[resolu] Smitfraud-C et Zlob.Downloader.vcd

bonjour,

j'ai eu il y a 2 jours des problèmes sur mon pc (devenu lent, impossible d'accéder à la barre de tache, 1000 fenêtres IE...).
J'ai lancé spybot qui a enlevé pas mal de trucs, mais il restait toujours Smitfraud-C et Zlob.Downloader.vcd.

En allant faire un tour sur le net j'ai réussi à virer smitfraud et son dat.txt, mais il reste l'autre et après 2 jours sur les forums, je n'ai pas réussi à l'enlever (il revient toujours)

Zlob.Downloader.vcd: Réglages (Clé du registre, fixed)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\VideoPlugin

voici le rapport fourni avec Hijackthis.

D'avance merci pour toute aide...


Edit modo : pas de rapport avant qu'il ne soit demandé.

veuillez lire ce sujet :

http://forum.telecharger.01net.com/telecharger/securite_virus_et_assimiles/a_(...)

Précision, je ne me suis pas débarrassé du fichier dat.txt sous le répertoire windows. Il se crée dès que j'utilise IE (heureusement je suis plutôt firefox) et contient les url visités.
J'ai ensuite des IE qui s'ouvrent vers des sites de "protection" de PC

1) Télécharge Hijackthis V 2.02, renomme le scanner (si c'est pas fait renomme le avant tout scan) et mets-le dans un dossier nommé hijackthis dans tes program files ! (C:\Program Files\HijackThis)
http://www.trendsecure.com/portal/en-US/threat_analytics/HJTInstall.exe

Ferme toutes les fenêtres, HJT doit être exécuté seul (tout autre programme fermé).

Tuto: http://bibou0007.forumpro.fr/tutos-f45/tutorial-de-hijackthis-v202-t108.htm

Clique alors sur "Do a system scan and save a logfile"
Le scan se fait très rapidement, puis un bloc-note apparaît
(le "logfile")

Dans ce bloc-note, va dans "Edition", puis "Selectionner Tout",
le texte est alors sélectionné, retourne dans "Edition" toujours
en laissant le texte sélectionné, et clique sur copier.
Colle le contenu ici dans ta prochaine réponse !

merci, je commençais à être désespéré...

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:14:14, on 26/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
c:\Program Files\Hewlett-Packard\Drive Encryption\HpFkCrypt.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\PROGRA~1\SafeNet\SoftRemote\IPSecMon.exe
C:\PROGRA~1\SafeNet\SoftRemote\IreIKE.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Intel\AMT\atchksrv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\Program Files\Fichiers communs\InterVideo\RegMgr\iviRegMgr.exe
C:\Program Files\Kaspersky Lab\NetworkAgent\klnagent.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Intel\AMT\LMS.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\siclt32.exe
C:\Program Files\Intel\AMT\UNS.exe
C:\WINDOWS\system32\mqsvc.exe
C:\Program Files\HPQ\Shared\Sierra Wireless\Win32\Unicode\SWIHPWMI.exe
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
C:\WINDOWS\system32\mqtgsvc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Hewlett-Packard\IAM\bin\asghost.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
C:\WINDOWS\SMINST\Scheduler.exe
C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\AccelerometerSt.exe
C:\Program Files\Intel\AMT\atchk.exe
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Program Files\palmOne\Hotsync.exe
C:\Program Files\SafeNet\SoftRemote\SafeCfg.exe
C:\Program Files\Hewlett-Packard\Shared\HpqToaster.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\scanner.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_14\bin\ssv.dll
O2 - BHO: SXG Advisor - {9093EDD5-AD2E-4EF0-AF45-540C3F34AFCC} - C:\WINDOWS\dpvtporrtf.dll
O2 - BHO: Credential Manager for HP ProtectTools - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - C:\Program Files\Hewlett-Packard\IAM\Bin\ItIEAddIn.dll
O3 - Toolbar: VMN Toolbar - {4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33} - (no file)
O3 - Toolbar: The elfwgps - {03DA425A-7234-425C-95A6-FB8CFB7FFD8E} - C:\WINDOWS\elfwgps.dll (file missing)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /nodetect
O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Program Files\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [PTHOSTTR] C:\Program Files\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE /Start
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [CognizanceTS] rundll32.exe C:\PROGRA~1\HEWLET~1\IAM\Bin\ASTSVCC.dll,RegisterModule
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\Sminst\Recguard.exe
O4 - HKLM\..\Run: [Reminder] C:\WINDOWS\Creator\Remind_XP.exe
O4 - HKLM\..\Run: [Scheduler] C:\WINDOWS\SMINST\Scheduler.exe
O4 - HKLM\..\Run: [HP Software Update] c:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\Hewlett-Packard\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [AccelerometerSysTrayApplet] C:\WINDOWS\system32\AccelerometerSt.exe
O4 - HKLM\..\Run: [atchk] "C:\Program Files\Intel\AMT\atchk.exe"
O4 - HKLM\..\Run: [HPWWANGSAssistant] c:\SWSetup\HPQWWAN\HPWWanGSAssistant.exe /TrayMode
O4 - HKLM\..\Run: [Sun ONE Synchronization - iPlanet] C:\Program Files\Fichiers communs\XCPCSync\Translators\iPlanet\iPlanetTray.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [WatchDog] C:\Program Files\InterVideo\DVD Check\DVDCheck.exe
O4 - HKLM\..\Run: [BEW-INTRANET-FR-30SessionManager] C:\Program Files\OrangeBusinessServices\BEW\SessionManager\SessionManager.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: DVD Check.lnk = C:\Program Files\InterVideo\DVD Check\DVDCheck.exe
O4 - Global Startup: HotSync Manager.lnk = C:\Program Files\palmOne\Hotsync.exe
O4 - Global Startup: SoftRemote.lnk = C:\Program Files\SafeNet\SoftRemote\SafeCfg.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Ajouter à Kaspersky Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\ie_banner_deny.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Envoyer au périphérique &Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_14\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_14\bin\ssv.dll
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\SCIEPlgn.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ifremer.fr
O17 - HKLM\Software\..\Telephony: DomainName = ifremer.fr
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ifremer.fr
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ifremer.fr
O20 - AppInit_DLLs: APSHook.dll,C:\PROGRA~1\KASPER~1\KASPER~1.0FO\adialhk.dll
O20 - Winlogon Notify: DeviceNP - C:\WINDOWS\SYSTEM32\DeviceNP.dll
O20 - Winlogon Notify: OneCard - C:\Program Files\Hewlett-Packard\IAM\Bin\ASWLNPkg.dll
O21 - SSODL: aswmklt - {29C6C022-3FEE-40CD-9370-47FF337ABCD9} - C:\WINDOWS\aswmklt.dll
O21 - SSODL: bqxomdo - {BED4D360-AC1A-4719-86F7-4E1EF56AB56F} - C:\WINDOWS\bqxomdo.dll (file missing)
O23 - Service: Intel(R) Active Management Technology System Status Service (atchksrv) - Intel Corporation - C:\Program Files\Intel\AMT\atchksrv.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Verrouillage des périphériques / Audition HP ProtectTools (FLCDLOCK) - Hewlett-Packard Ltd - C:\WINDOWS\system32\flcdlock.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: Drive Encryption Service (HpFkCryptService) - SafeBoot International - c:\Program Files\Hewlett-Packard\Drive Encryption\HpFkCrypt.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: SafeNet Monitor Service (IPSECMON) - SafeNet - C:\PROGRA~1\SafeNet\SoftRemote\IPSecMon.exe
O23 - Service: SafeNet IKE Service (IreIKE) - SafeNet - C:\PROGRA~1\SafeNet\SoftRemote\IreIKE.exe
O23 - Service: IviRegMgr - InterVideo - C:\Program Files\Fichiers communs\InterVideo\RegMgr\iviRegMgr.exe
O23 - Service: Kaspersky Network Agent (klnagent) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\NetworkAgent\klnagent.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Intel(R) Active Management Technology Local Management Service (LMS) - Intel Corporation - C:\Program Files\Intel\AMT\LMS.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Angel (PCA) - SoftThinks - C:\WINDOWS\SMINST\PCAngel.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - c:\Program Files\Fichiers communs\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Intranet Server Client (SicltNT) - Apsynet - C:\WINDOWS\SYSTEM32\siclt32.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - c:\Program Files\Fichiers communs\SureThing Shared\stllssvr.exe
O23 - Service: SWIHPWMI - Sierra Wireless Inc. - C:\Program Files\HPQ\Shared\Sierra Wireless\Win32\Unicode\SWIHPWMI.exe
O23 - Service: Intel(R) Active Management Technology User Notification Service (UNS) - Intel Corporation - C:\Program Files\Intel\AMT\UNS.exe

