mise à jour de sécurité pour Lecteur Windows Media 6.4 (KB925398)
Mise à jour de sécurité pour Windows XP (KB883939)
Mise à jour de sécurité pour Windows XP (KB890046)
Mise à jour de sécurité pour Windows XP (KB893756)
Mise à jour de sécurité pour Windows XP (KB896358)
Mise à jour de sécurité pour Windows XP (KB896422)
Mise à jour de sécurité pour Windows XP (KB896423)
Mise à jour de sécurité pour Windows XP (KB896424)
Mise à jour de sécurité pour Windows XP (KB896428)
Mise à jour de sécurité pour Windows XP (KB896688)
Mise à jour de sécurité pour Windows XP (KB899587)
Mise à jour de sécurité pour Windows XP (KB899588)
Mise à jour de sécurité pour Windows XP (KB899591)
Mise à jour de sécurité pour Windows XP (KB900725)
Mise à jour de sécurité pour Windows XP (KB901017)
Mise à jour de sécurité pour Windows XP (KB901214)
Mise à jour de sécurité pour Windows XP (KB902400)
Mise à jour de sécurité pour Windows XP (KB903235)
Mise à jour de sécurité pour Windows XP (KB904706)
Mise à jour de sécurité pour Windows XP (KB905414)
Mise à jour de sécurité pour Windows XP (KB905749)
Mise à jour de sécurité pour Windows XP (KB905915)
Mise à jour de sécurité pour Windows XP (KB908519)
Mise à jour de sécurité pour Windows XP (KB908531)
Mise à jour de sécurité pour Windows XP (KB911280)
Mise à jour de sécurité pour Windows XP (KB911562)
Mise à jour de sécurité pour Windows XP (KB911567)
Mise à jour de sécurité pour Windows XP (KB911927)
Mise à jour de sécurité pour Windows XP (KB912812)
Mise à jour de sécurité pour Windows XP (KB912919)
Mise à jour de sécurité pour Windows XP (KB913446)
Mise à jour de sécurité pour Windows XP (KB913580)
Mise à jour de sécurité pour Windows XP (KB914388)
Mise à jour de sécurité pour Windows XP (KB914389)
Mise à jour de sécurité pour Windows XP (KB916281)
Mise à jour de sécurité pour Windows XP (KB917159)
Mise à jour de sécurité pour Windows XP (KB917344)
Mise à jour de sécurité pour Windows XP (KB917422)
Mise à jour de sécurité pour Windows XP (KB917953)
Mise à jour de sécurité pour Windows XP (KB918118)
Mise à jour de sécurité pour Windows XP (KB918439)
Mise à jour de sécurité pour Windows XP (KB918899)
Mise à jour de sécurité pour Windows XP (KB919007)
Mise à jour de sécurité pour Windows XP (KB920213)
Mise à jour de sécurité pour Windows XP (KB920214)
Mise à jour de sécurité pour Windows XP (KB920670)
Mise à jour de sécurité pour Windows XP (KB920683)
Mise à jour de sécurité pour Windows XP (KB920685)
Mise à jour de sécurité pour Windows XP (KB921398)
Mise à jour de sécurité pour Windows XP (KB921503)
Mise à jour de sécurité pour Windows XP (KB921883)
Mise à jour de sécurité pour Windows XP (KB922616)
Mise à jour de sécurité pour Windows XP (KB922760)
Mise à jour de sécurité pour Windows XP (KB922819)
Mise à jour de sécurité pour Windows XP (KB923191)
Mise à jour de sécurité pour Windows XP (KB923414)
Mise à jour de sécurité pour Windows XP (KB923689)
Mise à jour de sécurité pour Windows XP (KB923694)
Mise à jour de sécurité pour Windows XP (KB923980)
Mise à jour de sécurité pour Windows XP (KB924191)
Mise à jour de sécurité pour Windows XP (KB924270)
Mise à jour de sécurité pour Windows XP (KB924496)
Mise à jour de sécurité pour Windows XP (KB924667)
Mise à jour de sécurité pour Windows XP (KB925454)
Mise à jour de sécurité pour Windows XP (KB925486)
Mise à jour de sécurité pour Windows XP (KB925902)
Mise à jour de sécurité pour Windows XP (KB926255)
Mise à jour de sécurité pour Windows XP (KB926436)
Mise à jour de sécurité pour Windows XP (KB927779)
Mise à jour de sécurité pour Windows XP (KB927802)
Mise à jour de sécurité pour Windows XP (KB928090)
Mise à jour de sécurité pour Windows XP (KB928255)
Mise à jour de sécurité pour Windows XP (KB928843)
Mise à jour de sécurité pour Windows XP (KB929123)
Mise à jour de sécurité pour Windows XP (KB929969)
Mise à jour de sécurité pour Windows XP (KB930178)
Mise à jour de sécurité pour Windows XP (KB931261)
Mise à jour de sécurité pour Windows XP (KB931768)
Mise à jour de sécurité pour Windows XP (KB931784)
Mise à jour de sécurité pour Windows XP (KB932168)
Mise à jour de sécurité pour Windows XP (KB933566)
Mise à jour de sécurité pour Windows XP (KB933729)
Mise à jour de sécurité pour Windows XP (KB935839)
Mise à jour de sécurité pour Windows XP (KB935840)
Mise à jour de sécurité pour Windows XP (KB936021)
Mise à jour de sécurité pour Windows XP (KB937143)
Mise à jour de sécurité pour Windows XP (KB938127)
Mise à jour de sécurité pour Windows XP (KB938464)
Mise à jour de sécurité pour Windows XP (KB938829)
Mise à jour de sécurité pour Windows XP (KB939653)
Mise à jour de sécurité pour Windows XP (KB941202)
Mise à jour de sécurité pour Windows XP (KB941568)
Mise à jour de sécurité pour Windows XP (KB941569)
Mise à jour de sécurité pour Windows XP (KB941644)
Mise à jour de sécurité pour Windows XP (KB941693)
Mise à jour de sécurité pour Windows XP (KB942615)
Mise à jour de sécurité pour Windows XP (KB943055)
Mise à jour de sécurité pour Windows XP (KB943460)
Mise à jour de sécurité pour Windows XP (KB943485)
Mise à jour de sécurité pour Windows XP (KB944338)
Mise à jour de sécurité pour Windows XP (KB944533)
Mise à jour de sécurité pour Windows XP (KB944653)
Mise à jour de sécurité pour Windows XP (KB945553)
Mise à jour de sécurité pour Windows XP (KB946026)
Mise à jour de sécurité pour Windows XP (KB946648)
Mise à jour de sécurité pour Windows XP (KB947864)
Mise à jour de sécurité pour Windows XP (KB948590)
Mise à jour de sécurité pour Windows XP (KB948881)
Mise à jour de sécurité pour Windows XP (KB950749)
Mise à jour de sécurité pour Windows XP (KB950759)
Mise à jour de sécurité pour Windows XP (KB950760)
Mise à jour de sécurité pour Windows XP (KB950762)
Mise à jour de sécurité pour Windows XP (KB950974)
Mise à jour de sécurité pour Windows XP (KB951066)
Mise à jour de sécurité pour Windows XP (KB951376-v2)
Mise à jour de sécurité pour Windows XP (KB951698)
Mise à jour de sécurité pour Windows XP (KB951748)
Mise à jour de sécurité pour Windows XP (KB952954)
Mise à jour de sécurité pour Windows XP (KB954211)
Mise à jour de sécurité pour Windows XP (KB956390)
Mise à jour de sécurité pour Windows XP (KB956391)
Mise à jour de sécurité pour Windows XP (KB956803)
Mise à jour de sécurité pour Windows XP (KB956841)
Mise à jour de sécurité pour Windows XP (KB957095)
Mise à jour de sécurité pour Windows XP (KB958644)
Mise à jour pour Windows XP (KB894391)
Mise à jour pour Windows XP (KB896727)
Mise à jour pour Windows XP (KB898461)
Mise à jour pour Windows XP (KB900485)
Mise à jour pour Windows XP (KB910437)
Mise à jour pour Windows XP (KB916595)
Mise à jour pour Windows XP (KB920872)
Mise à jour pour Windows XP (KB922582)
Mise à jour pour Windows XP (KB927891)
Mise à jour pour Windows XP (KB929338)
Mise à jour pour Windows XP (KB930916)
Mise à jour pour Windows XP (KB931836)
Mise à jour pour Windows XP (KB933360)
Mise à jour pour Windows XP (KB936357)
Mise à jour pour Windows XP (KB938828)
Mise à jour pour Windows XP (KB942763)
Mise à jour pour Windows XP (KB942840)
Mise à jour pour Windows XP (KB946627)
Mise à jour pour Windows XP (KB951072-v2)
Moto Racer 2
MSXML 4.0 SP2 (KB927978)
MSXML 4.0 SP2 (KB936181)
MSXML4 Parser
MyDsc2
neoDVDplus
neoDVDplus5
Nero OEM
Network Password Recovery
PDF Settings
PhotoScript
Quick Zip 4.60.018
QuickTime
RealPlayer
Samsung USB Driver (MCCI 4.24)
Security Update for CAPICOM (KB931906)
Security Update for CAPICOM (KB931906)
Shockwave
SoundMAX
Spybot - Search & Destroy 1.4
Starcraft
The Playa
USB Video/Audio Device Driver
VIA RAID Driver Setup Wizard
VIA VT6410 RAID Driver(Remove)
VideoLAN VLC media player 0.8.6a
Warhammer 40,000: Dawn Of War - Gold Edition
WebFldrs XP
Windows Genuine Advantage Notifications (KB905474)
Windows Genuine Advantage Validation Tool (KB892130)
Windows Imaging Component
Windows Installer 3.1 (KB893803)
Windows Installer 3.1 (KB893803)
Windows Live installer
Windows Live Mail
Windows Live Messenger
Windows Live Writer
Windows Media Format 11 runtime
Windows Media Format 11 runtime
Windows Media Player 11

Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est C819-6FE8

Répertoire de C:\Program Files

31/12/2003 14:23 <REP> .
31/12/2003 14:23 <REP> ..
01/01/2004 01:52 <REP> Adobe
03/08/2005 14:11 <REP> Ahead
14/08/2006 20:28 <REP> Alwil Software
31/12/2003 14:57 <REP> Analog Devices
02/11/2007 14:41 <REP> Apple Software Update
22/11/2005 18:32 <REP> ATELIERS
31/12/2003 15:02 <REP> ATI Technologies
04/11/2006 17:26 <REP> Auralog
12/06/2007 14:27 <REP> AVIConverter
31/12/2003 14:39 <REP> AviSynth 2.5
11/09/2007 20:56 <REP> Bonjour
26/05/2007 14:52 <REP> Boonty
26/05/2007 14:52 <REP> BoontyGames
31/12/2003 16:03 <REP> B's Recorder GOLD5
23/02/2008 13:46 <REP> Calcul de prêt
20/10/2007 15:36 <REP> CCleaner
10/09/2007 21:30 <REP> Codemasters
31/12/2003 15:23 <REP> Common Files
31/12/2003 14:37 <REP> ComPlus Applications
11/01/2004 19:43 <REP> Corel
31/12/2003 18:30 <REP> Creative
18/07/2008 11:49 <REP> CSO-DAX Compressor
05/06/2004 16:04 <REP> directx
09/08/2004 09:56 <REP> DivX
16/08/2006 21:57 <REP> DivXCodec
03/07/2006 14:39 <REP> Easy Messenger
30/06/2007 20:46 <REP> Eidos Interactive
29/04/2006 18:58 <REP> eMPIA
29/04/2006 18:58 <REP> EMUSB2.0
31/12/2003 14:23 <REP> Fichiers communs
14/09/2005 15:30 <REP> FireWarrior
28/01/2006 19:06 <REP> FMS
06/11/2007 12:53 <REP> Free
01/05/2006 16:25 <REP> Free Audio Pack
06/11/2007 20:57 <REP> FreeBot
02/03/2008 16:24 <REP> Freeplayer
02/11/2008 15:03 <REP> Glary Utilities
09/08/2004 09:56 <REP> Google
02/03/2008 15:54 <REP> Grisoft
06/12/2006 13:57 <REP> Heroes2
14/07/2005 09:54 <REP> IncrediMail
31/12/2003 14:46 <REP> Intel
11/01/2004 14:21 <REP> InterActual
31/12/2003 14:37 <REP> Internet Explorer
31/12/2003 15:59 <REP> InterVideo
30/06/2004 22:48 <REP> Inventel
02/11/2007 14:44 <REP> iPod
02/11/2007 14:44 <REP> iTunes
01/11/2005 12:50 <REP> Java
20/11/2004 13:07 <REP> K-Lite Codec Pack
04/10/2004 21:46 <REP> Lavasoft
09/04/2008 15:23 <REP> LimeWire
22/06/2005 18:30 <REP> LucasArts
17/11/2008 23:06 <REP> Malwarebytes' Anti-Malware
14/09/2005 15:37 <REP> Managed DirectX (0901)
31/12/2003 16:05 <REP> Mediostream
31/12/2003 14:37 <REP> Messenger
09/04/2008 16:28 <REP> Messenger Plus! Live
22/01/2006 14:17 <REP> MessengerPlus! 3
07/12/2006 21:19 <REP> Micro Application
28/02/2008 19:25 <REP> Microsoft CAPICOM 2.1.0.2
31/12/2003 14:39 <REP> microsoft frontpage
20/04/2007 15:07 <REP> Microsoft Games
04/01/2004 12:14 <REP> Microsoft Office
27/02/2008 22:23 <REP> Microsoft SQL Server Compact Edition
03/05/2006 22:19 <REP> MIKSOFT
31/12/2003 14:38 <REP> Movie Maker
28/12/2007 21:46 <REP> MSECache
26/10/2008 10:00 <REP> msn
31/12/2003 14:37 <REP> MSN Gaming Zone
08/01/2006 11:31 <REP> MSN Messenger
19/11/2006 15:42 <REP> MSXML 4.0
31/12/2003 14:38 <REP> NetMeeting
03/06/2005 16:57 <REP> NovaLogic
31/12/2003 14:37 <REP> Outlook Express
21/07/2007 14:46 <REP> PandoBar
02/11/2007 14:42 <REP> QuickTime
23/07/2007 23:22 <REP> QuickZip4
30/05/2004 20:05 <REP> Real
30/05/2004 20:07 <REP> Reality Fusion
11/04/2004 13:16 <REP> Rippackv3
24/02/2006 23:00 <REP> Samsung
19/10/2008 19:41 <REP> SDHelper (Spybot - Search & Destroy)
31/12/2003 14:37 <REP> Services en ligne
30/06/2007 21:23 <REP> Sierra
27/08/2007 12:54 <REP> Spybot - Search & Destroy
01/09/2006 14:30 <REP> Starcraft
29/10/2005 15:56 <REP> Symantec
19/10/2008 19:41 <REP> TeaTimer (Spybot - Search & Destroy)
16/08/2006 21:57 <REP> The Playa
06/09/2008 16:10 <REP> THQ
06/11/2004 12:22 <REP> TryMedia
24/03/2007 17:24 <REP> Ubi Soft
31/12/2003 14:55 <REP> VIA
04/03/2007 19:48 <REP> VideoLAN
20/07/2005 15:14 <REP> Warcraft II BNE
02/10/2007 19:37 <REP> WinASPI
27/02/2008 22:06 <REP> Windows Live
31/05/2004 10:42 <REP> Windows Media Components
13/06/2007 11:44 <REP> Windows Media Connect 2
31/12/2003 14:38 <REP> Windows Media Player
31/12/2003 14:36 <REP> Windows NT
05/03/2005 18:25 <REP> WinRAR
31/12/2003 14:39 <REP> xerox
29/08/2006 19:45 <REP> Xplosiv
0 fichier(s) 0 octets
107 Rép(s) 4 435 492 864 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est C819-6FE8

