[resolu] Trojan.Vundo.DVS - Sécurité, virus et assimilés::Trojan et spywares

Passionné(e) d'internet, de logiciels, de forums ? 01net recrute...

Auteur

Message

thom37

Posté le 11/05/2008 10:28:05

Bonjour,

Je rencontre un problème depuis quelque temps mon antivirus détecte un trojan (Trojan.Vundo.DVS) et l'affiche toutes les deux minutes sur le bureau.

Suite à un ancien topic sur se sujet j'ai réalisé les étapes une par une mais, j'aurais besoin d'aide pour la suite afin d'utiliser COMBOFIX.

Merci pour l'aide qui me sera apporté.

-->Message édité par thom37 le 18/05/2008 20:41:10<--

Mérillym

Modérateur/Helper
:-)

Posté le 11/05/2008 10:38:11

Bonjour,

Télécharge Hijackthis (de Trend Micro) sur ton Bureau.

Double clique sur HJTInstall.exe pour lancer l'installation.

Clique sur Install.

Double clique sur le raccourci d'HijackThis qui vient d'être créé pour le lancer.

Accepte la licence en cliquant sur Yes.

Clique sur "Do a system scan and save a logfile".

Poste ici le rapport généré.

Note : Le rapport se trouve également ici : C:\Program Files\Trend Micro\Hijackthis\Hijackthis.log

Aide : Comment utiliser HijackThis.

-------
Dossier prévention>à lire
Si vous vous faites déjà aider sur un autre forum, merci de me le dire !

thom37

Posté le 11/05/2008 10:59:41

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:58, on 2008-05-11
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\BitDefender\BitDefender Communicator\xcommsvr.exe
C:\Program Files\BitDefender\BitDefender 2008\vsserv.exe
C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\Samsung\Samsung Media Studio 5\SMSTray.exe
C:\PROGRA~1\Keyboard\Ikeymain.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
F:\Program Files\Palm\Hotsync.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Documents and Settings\JJ\Mes documents\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Documents and Settings\JJ\Bureau\uTorrent.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.vista-inspirat.net/fr/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Program Files\BitDefender\BitDefender 2008\IEToolbar.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Program Files\BitDefender\BitDefender 2008\IEShow.exe"
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe"
O4 - HKLM\..\Run: [Autoconfigurateur WiFi Neuf] F:\Program Files\Neuf\Kit\WiFi\9wifi.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SMSTray] C:\Program Files\Samsung\Samsung Media Studio 5\SMSTray.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [iKeyWorks] C:\PROGRA~1\Keyboard\Ikeymain.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Steam] "c:\program files\steam\steam.exe" -silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: RocketDock.lnk = C:\Documents and Settings\JJ\Mes documents\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Global Startup: Démarrage rapide de HP Photosmart Premier.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HOTSYNCSHORTCUTNAME.lnk = F:\Program Files\Palm\Hotsync.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Mémento.lnk = C:\6-QUICKEN LA POSTE\billmind.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr
O16 - DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} (AdVerifierADPCtrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.1.cab
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: HP Port Resolver - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBPRO.EXE
O23 - Service: HP Status Server - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBOID.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S.R.L. - C:\Program Files\BitDefender\BitDefender 2008\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - BitDefender - C:\Program Files\Fichiers communs\BitDefender\BitDefender Communicator\xcommsvr.exe

--
End of file - 7430 bytes

Mérillym

Modérateur/Helper
:-)

Posté le 11/05/2008 11:01:57

Re,

Télécharge MalwareByte's Anti-Malware sur ton Bureau.
Installe-le en double-cliquant sur le fichier Download_mbam-setup.exe.

Une fois l'installation et la mise à jour effectuées, redémarre en mode sans échec.
AIDE : Redémarrer en mode sans échec

Exécute maintenant MalwareByte's Anti-Malware. Si cela n'est pas déjà fait, sélectionne "Exécuter un examen complet".

Afin de lancer la recherche, clic sur"Rechercher".

Une fois le scan terminé, une fenêtre s'ouvre, clic sur OK. Deux possibilités s'offrent à toi :
-- si le programme n'a rien trouvé, appuie sur OK. Un rapport va apparaître, ferme-le.
-- si des infections sont présentes, clic sur "Afficher les résultats" puis sur "Supprimer la sélection". Enregistre le rapport sur ton Bureau afin de le poster dans ta prochaine réponse.
REMARQUE : Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok.