--
End of file - 11445 bytes

1) Affiche les fichiers et dossiers cachés …
Pour ce faire, tu vas dans un dossier, par ex. "Mes Images".
Ensuite, clique sur > Outils > Options des dossiers ...
clique sur l' onglet « Affichage » et ...
coche ---> Afficher les fichiers et dossiers cachés
décoche > Masquer les extensions des fichiers dont le type est connu
décoche > Masquer les fichiers protégés du système d' exploitation (recommandé).
« Appliquer » et « OK ».

2) Télécharge Combofix de sUBs :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Sauvegarde le sur ton bureau et pas ailleurs !

Aide à l’utilisation de combofix ici: http://bibou0007.forumpro.fr/tutos-f45/tutorial-combofix-t121.htm

Redémarre en mode sans échecs : aide ici >>>
http://forum.telecharger.01net.com/telecharger/virus_et_assimiles/failles_de_(...)

Double-clic sur combofix, Il va te poser une question, réponds par la touche 1 et entrée pour valider, laisse toi guider.
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.

3) Copie/colle un nouveau rapport HiJackThis avec.

merci,

petite précision (je ne sais pas si c'est important). Sur le premier rapport j'étais connecté avec mon login avec connexion réseau sur le domaine de ma boîte.
Pour faire le log avec combofix, j'ai du me loguer admin (car pas le réseau, donc pas de domaine, donc précédent login inconnu).

ComboFix 08-01-23.1C - Administrateur 2008-01-26 16:26:53.1 - NTFSx86 MINIMAL
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.2792 [GMT 1:00]
Endroit: C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat
C:\Program Files\Hewlett-Packard\IAM\Bin\ASWLNPkg.dll
C:\WINDOWS\dat.txt
C:\WINDOWS\rs.txt
C:\WINDOWS\search_res.txt
C:\WINDOWS\system32\grouppolicy\machine\scripts\scripts.ini

----- BITS: Possible sites infect‚s -----

hxxp://softworldnetwork.com
hxxp://onsafepro.com
hxxp://77.91.227.194
.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-12-26 to 2008-01-26 ))))))))))))))))))))))))))))))))))))
.

2008-01-26 16:26 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\Nircmd.exe
2008-01-25 14:28 . 2008-01-25 14:28 <REP> d-------- C:\Program Files\mysqlcc
2008-01-25 14:12 . 2008-01-25 14:12 <REP> d-------- C:\Program Files\MySQL
2008-01-23 21:11 . 2008-01-23 21:11 <REP> d-------- C:\Program Files\Lavasoft
2008-01-23 20:59 . 2008-01-23 20:59 <REP> d-------- C:\Program Files\Trend Micro
2008-01-22 18:52 . 2008-01-23 21:32 6,328 --a------ C:\WINDOWS\system32\tmp.reg
2008-01-22 13:47 . 2008-01-26 16:21 7,621,408 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-01-22 13:47 . 2008-01-26 16:21 142,880 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2008-01-22 13:47 . 2008-01-26 16:21 105,236 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-01-22 13:47 . 2008-01-22 13:51 91,492 --a------ C:\WINDOWS\system32\drivers\klin.dat
2008-01-22 13:47 . 2008-01-22 13:51 85,860 --a------ C:\WINDOWS\system32\drivers\klick.dat
2008-01-22 13:47 . 2008-01-26 16:21 16,532 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx
2008-01-22 13:46 . 2008-01-22 13:47 <REP> d-------- C:\Program Files\Kaspersky Lab
2008-01-22 13:46 . 2008-01-22 13:46 <REP> d-------- C:\Program Files\Fichiers communs\Kaspersky Lab
2008-01-22 13:46 . 2008-01-22 13:46 <REP> d-------- C:\Program Files\Fichiers communs\Cisco Systems
2008-01-22 09:52 . 2008-01-22 09:52 85 --a------ C:\WINDOWS\wininit.ini
2008-01-21 18:54 . 2008-01-21 17:27 258,048 --a------ C:\WINDOWS\dpvtporrtf.dll
2008-01-21 18:54 . 2008-01-21 17:27 196,608 --a------ C:\WINDOWS\aswmklt.dll
2008-01-21 18:54 . 2008-01-21 17:27 81,920 --a------ C:\WINDOWS\fvqkfsp.exe
2008-01-21 18:51 . 2008-01-21 19:01 <REP> d-------- C:\Program Files\FreeRIP2
2008-01-21 18:26 . 2008-01-21 18:49 840 --a------ C:\WINDOWS\cdplayer.ini
2008-01-21 18:17 . 2008-01-21 18:17 <REP> d-------- C:\Program Files\Free Audio Pack
2008-01-21 18:09 . 2008-01-21 18:09 197 --a------ C:\WINDOWS\MP32WAV.INI
2008-01-21 16:46 . 2008-01-21 16:46 25,288 --ah----- C:\WINDOWS\system32\mlfcache.dat
2008-01-14 16:32 . 2008-01-25 15:44 <REP> d-------- C:\Temp\datas
2008-01-01 12:25 . 2008-01-01 12:25 <REP> d-------- C:\Program Files\IGN Rando
2008-01-01 12:25 . 1997-01-29 17:58 462,848 --a------ C:\WINDOWS\system32\NMW3VWN.DLL
2008-01-01 12:25 . 1997-01-29 17:53 240,640 --a------ C:\WINDOWS\system32\NMOCOD.DLL
2008-01-01 12:25 . 1997-02-27 00:00 192,272 --a------ C:\WINDOWS\system32\MCI32.OCX
2008-01-01 12:25 . 1997-01-29 18:05 169,472 --a------ C:\WINDOWS\system32\HTML.OCX
2008-01-01 12:25 . 1997-02-27 00:00 94,992 --a------ C:\WINDOWS\system32\Vb5fr.dll
2008-01-01 12:25 . 1997-03-04 13:44 66,560 --a------ C:\WINDOWS\system32\NMORENU.DLL
2008-01-01 12:25 . 1997-01-29 17:46 48,128 --a------ C:\WINDOWS\system32\NMSCKN.DLL