Répertoire de C:\Program Files\fichiers communs

31/12/2003 14:23 <REP> .
31/12/2003 14:23 <REP> ..
31/12/2003 14:23 <REP> Microsoft Shared
31/12/2003 14:23 <REP> SpeechEngines
31/12/2003 14:23 <REP> ODBC
31/12/2003 14:37 <REP> System
31/12/2003 14:37 <REP> MSSoap
31/12/2003 14:38 <REP> Services
31/12/2003 14:45 <REP> InstallShield
03/08/2005 14:11 <REP> Ahead
01/01/2004 01:52 <REP> Adobe
04/01/2004 12:14 <REP> Designer
11/01/2004 21:57 <REP> Symantec Shared
30/05/2004 20:05 <REP> Real
30/05/2004 20:09 <REP> Logitech
01/11/2005 12:47 <REP> Java
25/10/2003 21:24 <REP> xing shared
04/04/2004 15:34 <REP> Knowledge Adventure
11/09/2007 20:50 <REP> Macrovision Shared
01/11/2007 20:30 <REP> AVSMedia
12/04/2004 13:54 <REP> nputdncm
0 fichier(s) 0 octets
21 Rép(s) 4 434 968 576 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est C819-6FE8

Répertoire de C:\Program Files\fichiers communs\Microsoft Shared\Web Folders

31/12/2003 14:43 <REP> .
31/12/2003 14:43 <REP> ..
07/03/2001 09:00 127 033 MSOWS40c.DLL
03/06/1999 14:09 122 937 MSOWS409.DLL
13/02/2001 08:23 58 784 MSOSV.DLL
04/01/2004 12:14 <REP> 1036
04/01/2004 12:14 <REP> 1033
06/08/2000 09:04 401 462 MSVCP60.DLL
22/01/2001 03:25 40 960 PKMTEMPL.DLL
26/10/2006 19:49 970 528 MSONSEXT.DLL
29/01/2004 15:08 86 016 PKMWS.DLL
29/01/2004 15:38 634 880 PKMRES.DLL
29/01/2004 15:08 28 672 PKMSSTLB.DLL
29/01/2004 15:08 69 632 PKMAXCTL.DLL
29/01/2004 15:08 868 352 PKMCDO.DLL
29/01/2004 15:08 53 248 PKMCORE.DLL
29/01/2004 15:08 102 400 PKMFORMS.DLL
29/01/2004 15:08 24 576 PKMTRACE.DLL
29/01/2004 15:08 237 568 PROMDEMO.DLL
29/01/2004 15:08 184 320 SECMGR.DLL
29/01/2004 15:08 315 392 VAIDDMGR.DLL
29/01/2004 15:08 32 768 VAIMEM.DLL
18 fichier(s) 4 359 528 octets
4 Rép(s) 4 435 476 480 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est C819-6FE8

Répertoire de C:\Program Files\common files

31/12/2003 15:23 <REP> .
31/12/2003 15:23 <REP> ..
31/12/2003 15:23 <REP> System
20/03/2004 08:47 <REP> Softkey
0 fichier(s) 0 octets
4 Rép(s) 4 435 476 480 octets libres

Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est C819-6FE8

Répertoire de C:\

c:\Documents and Settings\All Users\Application Data\Apple Computer\Installer Cache\iTunes 7.4.3.1\iTunesSetupAdmin.exe
c:\Documents and Settings\All Users\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
c:\Documents and Settings\All Users\Documents\Brutus FTP Cracker.exe
c:\Documents and Settings\All Users\Documents\Microsoft Visual Basic KeyGen.exe
c:\Documents and Settings\All Users\Documents\Microsoft Visual C++ KeyGen.exe
c:\Documents and Settings\All Users\Documents\Password Cracker.exe
c:\Documents and Settings\Gilles\Local Settings\Application Data\Installer3876\Setup.exe
c:\Documents and Settings\Gilles\Local Settings\Application Data\Installer3876\redist\WindowsInstaller-KB893803-v2-x86.exe
c:\Documents and Settings\Gilles\Local Settings\Application Data\Installer3876\redist\WindowsServer2003-KB898715-ia64-enu.exe
c:\Documents and Settings\Gilles\Local Settings\Application Data\Installer3876\redist\WindowsServer2003-KB898715-x64-enu.exe
c:\Documents and Settings\Gilles\Local Settings\Application Data\Installer3876\redist\WindowsServer2003-KB898715-x86-enu.exe
c:\Documents and Settings\Gilles\Local Settings\Application Data\Installer3876\redist\WindowsXP-KB898715-x64-enu.exe
c:\Documents and Settings\Gilles\Local Settings\Application Data\Installer3892\Setup.exe
c:\Documents and Settings\Gilles\Local Settings\Application Data\Installer3892\redist\WindowsInstaller-KB893803-v2-x86.exe
c:\Documents and Settings\Gilles\Local Settings\Application Data\Installer3892\redist\WindowsServer2003-KB898715-ia64-enu.exe
c:\Documents and Settings\Gilles\Local Settings\Application Data\Installer3892\redist\WindowsServer2003-KB898715-x64-enu.exe
c:\Documents and Settings\Gilles\Local Settings\Application Data\Installer3892\redist\WindowsServer2003-KB898715-x86-enu.exe
c:\Documents and Settings\Gilles\Local Settings\Application Data\Installer3892\redist\WindowsXP-KB898715-x64-enu.exe
c:\Documents and Settings\Gilles\Local Settings\Application Data\Installer476\Setup.exe
c:\Documents and Settings\Gilles\Local Settings\Application Data\Installer476\redist\WindowsInstaller-KB893803-v2-x86.exe
c:\Documents and Settings\Gilles\Local Settings\Application Data\Installer476\redist\WindowsServer2003-KB898715-ia64-enu.exe
c:\Documents and Settings\Gilles\Local Settings\Application Data\Installer476\redist\WindowsServer2003-KB898715-x64-enu.exe
c:\Documents and Settings\Gilles\Local Settings\Application Data\Installer476\redist\WindowsServer2003-KB898715-x86-enu.exe
c:\Documents and Settings\Gilles\Local Settings\Application Data\Installer476\redist\WindowsXP-KB898715-x64-enu.exe
c:\Documents and Settings\Gilles\Mes documents\Mes fichiers reçus\AdbeRdr810_fr_FR.exe
c:\Documents and Settings\Gilles\Mes documents\Mes fichiers reçus\avg75free_516a1262.exe
c:\Documents and Settings\Gilles\Mes documents\Mes fichiers reçus\CalcFinance.exe
c:\Documents and Settings\Gilles\Mes documents\Mes fichiers reçus\Calculdepret.exe
c:\Documents and Settings\Gilles\Mes documents\Mes fichiers reçus\ccsetup201.exe
c:\Documents and Settings\Gilles\Mes documents\Mes fichiers reçus\Freeplayer-Win32-20070531.exe
c:\Documents and Settings\Gilles\Mes documents\Utilitaires\HiJackThis.exe
c:\Documents and Settings\Gilles\Bureau\ComboFix.exe
c:\Documents and Settings\Gilles\Bureau\RHosts.exe
c:\Documents and Settings\Gilles\Bureau\DiagHelp\catchme.exe
c:\Documents and Settings\Gilles\Bureau\DiagHelp\diff.exe
c:\Documents and Settings\Gilles\Bureau\DiagHelp\dumphive.exe
c:\Documents and Settings\Gilles\Bureau\DiagHelp\FilesInfoCmd.exe
c:\Documents and Settings\Gilles\Bureau\DiagHelp\find2.exe
c:\Documents and Settings\Gilles\Bureau\DiagHelp\Fport.exe
c:\Documents and Settings\Gilles\Bureau\DiagHelp\grep.exe
c:\Documents and Settings\Gilles\Bureau\DiagHelp\gzip.exe
c:\Documents and Settings\Gilles\Bureau\DiagHelp\KProcCheck.exe
c:\Documents and Settings\Gilles\Bureau\DiagHelp\LFiles.exe
c:\Documents and Settings\Gilles\Bureau\DiagHelp\LISTDLLS.exe
c:\Documents and Settings\Gilles\Bureau\DiagHelp\md5sums.exe
c:\Documents and Settings\Gilles\Bureau\DiagHelp\pslist.exe
c:\Documents and Settings\Gilles\Bureau\DiagHelp\sigcheck.exe
c:\Documents and Settings\Gilles\Bureau\DiagHelp\streams.exe
c:\Documents and Settings\Gilles\Bureau\DiagHelp\swreg.exe
c:\Documents and Settings\Gilles\Bureau\DiagHelp\tar.exe
c:\Documents and Settings\Gilles\Application Data\Microsoft\Installer\{D0B36BAF-3E9D-423E-8821-ED238C18DB0A}\Icon83F12F734.exe
c:\Documents and Settings\Gilles\Application Data\Microsoft\Installer\{D0B36BAF-3E9D-423E-8821-ED238C18DB0A}\Icon8F99E711.exe
c:\Documents and Settings\Gilles\Application Data\Microsoft\Installer\{D0B36BAF-3E9D-423E-8821-ED238C18DB0A}\IconD0B36BAF3.exe
c:\Documents and Settings\Gilles\Application Data\Real\Update\setup\schedule.exe
c:\Documents and Settings\Gilles\Application Data\Real\Update\setup\setup.exe
c:\Documents and Settings\Gilles\Application Data\Real\Update\setup\data\ff\firefoxgoogletoolbarsetup.exe
c:\Documents and Settings\Gilles\Application Data\Real\Update\setup\data\gds\GOOGLE_DESKTOP\gdssetup.exe
c:\Documents and Settings\Gilles\Application Data\Real\Update\setup\data\gtb\GOOGLE_TOOLBAR\googletoolbarinstaller.exe
c:\Documents and Settings\Gilles\Application Data\Real\Update\setup\data\gtb_gds\GOOGLE_TOOLBAR\googletoolbarinstaller.exe
c:\Documents and Settings\Gilles\Application Data\Real\Update\setup\data\rp\RealPlayer11GOLD_fr.exe
c:\Documents and Settings\Gilles\Application Data\V-Safe\V-Safe.exe
c:\Documents and Settings\Gilles\Application Data\Verbatim Software\V-Key.exe
c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\ppcrlconfig.dll
c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\production\ppcrlconfig.dll
c:\Documents and Settings\LocalService\Application Data\Microsoft\UPnP Device Host\upnphost\udhisapi.dll
c:\Documents and Settings\Gilles\Local Settings\Application Data\Microsoft\Messenger\Brands\fr-FR\FT01\wlmbrand.dll
c:\Documents and Settings\Gilles\Application Data\Microsoft\IdentityCRL\ppcrlconfig.dll
c:\Documents and Settings\Gilles\Application Data\Microsoft\IdentityCRL\Production\ppcrlconfig.dll
c:\Documents and Settings\Gilles\Application Data\Microsoft\IdentityCRL\PROD\ppcrlconfig.dll
c:\Documents and Settings\Gilles\Application Data\Real\Update\setup\data\RUP\control.dll
c:\Documents and Settings\Gilles\Application Data\Real\Update\setup\data\RUP\inst_config\compat.dll
c:\Documents and Settings\Gilles\Application Data\Real\Update\setup\data\RUP\inst_config\fftbapi.dll
c:\Documents and Settings\Gilles\Application Data\Real\Update\setup\data\RUP\inst_config\gdsapi.dll
c:\Documents and Settings\Gilles\Application Data\Real\Update\setup\data\RUP\inst_config\gtapi.dll
c:\Documents and Settings\Gilles\Application Data\Real\Update\setup\data\gds\GOOGLE_DESKTOP\barcontrol.dll
c:\Documents and Settings\Gilles\Application Data\Real\Update\setup\data\gds\GOOGLE_DESKTOP\gdsapi.dll
c:\Documents and Settings\Gilles\Application Data\Real\Update\setup\data\gds\GOOGLE_DESKTOP\spcping.dll
c:\Documents and Settings\Gilles\Application Data\Real\Update\setup\data\gtb\GOOGLE_TOOLBAR\barcontrol.dll
c:\Documents and Settings\Gilles\Application Data\Real\Update\setup\data\gtb\GOOGLE_TOOLBAR\spcping.dll
c:\Documents and Settings\Gilles\Application Data\Real\Update\setup\data\gtb_gds\GOOGLE_TOOLBAR\barcontrol.dll
c:\Documents and Settings\Gilles\Application Data\Real\Update\setup\data\gtb_gds\GOOGLE_TOOLBAR\spcping.dll

****** Fin du rapport DiagHelp
Veuillez svp envoyer le fichier C:\upload_moi_LETTRE-0F73N7J6.tar.gz a l'adresse http://upload.malekal.com

répondre

naheulbeuk le 19 novembre 2008 à 12h38

re,

Télécharge ComboFix (créé par sUBs) sur ton Bureau

Copie ce qui est en citation ci-dessous (intérieur du cadre) par sélection puis Ctrl-C :

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"FdaQkablTWpru"=-

Driver::
93e865c8
nrvzrfrv
Winea56
aqgf

File::
c:\windows\system32\uuvl.dll
c:\windows\system32\drivers\senekarxix.sys
c:\windows\system32\user32.sauv.dll
c:\windows\system32\drivers\senekajyil.sys
c:\windows\system32\qmgro.dll
c:\windows\system32\muin.dll
c:\windows\system32\1135108105.dat
c:\windows\system32\spoolo.dll
c:\windows\system32\3341905758.dat
c:\windows\system32\drivers\fagto.sys
c:\windows\system32\drivers\nrvzrfrv.sys
c:\windows\System32\drivers\Winea56.sys
C:\WINDOWS\System32\drivers\senekarxix.sys
C:\WINDOWS\System32\drivers\senekajyil.sys
C:\WINDOWS\System32\drivers\93e865c8.sys

-Ouvre le Bloc-Notes puis colle le texte copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes)
-Enregistre ce fichier dans: Bureau
-Nom du fichier : CFScript.txt
-Type du fichier : tous les fichiers
-clique sur Enregistrer
-quitte le Bloc Notes

Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture

* Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
* Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

-------
Visitez mon site sur la sécurité informatique : http://www.site-naheulbeuk.com
Et son forum : http://www.site-naheulbeuk.com/forum/

répondre

lm76 le 19 novembre 2008 à 14h21

Toujours en mode sans echec ... et toujours autant de mal pour repartir (car combofix à redemarrer) !!!
C'est quoi ce uuvl.dll ?