AIDE : Tuto en images sur MBAM

-------
Dossier prévention>à lire
Si vous vous faites déjà aider sur un autre forum, merci de me le dire !

thom37

Posté le 11/05/2008 18:24:12

Re, (dsl du temps mais 5h de scan)

Malwarebytes' Anti-Malware 1.12
Version de la base de données: 739

Type de recherche: Examen complet (C:\|F:\|K:\|)
Eléments examinés: 278190
Temps écoulé: 5 hour(s), 53 minute(s), 26 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 4
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\WINDOWS\system32\xxyaxXOe.dll (Trojan.Vundo) -> No action taken.

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{96db62b1-83a8-4233-9fca-9ed4a29e65da} (Trojan.Vundo) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{96db62b1-83a8-4233-9fca-9ed4a29e65da} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\xxyaxxoe -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages (Backdoor.Agent) -> Data: c:\windows\system32\xxyaxxoe -> No action taken.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\xxyaxXOe.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\eOXxayxx.ini (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\eOXxayxx.ini2 (Trojan.Vundo) -> No action taken.
F:\Program Files\Fichiers communs\ErreurChasseur\strpmon.exe (Rogue.SystemErrorFixer) -> No action taken.

Mérillym

Modérateur/Helper
:-)

Posté le 11/05/2008 19:08:37

Re,

Tu as mal lu la procédure :
C:\Documents and Settings\All Users\Menu Démarrer\Security Troubleshooting.url (Rogue.Link) -> No action taken.

Une fois le scan terminé, clique sur "Afficher les résultats" et enregistre le rapport sur ton Bureau.

Clique enfin sur "Supprimer la sélection".

Recommence stp.

-------
Dossier prévention>à lire
Si vous vous faites déjà aider sur un autre forum, merci de me le dire !

thom37

Posté le 11/05/2008 19:19:16

ok dsl ^^

thom37

Posté le 11/05/2008 21:24:13

Re, j'espère que c'est bon...

Malwarebytes' Anti-Malware 1.12
Version de la base de données: 739

Type de recherche: Examen complet (C:\|)
Eléments examinés: 95567
Temps écoulé: 1 hour(s), 43 minute(s), 20 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 4
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\WINDOWS\system32\xxyaxXOe.dll (Trojan.Vundo) -> Unloaded module successfully.

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{030a1a1b-efe9-4467-8e63-dfc0219ccbce} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{030a1a1b-efe9-4467-8e63-dfc0219ccbce} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\xxyaxxoe -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages (Backdoor.Agent) -> Data: c:\windows\system32\xxyaxxoe -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\xxyaxXOe.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\eOXxayxx.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\eOXxayxx.ini2 (Trojan.Vundo) -> Quarantined and deleted successfully.

Mérillym

Modérateur/Helper
:-)

Posté le 11/05/2008 21:39:51

Re,

Inutile de m'envoyer un MP à chaque fois, merci !

1) Désactive toute protection résidente ( antivirus…) ! Aide ici : http://forum.pcastuces.com/desactiver_les_protections_residentes-f31s4.htm
Déconnecte-toi d’internet, ferme tous les programmes en cours et laisse combofix travailler : ne fais donc pas autre chose en même temps !

Télécharge Combofix de sUBs
Sauvegarde le sur ton bureau et pas ailleurs !
Redémarre en mode sans échecs : aide ici >>>
http://forum.telecharger.01net.com/telecharger/virus_et_assimiles/failles_de_(...)
/!\ Ne jamais redémarrer en mode sans échec via msconfig ! /!\

Double-clic sur combofix, Il va te poser une question, réponds par la touche 1 et entrée pour valider, laisse toi guider.
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport. Il se trouve ici : C:\Combofix.txt

2) Copie/colle un nouveau rapport HiJackThis avec.