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-25 12:55 --------- d-----w C:\Program Files\sqldeveloper
2008-01-25 09:14 --------- d-----w C:\Program Files\Mozilla Thunderbird
2008-01-22 12:53 --------- d-----w C:\Program Files\vmntoolbar
2008-01-22 11:42 --------- d-----w C:\Program Files\Google
2008-01-16 10:44 --------- d-----w C:\Program Files\AseIsql
2008-01-01 11:25 --------- d--h--w C:\Program Files\InstallShield Installation Information
2007-12-06 10:35 73,216 ----a-w C:\WINDOWS\ST6UNST.EXE
2007-12-05 17:26 --------- d-----w C:\Program Files\Intel Corporation
2007-12-05 13:21 --------- d-----w C:\Program Files\Windows Media Components
2007-12-03 14:37 --------- d-----w C:\Program Files\SafeNet
2007-12-03 14:37 --------- d-----w C:\Program Files\OrangeBusinessServices
2007-12-03 14:37 --------- d-----w C:\Program Files\Fichiers communs\Deterministic Networks
2007-12-03 14:34 --------- d-----w C:\Program Files\Fichiers communs\France Telecom
2007-11-27 15:56 --------- d-----w C:\Program Files\Winamp
2007-11-14 13:14 253,952 ------w C:\WINDOWS\Setup1.exe
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{9093EDD5-AD2E-4EF0-AF45-540C3F34AFCC}]
2008-01-21 17:27 258048 --a------ C:\WINDOWS\dpvtporrtf.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33}
{03DA425A-7234-425C-95A6-FB8CFB7FFD8E}

[HKEY_CLASSES_ROOT\clsid\{03da425a-7234-425c-95a6-fb8cfb7ffd8e}]
[HKEY_CLASSES_ROOT\elfwgps.ToolBar.1]
[HKEY_CLASSES_ROOT\TypeLib\{BC498E74-EE51-4A67-9D7B-75B0FD65D934}]
[HKEY_CLASSES_ROOT\elfwgps.ToolBar]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-05-25 13:07 8429568]
"nwiz"="nwiz.exe" [2007-05-25 13:07 1626112 C:\WINDOWS\system32\nwiz.exe]
"MsmqIntCert"="regsvr32 /s mqrt.dll" []
"SoundMAXPnP"="C:\Program Files\Analog Devices\Core\smax4pnp.exe" [2007-01-05 17:36 872448]
"SoundMAX"="C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" [2006-07-13 06:12 729088]
"PTHOSTTR"="C:\Program Files\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.exe" [2007-01-09 14:52 145184]
"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2007-01-12 14:36 827392]
"hpWirelessAssistant"="C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2007-03-01 12:18 472776]
"QlbCtrl"="C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2007-05-02 15:17 163840]
"CognizanceTS"="C:\PROGRA~1\HEWLET~1\IAM\Bin\ASTSVCC.dll" [2003-12-22 18:12 17920]
"Recguard"="C:\WINDOWS\Sminst\Recguard.exe" [2005-12-20 15:51 1187840]
"Reminder"="C:\WINDOWS\Creator\Remind_XP.exe" [2006-03-09 16:38 806912]
"Scheduler"="C:\WINDOWS\SMINST\Scheduler.exe" [2006-10-09 10:23 697976]
"HP Software Update"="c:\Program Files\Hp\HP Software Update\HPWuSchd2.exe" [2005-02-16 22:11 49152]
"Cpqset"="C:\Program Files\Hewlett-Packard\Default Settings\cpqset.exe" [2007-05-03 10:52 57344]
"AccelerometerSysTrayApplet"="C:\WINDOWS\system32\AccelerometerSt.exe" [2007-01-24 14:28 124928]
"atchk"="C:\Program Files\Intel\AMT\atchk.exe" [2007-05-01 17:52 404248]
"HPWWANGSAssistant"="c:\SWSetup\HPQWWAN\HPWWanGSAssistant.exe" [ ]
"Sun ONE Synchronization - iPlanet"="C:\Program Files\Fichiers communs\XCPCSync\Translators\iPlanet\iPlanetTray.exe" [ ]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51 39792]
"WatchDog"="C:\Program Files\InterVideo\DVD Check\DVDCheck.exe" [2007-05-23 11:00 192512]
"BEW-INTRANET-FR-30SessionManager"="C:\Program Files\OrangeBusinessServices\BEW\SessionManager\SessionManager.exe" [2007-08-21 19:07 102400]
"WinampAgent"="C:\Program Files\Winamp\winampa.exe" [2007-10-10 06:28 36352]
"AVP"="C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe" [2007-10-05 16:18 230664]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 09:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"aswmklt"= {29C6C022-3FEE-40CD-9370-47FF337ABCD9} - C:\WINDOWS\aswmklt.dll [2008-01-21 17:27 196608]
"bqxomdo"= {BED4D360-AC1A-4719-86F7-4E1EF56AB56F} - C:\WINDOWS\bqxomdo.dll [ ]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\DeviceNP]
DeviceNP.dll 2007-04-30 07:19 49152 C:\WINDOWS\system32\DeviceNP.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=APSHook.dll,C:\PROGRA~1\KASPER~1\KASPER~1.0FO\adialhk.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\Machine\Scripts\Shutdown\0\0]
"Script"=trace.bat

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MagicRotation]
--a------ 2006-03-14 13:12 1097728 C:\Program Files\MagicRotation\MagicPvt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
--a------ 2007-05-25 13:07 81920 C:\WINDOWS\system32\NvMcTray.dll

R0 SafeBoot;SafeBoot;C:\WINDOWS\system32\drivers\SafeBoot.sys [2007-04-26 18:23]
R0 SbAlg;SbAlg;C:\WINDOWS\system32\drivers\SbAlg.sys [2006-10-09 12:31]
R0 SbFsLock;SbFsLock;C:\WINDOWS\system32\drivers\SbFsLock.sys [2007-03-29 15:54]
R3 IFXTPM;IFXTPM;C:\WINDOWS\system32\DRIVERS\IFXTPM.SYS [2007-04-04 20:16]
S1 IPSECDRV;SafeNet IPSec Plugin;C:\WINDOWS\system32\Drivers\IPSECDRV.sys [2006-05-01 18:06]
S1 magicpvt;magicpvt;C:\WINDOWS\system32\drivers\magicpvt.sys [2005-11-14 03:26]
S1 NaturalColor;NaturalColor;C:\WINDOWS\system32\drivers\MTictwl.sys []
S1 RsvLock;RsvLock;C:\WINDOWS\system32\drivers\RsvLock.sys [2007-04-26 18:23]
S2 ASChannel;Canal de communication local;C:\WINDOWS\System32\svchost.exe [2004-08-05 09:00]
S2 atchksrv;Intel(R) Active Management Technology System Status Service;C:\Program Files\Intel\AMT\atchksrv.exe [2007-05-01 17:52]
S2 Crypto;Crypto;C:\WINDOWS\system32\Drivers\Crypto.sys [2005-08-15 09:27]
S2 HpFkCryptService;Drive Encryption Service;"c:\Program Files\Hewlett-Packard\Drive Encryption\HpFkCrypt.exe" [2007-04-27 09:58]
S2 klnagent;Kaspersky Network Agent;"C:\Program Files\Kaspersky Lab\NetworkAgent\klnagent.exe" [2007-10-02 13:50]
S2 LMS;Intel(R) Active Management Technology Local Management Service;C:\Program Files\Intel\AMT\LMS.exe [2007-05-01 17:52]
S2 SWIHPWMI;SWIHPWMI;C:\Program Files\HPQ\Shared\Sierra Wireless\Win32\Unicode\SWIHPWMI.exe [2006-12-04 16:13]
S2 UNS;Intel(R) Active Management Technology User Notification Service;C:\Program Files\Intel\AMT\UNS.exe [2007-05-01 17:52]
S3 APSINV;APSINV;C:\WINDOWS\system32\DRIVERS\APSINV.SYS [2004-11-10 19:07]
S3 DAMDrv;DAMDrv;C:\WINDOWS\system32\DRIVERS\DAMDrv.sys [2007-04-23 12:13]
S3 DniVap;SafeNet WAN Miniport (VA);C:\WINDOWS\system32\DRIVERS\vap.sys [2001-12-14 16:26]
S3 FLCDLOCK;Verrouillage des périphériques / Audition HP ProtectTools;C:\WINDOWS\system32\flcdlock.exe [2007-04-30 07:28]
S3 GTF32BUS;GT F32 BUS;C:\WINDOWS\system32\DRIVERS\gtf32bus.sys [2007-01-15 16:43]
S3 GTPTSER;GT PT SER;C:\WINDOWS\system32\DRIVERS\gtptser.sys [2007-01-15 16:43]
S3 GTSCSER;GT SC SER;C:\WINDOWS\system32\DRIVERS\gtscser.sys [2007-03-08 06:03]
S3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-05-30 18:49]
S3 rismc32;RICOH Smart Card Reader;C:\WINDOWS\system32\DRIVERS\rismc32.sys [2006-12-20 02:08]
S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 23:08]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
Cognizance REG_MULTI_SZ ASChannel