ComboFix 08-11-16.05 - Gilles 2008-11-19 12:49:10.4 - FAT32x86 NETWORK
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.771 [GMT 1:00]
Lancé depuis: c:\documents and settings\Gilles\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\Gilles\Bureau\CFScript.txt

[B]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/B]

FILE ::
c:\windows\system32\1135108105.dat
c:\windows\system32\3341905758.dat
c:\windows\System32\drivers\93e865c8.sys
c:\windows\system32\drivers\fagto.sys
c:\windows\system32\drivers\nrvzrfrv.sys
c:\windows\System32\drivers\senekajyil.sys
c:\windows\system32\drivers\senekarxix.sys
c:\windows\System32\drivers\Winea56.sys
c:\windows\system32\muin.dll
c:\windows\system32\qmgro.dll
c:\windows\system32\spoolo.dll
c:\windows\system32\user32.sauv.dll
c:\windows\system32\uuvl.dll
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\1135108105.dat
c:\windows\system32\3341905758.dat
c:\windows\System32\drivers\93e865c8.sys
c:\windows\System32\drivers\senekajyil.sys
c:\windows\system32\drivers\senekarxix.sys
c:\windows\system32\muin.dll
c:\windows\system32\qmgro.dll
c:\windows\system32\spoolo.dll
c:\windows\system32\user32.sauv.dll
c:\windows\system32\uuvl.dll . . . . impossible à supprimer

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NRVZRFRV
-------\Legacy_WINEA56
-------\Service_93e865c8
-------\Service_aqgf
-------\Service_nrvzrfrv
-------\Service_poof
-------\Service_seneka
-------\Service_Winea56

((((((((((((((((((((((((((((( Fichiers créés du 2008-10-19 au 2008-11-19 ))))))))))))))))))))))))))))))))))))
.

2008-11-19 11:08 . 2008-11-19 11:08 822,384 --a------ C:\upload_moi_LETTRE-0F73N7J6.tar.gz
2008-11-18 12:15 . 2008-11-18 12:15 <REP> d-------- c:\windows\ERUNT
2008-11-18 12:13 . 2008-11-06 02:03 <REP> d-------- C:\SDFix
2008-11-17 23:18 . 2008-10-22 16:10 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-11-17 23:17 . 2008-11-17 23:17 <REP> d-------- c:\documents and settings\Gilles\Application Data\Malwarebytes
2008-11-17 23:06 . 2008-11-17 23:06 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2008-11-17 23:06 . 2008-11-17 23:06 <REP> d-------- c:\docume~1\ALLUSE~1\APPLIC~1\Malwarebytes
2008-11-17 23:06 . 2008-10-22 16:10 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-11-17 22:05 . 2008-11-17 22:24 90,112 --a------ c:\windows\DUMPbda2.tmp
2008-11-17 22:05 . 2008-11-17 23:03 90,112 --a------ c:\windows\DUMPa623.tmp
2008-11-17 22:05 . 2008-11-18 00:11 90,112 --a------ c:\windows\DUMPa018.tmp
2008-11-17 22:05 . 2008-11-18 08:19 90,112 --a------ c:\windows\DUMP98b5.tmp
2008-11-17 22:05 . 2008-11-18 18:13 90,112 --a------ c:\windows\DUMP93d3.tmp
2008-11-17 14:12 . 2008-11-17 14:12 <REP> d--hs---- C:\FOUND.007
2008-11-16 18:19 . 2008-11-16 18:19 379 --a------ c:\windows\wininit.ini
2008-11-05 15:06 . 2008-11-05 15:06 244 --ah----- C:\sqmnoopt02.sqm
2008-11-05 15:06 . 2008-11-05 15:06 232 --ah----- C:\sqmdata02.sqm
2008-11-05 14:59 . 2008-11-05 14:59 244 --ah----- C:\sqmnoopt01.sqm
2008-11-05 14:59 . 2008-11-05 14:59 232 --ah----- C:\sqmdata01.sqm
2008-11-05 12:20 . 2001-08-28 12:00 4,224 --a------ c:\windows\system32\drivers\beep.sys
2008-11-05 12:20 . 2001-08-28 12:00 4,224 --a------ c:\windows\system32\dllcache\beep.sys
2008-11-05 12:20 . 2008-11-05 14:58 85 --a-s---- c:\windows\system32\464031213.dat
2008-11-02 15:20 . 2008-11-02 15:20 <REP> d-------- c:\documents and settings\Gilles\Application Data\GlarySoft
2008-11-02 15:03 . 2008-11-02 15:03 <REP> d-------- c:\program files\Glary Utilities
2008-10-29 21:13 . 2008-10-29 21:13 <REP> d--hs---- C:\FOUND.006
2008-10-28 14:22 . 2008-10-28 14:22 244 --ah----- C:\sqmnoopt00.sqm
2008-10-28 14:22 . 2008-10-28 14:22 232 --ah----- C:\sqmdata00.sqm
2008-10-26 18:11 . 2008-10-26 18:11 <REP> d-------- c:\windows\system32\NtmsData
2008-10-26 10:00 . 2008-10-26 10:00 <REP> d-------- c:\windows\system32\fr-fr
2008-10-26 10:00 . 2008-10-26 10:00 <REP> d-------- c:\windows\system32\fr
2008-10-26 10:00 . 2008-10-26 10:00 <REP> d-------- c:\windows\l2schemas
2008-10-26 09:48 . 2007-10-25 17:56 8,510,976 --a------ c:\windows\system32\dllcache\shell32.dll
2008-10-26 09:43 . 2008-06-10 02:32 73,728 --a------ c:\windows\system32\javacpl.cpl
2008-10-19 19:41 . 2008-10-19 19:41 <REP> d-------- c:\program files\TeaTimer (Spybot - Search & Destroy)
2008-10-19 19:41 . 2008-10-19 19:41 <REP> d-------- c:\program files\SDHelper (Spybot - Search & Destroy)

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-17 17:55 90,112 ----a-w c:\windows\DUMP3072.tmp
2008-11-17 17:51 90,112 ----a-w c:\windows\DUMPc44a.tmp
2008-11-17 14:00 90,112 ----a-w c:\windows\DUMPed8c.tmp
2008-11-05 20:22 90,112 ----a-w c:\windows\DUMP6e79.tmp
2008-11-05 20:12 90,112 ----a-w c:\windows\DUMP921e.tmp
2008-10-15 16:59 332,800 ----a-w c:\windows\system32\dllcache\netapi32.dll
2008-10-11 19:01 578,560 ----a-w c:\windows\system32\user32.ren.dll
2008-09-15 16:39 1,846,144 ----a-w c:\windows\system32\win32k.sys
2008-09-15 16:39 1,846,144 ----a-w c:\windows\system32\dllcache\win32k.sys
2008-09-07 13:55 68,096 ----a-w c:\windows\ScUnin.exe
2008-08-28 11:04 333,056 ----a-w c:\windows\system32\dllcache\srv.sys
2008-08-19 10:30 18,432 ----a-w c:\windows\system32\dllcache\iedw.exe
2008-01-20 13:23 345,008 ----a-w c:\documents and settings\Gilles\Application Data\GDIPFONTCACHEV1.DAT
2004-11-20 12:01 10,821 --sha-w c:\windows\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((( snapshot@2008-11-18_22.17.10.89 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-11-18 20:40:54 32,768 ----a-w c:\windows\system32\config\systemprofile\Cookies\index.dat
+ 2008-11-18 22:02:06 32,768 ----a-w c:\windows\system32\config\systemprofile\Cookies\index.dat
- 2008-11-18 20:40:54 65,536 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
+ 2008-11-18 22:02:06 65,536 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
- 2008-11-18 20:40:54 245,760 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
+ 2008-11-18 22:02:06 245,760 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
- 2008-10-11 19:01:44 578,560 ----a-w c:\windows\system32\user32.dll
+ 2004-08-20 00:09:46 578,048 ----a-w c:\windows\system32\user32.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{06663B56-0D73-4f9f-BCC5-4AA941470AFD}"= "c:\program files\PandoBar\SrchAstt\1.bin\P4SRCHAS.DLL" [2007-07-21 61440]