[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
"C:\Program Files\Fichiers communs\LightScribe\LSRunOnce.exe"
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-26 16:29:53
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************
.
Temps d'accomplissement: 2008-01-26 16:31:27 - machine was rebooted
ComboFix-quarantined-files.txt 2008-01-26 15:31:26
.
2008-01-09 12:43:20 --- E O F ---

1) Copie le texte se situant dans le cadre ci-dessous :



Ouvre le Bloc-Notes puis colle le texte copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt.

Glisse maintenant le fichier ComboFix-Do.txt dans Combofix.exe comme ci-dessous :



Cela va relancer Combofix, tape sur 1 puis valide. Après redémarrage, poste le contenu du rapport Combofix.txt accompagné d'un nouveau rapport Hijackthis.
S'il n'y a pas de redémarrage, poste quand même les rapports.

2) Fais analyser ce(s) fichier(s) sur VirusTotal :


ici: http://www.virustotal.com/fr/

Une fois sur le site, faites "Parcourir", Naviguez dans l'explorateur Windows, jusqu'à trouver le fichier concerné, une fois le fichier trouvé, faites "Ouvrir". Puis cliquez sur "Envoyer le fichier".

Patientez pendant la file d'attente et le temps de l'analyse du fichier...


Une fois le scan du fichier fini, copiez-moi tous les résultats de tous les Antivirus, et collez les dans votre prochaine réponse.

Je suis en train de faire la manip avec combofix, mais je n'ai jamais l'option 1 au départ,
il démarre directe et enchaine des étapes sans que j'ai le choix ? (recherche de fichier infectieux)

En plus, il me supprime des fichers à la fin du scan (j'ai pas eu le temps de voir, mais il y en avait 3)

Déjà ne rien faire d'autre quand tu utilises combofix, risque de planter ta machine

Oui c'est normal qu'il t'en supprime trois je le lui ai demandé ^^

Poste-moi les rapports demandés

voici le log combofix

ComboFix 08-01-23.1C - Administrateur 2008-01-26 17:31:58.2 - NTFSx86 MINIMAL
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.2801 [GMT 1:00]
Endroit: C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\Administrateur\Bureau\CFScript.txt

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

FILE
C:\WINDOWS\aswmklt.dll
C:\WINDOWS\dpvtporrtf.dll
C:\WINDOWS\fvqkfsp.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\aswmklt.dll
C:\WINDOWS\dpvtporrtf.dll
C:\WINDOWS\fvqkfsp.exe

.
((((((((((((((((((((((((((((( Fichiers créés 2007-12-26 to 2008-01-26 ))))))))))))))))))))))))))))))))))))
.

2008-01-26 16:26 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\Nircmd.exe
2008-01-25 14:28 . 2008-01-25 14:28 <REP> d-------- C:\Program Files\mysqlcc
2008-01-25 14:12 . 2008-01-25 14:12 <REP> d-------- C:\Program Files\MySQL
2008-01-23 21:11 . 2008-01-23 21:11 <REP> d-------- C:\Program Files\Lavasoft
2008-01-23 20:59 . 2008-01-23 20:59 <REP> d-------- C:\Program Files\Trend Micro
2008-01-22 18:52 . 2008-01-23 21:32 6,328 --a------ C:\WINDOWS\system32\tmp.reg
2008-01-22 13:47 . 2008-01-26 17:28 7,628,576 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-01-22 13:47 . 2008-01-26 17:28 143,648 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2008-01-22 13:47 . 2008-01-26 17:28 105,332 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-01-22 13:47 . 2008-01-22 13:51 91,492 --a------ C:\WINDOWS\system32\drivers\klin.dat
2008-01-22 13:47 . 2008-01-22 13:51 85,860 --a------ C:\WINDOWS\system32\drivers\klick.dat
2008-01-22 13:47 . 2008-01-26 17:28 16,580 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx
2008-01-22 13:46 . 2008-01-22 13:47 <REP> d-------- C:\Program Files\Kaspersky Lab
2008-01-22 13:46 . 2008-01-22 13:46 <REP> d-------- C:\Program Files\Fichiers communs\Kaspersky Lab
2008-01-22 13:46 . 2008-01-22 13:46 <REP> d-------- C:\Program Files\Fichiers communs\Cisco Systems
2008-01-22 09:52 . 2008-01-22 09:52 85 --a------ C:\WINDOWS\wininit.ini
2008-01-21 18:51 . 2008-01-21 19:01 <REP> d-------- C:\Program Files\FreeRIP2
2008-01-21 18:26 . 2008-01-21 18:49 840 --a------ C:\WINDOWS\cdplayer.ini
2008-01-21 18:17 . 2008-01-21 18:17 <REP> d-------- C:\Program Files\Free Audio Pack
2008-01-21 18:09 . 2008-01-21 18:09 197 --a------ C:\WINDOWS\MP32WAV.INI
2008-01-21 16:46 . 2008-01-21 16:46 25,288 --ah----- C:\WINDOWS\system32\mlfcache.dat
2008-01-14 16:32 . 2008-01-25 15:44 <REP> d-------- C:\Temp\datas
2008-01-01 12:25 . 2008-01-01 12:25 <REP> d-------- C:\Program Files\IGN Rando
2008-01-01 12:25 . 1997-01-29 17:58 462,848 --a------ C:\WINDOWS\system32\NMW3VWN.DLL
2008-01-01 12:25 . 1997-01-29 17:53 240,640 --a------ C:\WINDOWS\system32\NMOCOD.DLL
2008-01-01 12:25 . 1997-02-27 00:00 192,272 --a------ C:\WINDOWS\system32\MCI32.OCX
2008-01-01 12:25 . 1997-01-29 18:05 169,472 --a------ C:\WINDOWS\system32\HTML.OCX
2008-01-01 12:25 . 1997-02-27 00:00 94,992 --a------ C:\WINDOWS\system32\Vb5fr.dll
2008-01-01 12:25 . 1997-03-04 13:44 66,560 --a------ C:\WINDOWS\system32\NMORENU.DLL
2008-01-01 12:25 . 1997-01-29 17:46 48,128 --a------ C:\WINDOWS\system32\NMSCKN.DLL

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-25 12:55 --------- d-----w C:\Program Files\sqldeveloper
2008-01-25 09:14 --------- d-----w C:\Program Files\Mozilla Thunderbird
2008-01-22 12:53 --------- d-----w C:\Program Files\vmntoolbar
2008-01-22 11:42 --------- d-----w C:\Program Files\Google
2008-01-16 10:44 --------- d-----w C:\Program Files\AseIsql
2008-01-01 11:25 --------- d--h--w C:\Program Files\InstallShield Installation Information
2007-12-06 10:35 73,216 ----a-w C:\WINDOWS\ST6UNST.EXE
2007-12-05 17:26 --------- d-----w C:\Program Files\Intel Corporation
2007-12-05 13:21 --------- d-----w C:\Program Files\Windows Media Components
2007-12-03 14:37 --------- d-----w C:\Program Files\SafeNet
2007-12-03 14:37 --------- d-----w C:\Program Files\OrangeBusinessServices
2007-12-03 14:37 --------- d-----w C:\Program Files\Fichiers communs\Deterministic Networks
2007-12-03 14:34 --------- d-----w C:\Program Files\Fichiers communs\France Telecom
2007-11-27 15:56 --------- d-----w C:\Program Files\Winamp
2007-11-18 10:46 86,016 ----a-w C:\WINDOWS\system32\OpenAL32.dll
2007-11-18 10:46 262,144 ----a-w C:\WINDOWS\system32\wrap_oal.dll
2007-11-14 13:51 35,328 ----a-w C:\WINDOWS\system32\mthr110.dll
2007-11-14 13:51 3,381,239 ----a-w C:\WINDOWS\system32\WCMDDA24.dll
2007-11-14 13:51 27,136 ----a-w C:\WINDOWS\system32\mt7r110.dll
2007-11-14 13:51 23,040 ----a-w C:\WINDOWS\system32\mchelp.dll
2007-11-14 13:51 224,768 ----a-w C:\WINDOWS\system32\clbr110.dll
2007-11-14 13:51 2,029,056 ----a-w C:\WINDOWS\system32\WCMDPA24.dll
2007-11-14 13:51 124,416 ----a-w C:\WINDOWS\system32\plbr110.dll
2007-11-14 13:51 1,207,296 ----a-w C:\WINDOWS\system32\mclib.dll
2007-11-14 13:14 253,952 ------w C:\WINDOWS\Setup1.exe
2007-11-14 07:28 450,560 ----a-w C:\WINDOWS\system32\dllcache\jscript.dll
2007-11-07 09:28 728,576 ----a-w C:\WINDOWS\system32\lsasrv.dll
2007-11-07 09:28 728,576 ----a-w C:\WINDOWS\system32\dllcache\lsasrv.dll
2007-10-30 17:20 360,064 ----a-w C:\WINDOWS\system32\dllcache\tcpip.sys
2007-10-30 10:18 3,079,680 ----a-w C:\WINDOWS\system32\dllcache\mshtml.dll
2007-10-29 22:43 1,293,824 ----a-w C:\WINDOWS\system32\quartz.dll
2007-10-29 22:43 1,293,824 ------w C:\WINDOWS\system32\dllcache\quartz.dll
.

((((((((((((((((((((((((((((( snapshot@2008-01-26_16.30.53.21 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-01-26 15:26:43 1,413,120 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000001\NTUSER.DAT
+ 2008-01-26 16:31:54 1,413,120 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000001\NTUSER.DAT
- 2008-01-26 15:26:43 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000002\UsrClass.dat
+ 2008-01-26 16:31:54 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000002\UsrClass.dat
- 2008-01-26 15:26:44 3,166,208 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000003\NTUSER.DAT
+ 2008-01-26 16:31:54 3,166,208 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000003\NTUSER.DAT
- 2008-01-26 15:26:44 114,688 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000004\UsrClass.dat
+ 2008-01-26 16:31:54 114,688 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000004\UsrClass.dat
- 2008-01-26 15:15:07 67,664 ----a-w C:\WINDOWS\system32\perfc009.dat
+ 2008-01-26 16:33:38 67,330 ----a-w C:\WINDOWS\system32\perfc009.dat
- 2008-01-26 15:15:07 81,826 ----a-w C:\WINDOWS\system32\perfc00C.dat
+ 2008-01-26 16:33:38 81,388 ----a-w C:\WINDOWS\system32\perfc00C.dat
- 2008-01-26 15:15:07 420,286 ----a-w C:\WINDOWS\system32\perfh009.dat
+ 2008-01-26 16:33:38 419,952 ----a-w C:\WINDOWS\system32\perfh009.dat
- 2008-01-26 15:15:07 489,448 ----a-w C:\WINDOWS\system32\perfh00C.dat
+ 2008-01-26 16:33:38 488,792 ----a-w C:\WINDOWS\system32\perfh00C.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33}
{03DA425A-7234-425C-95A6-FB8CFB7FFD8E}

[HKEY_CLASSES_ROOT\clsid\{03da425a-7234-425c-95a6-fb8cfb7ffd8e}]
[HKEY_CLASSES_ROOT\elfwgps.ToolBar.1]
[HKEY_CLASSES_ROOT\TypeLib\{BC498E74-EE51-4A67-9D7B-75B0FD65D934}]
[HKEY_CLASSES_ROOT\elfwgps.ToolBar]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-05-25 13:07 8429568]
"nwiz"="nwiz.exe" [2007-05-25 13:07 1626112 C:\WINDOWS\system32\nwiz.exe]
"MsmqIntCert"="regsvr32 /s mqrt.dll" []
"SoundMAXPnP"="C:\Program Files\Analog Devices\Core\smax4pnp.exe" [2007-01-05 17:36 872448]
"SoundMAX"="C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" [2006-07-13 06:12 729088]
"PTHOSTTR"="C:\Program Files\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.exe" [2007-01-09 14:52 145184]
"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2007-01-12 14:36 827392]
"hpWirelessAssistant"="C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2007-03-01 12:18 472776]
"QlbCtrl"="C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2007-05-02 15:17 163840]
"CognizanceTS"="C:\PROGRA~1\HEWLET~1\IAM\Bin\ASTSVCC.dll" [2003-12-22 18:12 17920]
"Recguard"="C:\WINDOWS\Sminst\Recguard.exe" [2005-12-20 15:51 1187840]
"Reminder"="C:\WINDOWS\Creator\Remind_XP.exe" [2006-03-09 16:38 806912]
"Scheduler"="C:\WINDOWS\SMINST\Scheduler.exe" [2006-10-09 10:23 697976]
"HP Software Update"="c:\Program Files\Hp\HP Software Update\HPWuSchd2.exe" [2005-02-16 22:11 49152]
"Cpqset"="C:\Program Files\Hewlett-Packard\Default Settings\cpqset.exe" [2007-05-03 10:52 57344]
"AccelerometerSysTrayApplet"="C:\WINDOWS\system32\AccelerometerSt.exe" [2007-01-24 14:28 124928]
"atchk"="C:\Program Files\Intel\AMT\atchk.exe" [2007-05-01 17:52 404248]
"HPWWANGSAssistant"="c:\SWSetup\HPQWWAN\HPWWanGSAssistant.exe" [ ]
"Sun ONE Synchronization - iPlanet"="C:\Program Files\Fichiers communs\XCPCSync\Translators\iPlanet\iPlanetTray.exe" [ ]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51 39792]
"WatchDog"="C:\Program Files\InterVideo\DVD Check\DVDCheck.exe" [2007-05-23 11:00 192512]
"BEW-INTRANET-FR-30SessionManager"="C:\Program Files\OrangeBusinessServices\BEW\SessionManager\SessionManager.exe" [2007-08-21 19:07 102400]
"WinampAgent"="C:\Program Files\Winamp\winampa.exe" [2007-10-10 06:28 36352]
"AVP"="C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe" [2007-10-05 16:18 230664]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 09:00 15360]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
BTTray.lnk - C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe [2007-02-06 15:14:00 561213]
DVD Check.lnk - C:\Program Files\InterVideo\DVD Check\DVDCheck.exe [2007-11-12 14:45:18 192512]
HotSync Manager.lnk - C:\Program Files\palmOne\Hotsync.exe [2004-06-09 14:16:08 471040]
SoftRemote.lnk - C:\Program Files\SafeNet\SoftRemote\SafeCfg.exe [2007-12-03 15:37:43 73780]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\DeviceNP]
DeviceNP.dll 2007-04-30 07:19 49152 C:\WINDOWS\system32\DeviceNP.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=APSHook.dll,C:\PROGRA~1\KASPER~1\KASPER~1.0FO\adialhk.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\Machine\Scripts\Shutdown\0\0]
"Script"=trace.bat