[HKEY_CLASSES_ROOT\clsid\{06663b56-0d73-4f9f-bcc5-4aa941470afd}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-10 68856]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2004-10-13 1694208]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-20 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"SoundMAXPnP"="c:\program files\Analog Devices\SoundMAX\SMax4PNP.exe" [2003-05-29 790528]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2007-06-29 286720]
"LVCOMS"="c:\program files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE" [2002-12-10 127022]
"AVG7_CC"="c:\progra~1\Grisoft\AVG7\avgcc.exe" [2008-04-20 579584]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-20 15360]
"AVG7_Run"="c:\progra~1\Grisoft\AVG7\avgw.exe" [2008-03-02 219136]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 5724184]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"FdaQkablTWpru"= {C8196FE9-62B3-C543-5B43-9F22ADA2BAC6} - c:\windows\system32\uuvl.dll [2007-04-16 32768]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.I420"= i420vfw.dll
"vidc.3iv2"= 3ivxVfWCodec.dll
"msacm.divxa32"= DivXa32.acm
"VIDC.HFYU"= huffyuv.dll
"VIDC.VP31"= vp31vfw.dll
"vidc.DIV3"= DivXc32.dll
"vidc.DIV4"= DivXc32f.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"LmHostsWudfSvc"=2 (0x2)
"HidServ Service"=2 (0x2)
"aspnet_statesrservice"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-disabled]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\MSMSGS.EXE"=
"c:\\Program Files\\Microsoft Games\\Age of Empires II\\empires2.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Program Files\\Grisoft\\AVG7\\avginet.exe"=
"c:\\Program Files\\Grisoft\\AVG7\\avgamsvr.exe"=
"c:\\Program Files\\Grisoft\\AVG7\\avgcc.exe"=
"c:\\Program Files\\Grisoft\\AVG7\\avgemc.exe"=
"c:\\Program Files\\Freeplayer\\vlc\\vlc.exe"=
"c:\\WINDOWS\\System32\\rtcshare.exe"=
"c:\\Program Files\\LimeWire\\LimeWire.exe"=
"c:\\Program Files\\THQ\\Dawn Of War\\W40kWA.exe"=
"c:\\Program Files\\THQ\\Dawn Of War\\W40k.exe"=
"c:\\Program Files\\Starcraft\\StarCraft.exe"=
"c:\\WINDOWS\\System32\\mmc.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"18718:TCP"= 18718:TCP:NortonAV
"17977:TCP"= 17977:TCP:NortonAV
"18471:TCP"= 18471:TCP:NortonAV
"17191:TCP"= 17191:TCP:NortonAV
"13056:TCP"= 13056:TCP:NortonAV
"13110:TCP"= 13110:TCP:NortonAV
"13089:TCP"= 13089:TCP:NortonAV
"13093:TCP"= 13093:TCP:NortonAV
"17065:TCP"= 17065:TCP:NortonAV
"13527:TCP"= 13527:TCP:NortonAV
"13606:TCP"= 13606:TCP:NortonAV
"13120:TCP"= 13120:TCP:NortonAV
"18460:TCP"= 18460:TCP:NortonAV
"15960:TCP"= 15960:TCP:NortonAV
"14522:TCP"= 14522:TCP:NortonAV
"14638:TCP"= 14638:TCP:NortonAV
"12997:TCP"= 12997:TCP:NortonAV
"17576:TCP"= 17576:TCP:NortonAV
"15335:TCP"= 15335:TCP:NortonAV
"13503:TCP"= 13503:TCP:NortonAV
"14303:TCP"= 14303:TCP:NortonAV
"18639:TCP"= 18639:TCP:NortonAV
"18907:TCP"= 18907:TCP:NortonAV
"14637:TCP"= 14637:TCP:NortonAV
"12091:TCP"= 12091:TCP:NortonAV
"15302:TCP"= 15302:TCP:NortonAV
"14222:TCP"= 14222:TCP:NortonAV
"15476:TCP"= 15476:TCP:NortonAV
"12811:TCP"= 12811:TCP:NortonAV
"18227:TCP"= 18227:TCP:NortonAV
"14509:TCP"= 14509:TCP:NortonAV
"13329:TCP"= 13329:TCP:NortonAV
"18998:TCP"= 18998:TCP:NortonAV
"13607:TCP"= 13607:TCP:NortonAV
"12283:TCP"= 12283:TCP:NortonAV
"15612:TCP"= 15612:TCP:NortonAV
"7689:TCP"= 7689:TCP:Service
"7705:TCP"= 7705:TCP:Service
"110:TCP"= 110:TCP:svchost

R0 viaraid;viaraid;c:\windows\system32\DRIVERS\viaraid.sys [2003-12-31 70272]
S4 hpt3xx;hpt3xx; []
.
- - - - ORPHELINS SUPPRIMES - - - -

SafeBoot-Winea56.sys

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-19 14:12:40
Windows 5.1.2600 Service Pack 2 FAT NTAPI

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
Heure de fin: 2008-11-19 14:14:50 - La machine a redémarré
ComboFix-quarantined-files.txt 2008-11-19 13:14:48
ComboFix3.txt 2008-11-18 21:17:44
ComboFix2.txt 2008-11-18 22:04:40

Avant-CF: 4 424 974 336 octets libres
Après-CF: 3,795,763,200 octets libres

232 --- E O F --- 2008-11-13 15:51:22

répondre

naheulbeuk le 19 novembre 2008 à 15h26

re, c'est mieux

Télécharge HijackThis

Guide d'utilisation : http://www.site-naheulbeuk.com/hijackthis.php

Clique alors sur "Do a system scan and save a logfile"
Le scan se fait très rapidement, puis un bloc-note apparaît
(le "logfile")
Dans ce bloc-note, va dans "Edition", puis "Selectionner Tout",
le texte est alors séléctionné, retourne dans "Edition" toujours
en laissant le texte séléctionné, et clique sur copier.
Colle le contenu ici dans ta prochaine réponse !

-------
Visitez mon site sur la sécurité informatique : http://www.site-naheulbeuk.com
Et son forum : http://www.site-naheulbeuk.com/forum/

répondre

lm76 le 19 novembre 2008 à 16h23

Et voilà :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:21:03, on 19/11/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Documents and Settings\Gilles\Mes documents\Utilitaires\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.club-internet.fr:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;*.local;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {06663B56-0D73-4f9f-BCC5-4AA941470AFD} - C:\Program Files\PandoBar\SrchAstt\1.bin\P4SRCHAS.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.club-internet.fr
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/fr(...)
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O21 - SSODL: FdaQkablTWpru - {C8196FE9-62B3-C543-5B43-9F22ADA2BAC6} - C:\WINDOWS\system32\uuvl.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 6709 bytes

répondre

naheulbeuk le 19 novembre 2008 à 17h39

re,

fais ceci dans l'ordre et en entier :

Note: Cette procédure a été créée spécifiquement pour cet utilisateur ! Si vous n'êtes pas cet utilisateur en question, ne suivez pas ces instructions au risque d'endommager votre PC !!!

1/ Relance HijackThis, coche cette ligne :

O21 - SSODL: FdaQkablTWpru - {C8196FE9-62B3-C543-5B43-9F22ADA2BAC6} - C:\WINDOWS\system32\uuvl.dll

--> clic sur fix checked

2/ ferme hijackthis

3/ Télécharge OTMoveIt3 (de Old_Timer) sur ton Bureau.

Double-clique sur OTMoveIt.exe pour le lancer.

Assure toi que la case "Unregister Dll's and Ocx's" soit bien cochée !!!

Copie le texte qui se trouve dans l'encadré ci-dessous, et colle le dans le cadre de gauche de OTMoveIt nommé Paste List of Files/Folders to be moved.

:files
C:\WINDOWS\system32\uuvl.dll

Clique sur MoveIt! pour lancer la suppression.

Si OTMoveIt propose de redémarrer ton PC, accepte.

Lorsque un résultat apparaît dans le cadre Results, clique sur Exit.