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MagicRotation]
--a------ 2006-03-14 13:12 1097728 C:\Program Files\MagicRotation\MagicPvt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
--a------ 2007-05-25 13:07 81920 C:\WINDOWS\system32\NvMcTray.dll

R0 SafeBoot;SafeBoot;C:\WINDOWS\system32\drivers\SafeBoot.sys [2007-04-26 18:23]
R0 SbAlg;SbAlg;C:\WINDOWS\system32\drivers\SbAlg.sys [2006-10-09 12:31]
R0 SbFsLock;SbFsLock;C:\WINDOWS\system32\drivers\SbFsLock.sys [2007-03-29 15:54]
R3 IFXTPM;IFXTPM;C:\WINDOWS\system32\DRIVERS\IFXTPM.SYS [2007-04-04 20:16]
R3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 23:08]
S1 IPSECDRV;SafeNet IPSec Plugin;C:\WINDOWS\system32\Drivers\IPSECDRV.sys [2006-05-01 18:06]
S1 magicpvt;magicpvt;C:\WINDOWS\system32\drivers\magicpvt.sys [2005-11-14 03:26]
S1 NaturalColor;NaturalColor;C:\WINDOWS\system32\drivers\MTictwl.sys []
S1 RsvLock;RsvLock;C:\WINDOWS\system32\drivers\RsvLock.sys [2007-04-26 18:23]
S2 ASChannel;Canal de communication local;C:\WINDOWS\System32\svchost.exe [2004-08-05 09:00]
S2 atchksrv;Intel(R) Active Management Technology System Status Service;C:\Program Files\Intel\AMT\atchksrv.exe [2007-05-01 17:52]
S2 Crypto;Crypto;C:\WINDOWS\system32\Drivers\Crypto.sys [2005-08-15 09:27]
S2 HpFkCryptService;Drive Encryption Service;"c:\Program Files\Hewlett-Packard\Drive Encryption\HpFkCrypt.exe" [2007-04-27 09:58]
S2 klnagent;Kaspersky Network Agent;"C:\Program Files\Kaspersky Lab\NetworkAgent\klnagent.exe" [2007-10-02 13:50]
S2 LMS;Intel(R) Active Management Technology Local Management Service;C:\Program Files\Intel\AMT\LMS.exe [2007-05-01 17:52]
S2 SWIHPWMI;SWIHPWMI;C:\Program Files\HPQ\Shared\Sierra Wireless\Win32\Unicode\SWIHPWMI.exe [2006-12-04 16:13]
S2 UNS;Intel(R) Active Management Technology User Notification Service;C:\Program Files\Intel\AMT\UNS.exe [2007-05-01 17:52]
S3 APSINV;APSINV;C:\WINDOWS\system32\DRIVERS\APSINV.SYS [2004-11-10 19:07]
S3 DAMDrv;DAMDrv;C:\WINDOWS\system32\DRIVERS\DAMDrv.sys [2007-04-23 12:13]
S3 DniVap;SafeNet WAN Miniport (VA);C:\WINDOWS\system32\DRIVERS\vap.sys [2001-12-14 16:26]
S3 FLCDLOCK;Verrouillage des périphériques / Audition HP ProtectTools;C:\WINDOWS\system32\flcdlock.exe [2007-04-30 07:28]
S3 GTF32BUS;GT F32 BUS;C:\WINDOWS\system32\DRIVERS\gtf32bus.sys [2007-01-15 16:43]
S3 GTPTSER;GT PT SER;C:\WINDOWS\system32\DRIVERS\gtptser.sys [2007-01-15 16:43]
S3 GTSCSER;GT SC SER;C:\WINDOWS\system32\DRIVERS\gtscser.sys [2007-03-08 06:03]
S3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-05-30 18:49]
S3 rismc32;RICOH Smart Card Reader;C:\WINDOWS\system32\DRIVERS\rismc32.sys [2006-12-20 02:08]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
Cognizance REG_MULTI_SZ ASChannel

*Newly Created Service* - MDMXSDK

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
"C:\Program Files\Fichiers communs\LightScribe\LSRunOnce.exe"
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-26 17:34:27
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Cpqset = C:\Program Files\Hewlett-Packard\Default Settings\cpqset.exe????????T??????????????|?M?|?????M?|&?@

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
Temps d'accomplissement: 2008-01-26 17:34:57
ComboFix-quarantined-files.txt 2008-01-26 16:34:55
ComboFix2.txt 2008-01-26 15:31:27
.
2008-01-09 12:43:20 --- E O F ---