Dans ta future réponse, envoie le rapport de OTMoveIt situé dans ce dossier : C:\_OTMoveIt\MovedFiles.txt\

-------
Visitez mon site sur la sécurité informatique : http://www.site-naheulbeuk.com
Et son forum : http://www.site-naheulbeuk.com/forum/

répondre

lm76 le 19 novembre 2008 à 18h26

La ligne a fixer avec Hijackthis reste toujours présente ?!
Je suis toujours en mode sans echec ... était-ce qu'il fallait ?

Log OTMovIt3 :

========== FILES ==========
DllUnregisterServer procedure not found in C:\WINDOWS\system32\uuvl.dll
C:\WINDOWS\system32\uuvl.dll NOT unregistered.
File move failed. C:\WINDOWS\system32\uuvl.dll scheduled to be moved on reboot.

OTMoveIt3 by OldTimer - Version 1.0.7.1 log created on 11192008_180310

répondre

naheulbeuk le 19 novembre 2008 à 18h28

oui tu as bien fait

redémarre le pc, otmoveit devrait se relancer

Passe un coup de MalwareBytes (scan complet) et nettoie tout ce qu'il trouve
Aide : http://www.site-naheulbeuk.com/malwarebytes.php
Post moi le rapport généré à la fin dans ta prochaine réponse

-------
Visitez mon site sur la sécurité informatique : http://www.site-naheulbeuk.com
Et son forum : http://www.site-naheulbeuk.com/forum/

répondre

lm76 le 19 novembre 2008 à 18h47

J'ai redemarré en mode sans echec mais otmoveit ne s'est pas relancé.
Dans hijackthis la ligne est toujours là.
Le fichier C:\WINDOWS\system32\uuvl.dll aussi.

MalwareBytes est en train de tourner ...

répondre

naheulbeuk le 19 novembre 2008 à 18h52

ouais malwarebytes arrivera peut etre à le virer, sinon on emploiera les grands moyens... :whistle:

-->Message édité par naheulbeuk le 19/11/2008 18:53:00<--

-------
Visitez mon site sur la sécurité informatique : http://www.site-naheulbeuk.com
Et son forum : http://www.site-naheulbeuk.com/forum/

répondre

lm76 le 19 novembre 2008 à 19h14

Et non !!!
Il n'a rien trouvé !

Malwarebytes' Anti-Malware 1.30
Version de la base de données: 1306
Windows 5.1.2600 Service Pack 2

19/11/2008 19:12:06
mbam-log-2008-11-19 (19-12-06).txt

Type de recherche: Examen complet (C:\|F:\|)
Eléments examinés: 149686
Temps écoulé: 29 minute(s), 23 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

répondre

naheulbeuk le 19 novembre 2008 à 19h21

re,

fais ceci dans l'ordre et en entier :

Prière d'imprimer ces instructions, ou de les coller dans un fichier texte pour lecture en mode Sans Échec.

Note: Cette procédure a été créée spécifiquement pour cet utilisateur ! Si vous n'êtes pas cet utilisateur en question, ne suivez pas ces instructions au risque d'endommager votre PC !!!

Télécharge Brute Force Uninstaller sur ton Bureau.

Guide d'utilisation : http://www.site-naheulbeuk.com/bfu.php

Copie la totalité de la citation dans ton Bloc-Notes.

RegDelValue HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad|FdaQkablTWpru
FileDelete c:\windows\system32\uuvl.dll

SystemEmptyTempFolder
SystemEmptyRecycleBin
SystemEmptyInternetCache

Enregistre-le sous le nom de aftermath.bfu, dans le dossier C:\BFU

Redémarre en mode sans échec.

Double-clique sur BFU.exe pour lancer Brute Force Uninstaller.

A côté de la case scriptline to execute, clique sur l'icône < inclued picture >

et choisis aftermath.bfu

Clique sur Execute afin de le lancer.

Une fois fini, clique sur Exit pour fermer le programme.

Redémarre normalement.

-->Message édité par naheulbeuk le 19/11/2008 19:22:41<--

-------
Visitez mon site sur la sécurité informatique : http://www.site-naheulbeuk.com
Et son forum : http://www.site-naheulbeuk.com/forum/

répondre

lm76 le 19 novembre 2008 à 19h54

Rien à faire !? J'ai redemarré normalement ... "Reset" puis en mode sans échec et j'ai vu que qu'IL était encore là ... J'ai relance BFU, cette fois avec un rapport que voilà :

BFU v1.12.0
Windows XP SP2 (WinNT 5.01.2600 SP2)
Script started at 19:48:21, on 19/11/2008

Failed: FileDelete c:\windows\system32\uuvl.dll (operation failed)
Failed: FileDelete C:\DOCUME~1\Gilles\LOCALS~1\Temp\~DFC088.tmp (operation failed)
Success: FileDelete C:\WINDOWS\Temp\WGAErrLog.txt
Success: FileDelete C:\WINDOWS\Temp\WGANotify.settings
Success: SystemEmptyRecycleBin
Script completed at 19:48:27.

répondre

lm76 le 19 novembre 2008 à 20h06

Je suppose qu'à la main : regedit pour la règle et suppresion du fichier uuvl.dll ne suffirait pas ?

répondre

naheulbeuk le 19 novembre 2008 à 21h13

non ca suffira pas

fais déjà cela :

Fais un scan BitDefender en ligne (avec Internet Explorer pas avec Firefox !)
(clique à gauche sur scan online).
et post moi le rapport de ce scan ici une fois terminé !

Guide d'utilisation de Bitdefender en ligne (merci Bruce Lee) : http://cybersecurite.xooit.com/t201-Scan-en-ligne-BitDefender.htm

-------
Visitez mon site sur la sécurité informatique : http://www.site-naheulbeuk.com
Et son forum : http://www.site-naheulbeuk.com/forum/

répondre

lm76 le 19 novembre 2008 à 22h47

Voilà le résultat de BitDefender :

BitDefender Online Scanner

Rapport d'analyse généré à: Wed, Nov 19, 2008 - 22:12:48

Voie d'analyse: A:\;C:\;D:\;E:\;F:\;

Statistiques

Temps
00:23:04

Fichiers
114714

Directoires
9019

Secteurs de boot
0

Archives
1671

Paquets programmes
13935

Résultats

Virus identifiés
5

Fichiers infectés
10

Fichiers suspects
0

Avertissements
0

Désinfectés
0

Fichiers effacés
10

Info sur les moteurs

Définition virus
2224307

Version des moteurs
AVCORE v1.7 (build 8314.19) (i386) (Sep 29 2008 17:19:14)

Analyse des plugins
16

Archive des plugins
43

Unpack des plugins
7

E-mail plugins
6

Système plugins
4

Paramètres d'analyse

Première action
Désinfecté

Seconde Action
Supprimé

Heuristique
Oui

Acceptez les avertissements
Oui

Extensions analysées
exe;com;dll;ocx;scr;bin;dat;386;vxd;sys;wdm;cla;class;ovl;ole;hlp;doc;dot;xls;ppt;wbk;wiz;pot;ppa;xla;xlt;vbs;vbe;mdb;rtf;htm;hta;html;xml;xtp;php;asp;js;shs;chm;lnk;pif;prc;url;smm;pfd;msi;ini;csc;cmd;bas;

Excludez les extensions

Analyse d'emails
Oui

Analyse des Archives
Oui

Analyser paquets programmes
Oui

Analyse des fichiers
Oui

Analyse de boot
Oui

Fichier analysé
Statut

C:\Documents and Settings\All Users\Documents\Brutus FTP Cracker.exe
Infecté par: Backdoor.IRCBot.ACML

C:\Documents and Settings\All Users\Documents\Brutus FTP Cracker.exe
Supprimé

C:\Documents and Settings\All Users\Documents\Microsoft Visual C++ KeyGen.exe
Infecté par: Backdoor.IRCBot.ACML

C:\Documents and Settings\All Users\Documents\Microsoft Visual C++ KeyGen.exe
Supprimé

C:\Documents and Settings\All Users\Documents\Microsoft Visual Basic KeyGen.exe
Infecté par: Backdoor.IRCBot.ACML

C:\Documents and Settings\All Users\Documents\Microsoft Visual Basic KeyGen.exe
Supprimé

C:\Documents and Settings\All Users\Documents\Password Cracker.exe
Infecté par: Backdoor.IRCBot.ACML

C:\Documents and Settings\All Users\Documents\Password Cracker.exe
Supprimé

C:\Documents and Settings\Gilles\Mes documents\Utilitaires\backups\backup-20081117-223554-139.dll
Infecté par: Trojan.Fakealert.ALU

C:\Documents and Settings\Gilles\Mes documents\Utilitaires\backups\backup-20081117-223554-139.dll
Supprimé

F:\dossier tibo\xplus.exe=>(Inno Installer o)=>(Inno Module 11)
Détecté avec: Adware.Generic.33661

F:\dossier tibo\xplus.exe=>(Inno Installer o)=>(Inno Module 11)
Supprimé

F:\dossier tibo\xplus.exe=>(Inno Installer o)
Echec de la mise à jour

F:\dossier tibo\xplus.exe=>(Inno Installer o)=>(Inno Module 14)=>(CAB Sfx r)=>SaveNow.exe
Détecté avec: Adware.Whenu.Savenow.AP

F:\dossier tibo\xplus.exe=>(Inno Installer o)=>(Inno Module 14)=>(CAB Sfx r)=>SaveNow.exe
Supprimé

F:\dossier tibo\xplus.exe=>(Inno Installer o)=>(Inno Module 14)=>(CAB Sfx r)
Echec de la mise à jour

F:\dossier tibo\xplus.exe=>(Inno Installer o)=>(Inno Module 14)=>(CAB Sfx r)=>Uninst.exe
Détecté avec: Adware.Generic.15412

F:\dossier tibo\xplus.exe=>(Inno Installer o)=>(Inno Module 14)=>(CAB Sfx r)=>Uninst.exe
Supprimé

F:\dossier tibo\xplus.exe=>(Inno Installer o)=>(Inno Module 14)=>(CAB Sfx r)
Echec de la mise à jour

F:\dossier tibo\xplus.exe=>(Inno Installer o)=>(Inno Module 14)=>(Dropped 0)=>SaveNow.exe
Détecté avec: Adware.Whenu.Savenow.AP

F:\dossier tibo\xplus.exe=>(Inno Installer o)=>(Inno Module 14)=>(Dropped 0)=>SaveNow.exe
Supprimé

F:\dossier tibo\xplus.exe=>(Inno Installer o)=>(Inno Module 14)=>(Dropped 0)
Echec de la mise à jour

F:\dossier tibo\xplus.exe=>(Inno Installer o)=>(Inno Module 14)=>(Dropped 0)=>Uninst.exe
Détecté avec: Adware.Generic.15412

F:\dossier tibo\xplus.exe=>(Inno Installer o)=>(Inno Module 14)=>(Dropped 0)=>Uninst.exe
Supprimé

F:\dossier tibo\xplus.exe=>(Inno Installer o)=>(Inno Module 14)=>(Dropped 0)
Echec de la mise à jour

répondre

lm76 le 19 novembre 2008 à 22h53

Il fallait peut-être aussi ce rapport ?? :

BitDefender Online Scanner - Rapport virus en temps réel

Généré à: Wed, Nov 19, 2008 - 22:48:43

--------------------------------------------------------------------------------

Info d'analyse

Fichiers scannés
123786

Infectés Fichiers
10

Virus Détectés

Backdoor.IRCBot.ACML
4

Adware.Whenu.Savenow.AP
2

Trojan.Fakealert.ALU
1

Adware.Generic.15412
2

Adware.Generic.33661
1

--------------------------------------------------------------------------------

Ce sommaire du processus d'analyse sera utilisé par les laboratoires Antivirus BitDefender pour créer des statistiques agréguées sur l'activité des virus dans le monde.

répondre

naheulbeuk le 19 novembre 2008 à 23h00

Télécharge The Avenger (Swandog46) sur ton bureau

* Clic droit sur Avenger.zip
* Extrais avenger.exe sur ton bureau (clic sur "extraire")

Copie le texte ci dessous (celui en bleu/gras) EN ENTIER en le sélectionnant puis en faisant CTRL+C (copier) :

Registry values to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad | FdaQkablTWpru

Files to delete:
c:\windows\system32\uuvl.dll

Note: Ce code a été créé spécifiquement pour cet utilisateur ! Si vous n'êtes pas cet utilisateur en question, ne suivez pas ces instructions au risque d'endommager votre PC !!!

Lance The Avenger en cliquant sur son icône sur ton bureau

* Colle le texte copié précédemment en faisant Ctrl+V dans le cadre central "input script here"
* Clic sur "Execute"

The Avenger va faire ceci :

* Il va redémarrer ton PC (peut etre 2 fois t'en fais pas)
* Lors du redémarrage du PC, une console noire va apparaître, ne pas s'inquiéter c'est normal !
* Après le rédémarrage, il va ouvrir un rapport avec les actions qu'il a effectué.

Copie et colle le contenu du rapport dans ta prochaine réponse

-->Message édité par naheulbeuk le 19/11/2008 23:02:53<--

-------
Visitez mon site sur la sécurité informatique : http://www.site-naheulbeuk.com
Et son forum : http://www.site-naheulbeuk.com/forum/

répondre

lm76 le 19 novembre 2008 à 23h26

Problème ... le redemarrage se passe mal ! On reste bloqué sur "Multi...\WINDOWS\AppPatch\drvmain.sdb" en mode sans echec. En mode normal le Pc "reset" toujours tout seul !

Ca n'a pas l'air normal ? Que puis-je faire ?

Pour info "avenger" ne se présente pas comme décrit dans votre message. On arrive directement dans la zone ou copier le script manuel avec un gros bouton en dessous "EXECUTE". Par ailleurs, il ne pose aucune question.

répondre

lm76 le 20 novembre 2008 à 00h32

Après avoir essayé toutes les façons de redemmarer avec "F8" ... la "dernière bonne configuration" après plusieurs essais a "provoqué" un check disk automatique et ensuite j'ai pu repartir en mode sans echec (avec beaucoup d'attente et une forte activité disque).

Mais aucune nouvelle de avenger ? :??:

répondre

naheulbeuk le 20 novembre 2008 à 07h41

comment cela ?

tu as lancé avenger comme indiqué ?

-------
Visitez mon site sur la sécurité informatique : http://www.site-naheulbeuk.com
Et son forum : http://www.site-naheulbeuk.com/forum/

répondre

lm76 le 20 novembre 2008 à 10h10

Bonjour !

Oui j'ai fait comme je l'ai précisé dans ma réponse, mais dans la manip, on me parlait de bouton vert et de répondre à deux questions ??? !!!

Le problème était que je ne pouvait pas repartir dans aucun mode, le PC restait bloqué. Notamment en mode sans échec l'affichage de toutes les lignes de texte se bloque sur celle là "Multi...\WINDOWS\AppPatch\drvmain.sdb" et ne bouge plus du tout ! Ce n'est qu'après plusieurs reset qu'il m'a proposé un check disque qui a finalement peut-être débloqué les choses !

Mais je peux recommencer tout depuis le début.

répondre

Impossible d'éliminer Nurech (et d'autres peut-être !!!)

PRODUITS

TÉLÉCHARGER - LOGICIELS

JEUX VIDÉOS

LOISIRS

01NET PRO

AVIS ET COMMENTAIRES

A PROPOS DE 01NET

		Télévision Ringardes, les séries françaises ?