et l'autre

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:36:15, on 26/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Trend Micro\HijackThis\scanner.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_14\bin\ssv.dll
O2 - BHO: Credential Manager for HP ProtectTools - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - C:\Program Files\Hewlett-Packard\IAM\Bin\ItIEAddIn.dll
O3 - Toolbar: VMN Toolbar - {4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33} - (no file)
O3 - Toolbar: The elfwgps - {03DA425A-7234-425C-95A6-FB8CFB7FFD8E} - C:\WINDOWS\elfwgps.dll (file missing)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /nodetect
O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Program Files\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [PTHOSTTR] C:\Program Files\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE /Start
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [CognizanceTS] rundll32.exe C:\PROGRA~1\HEWLET~1\IAM\Bin\ASTSVCC.dll,RegisterModule
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\Sminst\Recguard.exe
O4 - HKLM\..\Run: [Reminder] C:\WINDOWS\Creator\Remind_XP.exe
O4 - HKLM\..\Run: [Scheduler] C:\WINDOWS\SMINST\Scheduler.exe
O4 - HKLM\..\Run: [HP Software Update] c:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\Hewlett-Packard\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [AccelerometerSysTrayApplet] C:\WINDOWS\system32\AccelerometerSt.exe
O4 - HKLM\..\Run: [atchk] "C:\Program Files\Intel\AMT\atchk.exe"
O4 - HKLM\..\Run: [HPWWANGSAssistant] c:\SWSetup\HPQWWAN\HPWWanGSAssistant.exe /TrayMode
O4 - HKLM\..\Run: [Sun ONE Synchronization - iPlanet] C:\Program Files\Fichiers communs\XCPCSync\Translators\iPlanet\iPlanetTray.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [WatchDog] C:\Program Files\InterVideo\DVD Check\DVDCheck.exe
O4 - HKLM\..\Run: [BEW-INTRANET-FR-30SessionManager] C:\Program Files\OrangeBusinessServices\BEW\SessionManager\SessionManager.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe"
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: DVD Check.lnk = C:\Program Files\InterVideo\DVD Check\DVDCheck.exe
O4 - Global Startup: HotSync Manager.lnk = C:\Program Files\palmOne\Hotsync.exe
O4 - Global Startup: SoftRemote.lnk = C:\Program Files\SafeNet\SoftRemote\SafeCfg.exe
O8 - Extra context menu item: Envoyer au périphérique &Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_14\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_14\bin\ssv.dll
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\SCIEPlgn.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ifremer.fr
O17 - HKLM\Software\..\Telephony: DomainName = ifremer.fr
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ifremer.fr
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ifremer.fr
O20 - AppInit_DLLs: APSHook.dll,C:\PROGRA~1\KASPER~1\KASPER~1.0FO\adialhk.dll
O20 - Winlogon Notify: DeviceNP - C:\WINDOWS\SYSTEM32\DeviceNP.dll
O23 - Service: Intel(R) Active Management Technology System Status Service (atchksrv) - Intel Corporation - C:\Program Files\Intel\AMT\atchksrv.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Verrouillage des périphériques / Audition HP ProtectTools (FLCDLOCK) - Hewlett-Packard Ltd - C:\WINDOWS\system32\flcdlock.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: Drive Encryption Service (HpFkCryptService) - SafeBoot International - c:\Program Files\Hewlett-Packard\Drive Encryption\HpFkCrypt.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: SafeNet Monitor Service (IPSECMON) - SafeNet - C:\PROGRA~1\SafeNet\SoftRemote\IPSecMon.exe
O23 - Service: SafeNet IKE Service (IreIKE) - SafeNet - C:\PROGRA~1\SafeNet\SoftRemote\IreIKE.exe
O23 - Service: IviRegMgr - InterVideo - C:\Program Files\Fichiers communs\InterVideo\RegMgr\iviRegMgr.exe
O23 - Service: Kaspersky Network Agent (klnagent) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\NetworkAgent\klnagent.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Intel(R) Active Management Technology Local Management Service (LMS) - Intel Corporation - C:\Program Files\Intel\AMT\LMS.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Angel (PCA) - SoftThinks - C:\WINDOWS\SMINST\PCAngel.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - c:\Program Files\Fichiers communs\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Intranet Server Client (SicltNT) - Apsynet - C:\WINDOWS\SYSTEM32\siclt32.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - c:\Program Files\Fichiers communs\SureThing Shared\stllssvr.exe
O23 - Service: SWIHPWMI - Sierra Wireless Inc. - C:\Program Files\HPQ\Shared\Sierra Wireless\Win32\Unicode\SWIHPWMI.exe
O23 - Service: Intel(R) Active Management Technology User Notification Service (UNS) - Intel Corporation - C:\Program Files\Intel\AMT\UNS.exe

--
End of file - 8554 bytes

précision, quand j'ai fais combofix et hitjack, j'étais admin en mode sans echec

En tout cas, merci pour l'aide ;-)

Fais analyser ce(s) fichier(s) sur VirusTotal :


ici: http://www.virustotal.com/fr/

Une fois sur le site, faites "Parcourir", Naviguez dans l'explorateur Windows, jusqu'à trouver le fichier concerné, une fois le fichier trouvé, faites "Ouvrir". Puis cliquez sur "Envoyer le fichier".

Patientez pendant la file d'attente et le temps de l'analyse du fichier...


Une fois le scan du fichier fini, copiez-moi tous les résultats de tous les Antivirus, et collez les dans votre prochaine réponse.

c'est en cours...

Voici les logs du scan antivirus

Fichier siclt32.exe reçu le 2008.01.26 17:41:24 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 2/31 (6.46%)


Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.1.26.10 2008.01.25 -
AntiVir 7.6.0.53 2008.01.25 -
Authentium 4.93.8 2008.01.26 -
Avast 4.7.1098.0 2008.01.26 -
AVG 7.5.0.516 2008.01.25 -
BitDefender 7.2 2008.01.26 -
CAT-QuickHeal 9.00 2008.01.25 -
ClamAV 0.91.2 2008.01.26 -
DrWeb 4.44.0.09170 2008.01.26 -
eSafe 7.0.15.0 2008.01.16 -
eTrust-Vet 31.3.5486 2008.01.26 -
Ewido 4.0 2008.01.26 -
FileAdvisor 1 2008.01.26 -
Fortinet 3.14.0.0 2008.01.26 -
F-Prot 4.4.2.54 2008.01.25 W32/Heuristic-119!Eldorado
Ikarus T3.1.1.20 2008.01.26 -
Kaspersky 7.0.0.125 2008.01.26 -
McAfee 5216 2008.01.26 -
Microsoft 1.3109 2008.01.26 -
NOD32v2 2824 2008.01.26 -
Norman 5.80.02 2008.01.24 -
Panda 9.0.0.4 2008.01.26 -
Prevx1 V2 2008.01.26 Heuristic: Suspicious File With Covert Attributes
Rising 20.28.52.00 2008.01.26 -
Sophos 4.25.0 2008.01.26 -
Sunbelt 2.2.907.0 2008.01.25 -
Symantec 10 2008.01.26 -
TheHacker 6.2.9.199 2008.01.26 -
VBA32 3.12.2.5 2008.01.21 -
VirusBuster 4.3.26:9 2008.01.26 -
Webwasher-Gateway 6.6.2 2008.01.26 -
Information additionnelle
File size: 292864 bytes
MD5: 7ec91b0842c1fd18c203e6760ef03f61
SHA1: a7341020e1fccedcd23b299c17f4f9a3adffcba7
PEiD: Armadillo v1.71
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=300D3AC30078E39B7829043855B497(...)

Fichier flcdlock.exe reçu le 2008.01.26 17:57:49 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 1/32 (3.13%)

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.1.26.10 2008.01.25 -
AntiVir 7.6.0.53 2008.01.25 -
Authentium 4.93.8 2008.01.26 -
Avast 4.7.1098.0 2008.01.26 -
AVG 7.5.0.516 2008.01.25 -
BitDefender 7.2 2008.01.26 -
CAT-QuickHeal 9.00 2008.01.25 -
ClamAV 0.91.2 2008.01.26 -
DrWeb 4.44.0.09170 2008.01.26 -
eSafe 7.0.15.0 2008.01.16 -
eTrust-Vet 31.3.5486 2008.01.26 -
Ewido 4.0 2008.01.26 -
FileAdvisor 1 2008.01.26 -
Fortinet 3.14.0.0 2008.01.26 -
F-Prot 4.4.2.54 2008.01.25 -
F-Secure 6.70.13260.0 2008.01.26 -
Ikarus T3.1.1.20 2008.01.26 -
Kaspersky 7.0.0.125 2008.01.26 -
McAfee 5216 2008.01.26 -
Microsoft 1.3109 2008.01.26 -
NOD32v2 2824 2008.01.26 -
Norman 5.80.02 2008.01.24 -
Panda 9.0.0.4 2008.01.26 -
Prevx1 V2 2008.01.26 Heuristic: Suspicious Self Modifying File
Rising 20.28.52.00 2008.01.26 -
Sophos 4.25.0 2008.01.26 -
Sunbelt 2.2.907.0 2008.01.25 -
Symantec 10 2008.01.26 -
TheHacker 6.2.9.199 2008.01.26 -
VBA32 3.12.2.5 2008.01.21 -
VirusBuster 4.3.26:9 2008.01.26 -
Webwasher-Gateway 6.6.2 2008.01.26 -
Information additionnelle
File size: 172131 bytes
MD5: 42daa2e32758858c774e48ea089127c4
SHA1: d9843dbd40ebc917c5f5488ddd8bc3cbc775bdc7
PEiD: Armadillo v1.71
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=9994559C63BD3CDCA0A8026973A532(...)

Toujours des problèmes, comment va le PC ?

1) Télécharge ToolsCleaner sur ton bureau.
http://www.commentcamarche.net/telecharger/toolscleaner-34055291-avis-opinion(...)

# Clique sur Recherche et laisse le scan agir ...
# Clique sur Suppression pour finaliser.
# Tu peux, si tu le souhaites, te servir des Options facultatives.
# Clique sur Quitter pour obtenir le rapport.
# Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).

2) Fais un scan en linge avec BitDefender, avec internet explorer ! Sauvegarde tes musiques et photos, il arrive que BitDefender les supprime ;)

http://www.bitdefender.fr/
et copie colle le résultat ici
* En bas, à gauche de la fenêtre, clique sur BitDefender SCAN ONLINE
* Dans la nouvelle fenêtre, clique sur I agree
* La fenêtre change encore, clique sur Click here to scan
* Les signatures se chargent, etc.

tuto en image

http://pageperso.aol.fr/rginformatique/mapage/defender.htm


Poste-moi le rapport en entier

spybot ne trouve plus les problèmes, par contre, quelques soucis avec IE, il reste bloqué sur "détection des paramètres proxy" quand je le lance.

Je continue avec Toolscleaner ?

Oui tu fais ce que j'ai dit, j'attends le rapport

ok c'est partie... Ainsi que la sauvegarde de mes audios pour la suite...

voilà pour toolscleaner.
Pour l'autre il faut que je finisse de sauvegarder mes données sur le disque externe...

-->- Recherche:

C:\Combofix: trouvé !
C:\Qoobox: trouvé !
C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe: trouvé !
C:\Documents and Settings\cbonnet\Bureau\ComboFix.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\WIDCOMM\Bluetooth Software\gzip.exe: trouvé !
C:\QooBox\Quarantine\C\Combofix: trouvé !

---------------------------------
-->- Suppression:

C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe: supprimé !
C:\Documents and Settings\cbonnet\Bureau\ComboFix.exe: supprimé !
C:\Program Files\WIDCOMM\Bluetooth Software\gzip.exe: supprimé !
C:\Combofix: supprimé !
C:\Qoobox: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !

voilà pour toolscleaner.
Pour l'autre il faut que je finisse de sauvegarder mes données sur le disque externe...

-->- Recherche:

C:\Combofix: trouvé !
C:\Qoobox: trouvé !
C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe: trouvé !
C:\Documents and Settings\cbonnet\Bureau\ComboFix.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\WIDCOMM\Bluetooth Software\gzip.exe: trouvé !
C:\QooBox\Quarantine\C\Combofix: trouvé !

---------------------------------
-->- Suppression:

C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe: supprimé !
C:\Documents and Settings\cbonnet\Bureau\ComboFix.exe: supprimé !
C:\Program Files\WIDCOMM\Bluetooth Software\gzip.exe: supprimé !
C:\Combofix: supprimé !
C:\Qoobox: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !

voici le résultat du scan antivirus : 3 fichiers trouvés


BitDefender Online Scanner - Rapport virus en temps réel







Généré à: Sat, Jan 26, 2008 - 21:44:39









Info d'analyse







Fichiers scannés


1432186

Infectés Fichiers


3















Virus Détectés







Trojan.Downloader.Zlob.ABIJ


3























Ce sommaire du processus d'analyse sera utilisé par les laboratoires Antivirus BitDefender pour créer des statistiques agréguées sur l'activité des virus dans le monde.

Toujours des problèmes de ton côté ? Si non, je vais te donner le message de fin

A priori tout est ok, plus de symptômes sur IE et avec Spybot, sinon à la revoyure...

Merci beaucoup en tout cas et bon we...

C'est OK tu n'es plus infecté, fais les manipulations suivantes pour finaliser proprement la désinfection

1)Télécharge ToolsCleaner sur ton bureau.
http://www.commentcamarche.net/telecharger/toolscleaner-34055291-avis-opinion(...)

# Clique sur Recherche et laisse le scan agir ...
# Clique sur Suppression pour finaliser.
# Tu peux, si tu le souhaites, te servir des Options facultatives.
# Clique sur Quitter pour obtenir le rapport.
# Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).

------------------------------------

2) Télécharge et installe Ccleaner :
http://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs(...)
-> Avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires". Ensuite, clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Clique sur l'onglet "Nettoyeur" puis sur "Lancer le Nettoyage".
-> Ensuite clique sur l'onglet Registre, clique sur "Chercher des erreurs" puis sur "Réparer les erreurs sélectionnées". Il est inutile de faire des sauvegardes des clés. Répète l'opération autant de fois qu'il le faut jusqu'à qu'il ne trouve plus d'erreurs.

--------------------------------------

3) Désactives ta restauration systeme

Réactives ta restauration systeme

Tuto/aide: http://www.libellules.ch/desactiver_restauration.php

********************************************************************************

4) Edite ton premier message avec et mets [resolu] devant le titre de ton sujet.

5) Rapporte ton infection pour faire condamner les auteurs sur Malware-Complaints.
Pour faire entendre notre voix, nous devons être le plus nombreux possibles, alors rapport ton infection :
- Voir les règles de Malware-Complaints
- Enregistre sur le forum à partir du bouton register en haut :
Si tu as plus de 13 ans, choisir : I Agree to these terms and am over or exactly 13 years of age
Si tu as moins, clic sur : I Agree to these terms and am under 13 years of age

Après t'être enregistré, tu as sous forme de liste les types d'infection (Look2Me, Smitfraud, SpywareQuake etc..) : http://www.malwarecomplaints.info/viewforum.php?f=10&sid=0ea0981a2025873f(...)

Si le malware que tu as eu n'apparaît pas dans la liste, ou si tu ne sais pas quelle infection tu as eu, créé un message dans le sujet "Autres infections" conforme au règle du forum (age, ville, département etc..) : http://www.malwarecomplaints.info/viewforum.php?f=10

a+ et bon surf


Quelques liens intéressants

http://bibou0007.forumpro.fr/aide-a-la-desinfection-f8/configuration-conseill(...)
http://mickael.barroux.free.fr/securite/
http://mickael.barroux.free.fr/securite/protection.php
http://www.malekal.com/
http://bibou0007.forumpro.fr/portal.htm

Merci pour tout, témoignage fait sur le site indiqué, pour les liens, j'étais déjà allé faire un tour sur le très bon site de mickael barroux et malekal...

kenavo