-------
Dossier prévention>à lire
Si vous vous faites déjà aider sur un autre forum, merci de me le dire !

thom37

Posté le 11/05/2008 22:43:40

re,

rapport de Combofix:

ComboFix 08-05-09.1 - JJ 2008-05-11 22:10:53.3 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.598 [GMT 2:00]
Endroit: C:\Documents and Settings\JJ\Bureau\ComboFix.exe

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\eOXxayxx.ini
C:\WINDOWS\system32\eOXxayxx.ini2

.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-04-11 to 2008-05-11 ))))))))))))))))))))))))))))))))))))
.

2008-05-11 19:24 . 2008-05-11 19:24 116,736 --a------ C:\WINDOWS\system32\cnmpdmma.dll
2008-05-11 19:21 . 2008-05-11 19:21 126,976 --a------ C:\WINDOWS\system32\aeqegaoy.dll
2008-05-11 19:21 . 2008-05-11 19:21 109,803 --a------ C:\WINDOWS\BMf3e66417.xml
2008-05-11 11:09 . 2008-05-11 11:09 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-05-11 11:09 . 2008-05-11 11:09 <REP> d-------- C:\Documents and Settings\JJ\Application Data\Malwarebytes
2008-05-11 11:09 . 2008-05-11 11:09 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-05-11 11:09 . 2008-05-05 20:46 27,048 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-05-11 11:09 . 2008-05-05 20:46 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-05-11 10:57 . 2008-05-11 10:57 <REP> d-------- C:\Program Files\Trend Micro
2008-05-10 23:36 . 2008-05-10 23:36 <REP> d-------- C:\VundoFix Backups
2008-05-10 23:07 . 2008-05-10 23:07 372,736 --------- C:\WINDOWS\system32\xxyaxXOe.dll
2008-05-10 23:02 . 2008-05-10 23:02 32,475 --a------ C:\WINDOWS\system32\ssqrpNDW.dll.vir
2008-05-09 14:16 . 2008-05-09 14:16 <REP> d-------- C:\Program Files\VirtualDJ
2008-05-09 13:40 . 2008-05-09 14:10 <REP> d-------- C:\Program Files\MixVibesPro6DEMO
2008-05-02 10:22 . 2008-05-02 10:22 <REP> d-------- C:\Documents and Settings\JJ\Application Data\Apple Computer
2008-05-02 10:22 . 2008-05-11 21:17 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-05-02 10:22 . 2008-05-02 10:22 1,409 --a------ C:\WINDOWS\QTFont.for
2008-05-02 10:21 . 2008-05-02 10:22 <REP> d-------- C:\Program Files\iTunes
2008-05-02 10:21 . 2008-05-02 10:21 <REP> d-------- C:\Program Files\iPod
2008-05-02 10:21 . 2008-05-02 10:21 <REP> d-------- C:\Program Files\Bonjour
2008-05-02 10:20 . 2008-05-02 10:21 <REP> d-------- C:\Program Files\QuickTime
2008-05-02 10:20 . 2008-05-02 10:20 <REP> d-------- C:\Program Files\Apple Software Update
2008-05-02 10:20 . 2008-05-02 10:21 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Apple Computer
2008-05-02 10:19 . 2008-05-02 10:19 <REP> d-------- C:\Program Files\Fichiers communs\Apple
2008-05-02 10:19 . 2008-05-02 10:19 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Apple
2008-04-19 21:43 . 2008-05-11 10:09 <REP> d-------- C:\Program Files\uTorrent
2008-04-19 21:43 . 2008-05-11 22:14 <REP> d-------- C:\Documents and Settings\JJ\Application Data\uTorrent
2008-04-19 21:24 . 2008-04-19 21:24 <REP> d-------- C:\Documents and Settings\JJ\Application Data\TribalWeb

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-11 19:40 --------- d-----w C:\Program Files\Steam
2008-03-26 09:20 --------- d-----w C:\Documents and Settings\Jacques\Application Data\Winamp
2008-03-25 15:50 --------- d-----w C:\Program Files\Keyboard
2008-03-24 17:03 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2008-03-23 21:50 --------- d-----w C:\Program Files\MyFree Codec
2008-03-23 18:17 --------- d-----w C:\Program Files\AMD
2008-03-23 18:16 --------- d-----w C:\Program Files\Fichiers communs\Wise Installation Wizard
2008-03-23 13:34 --------- dcsh--w C:\Program Files\Fichiers communs\WindowsLiveInstaller
2008-03-23 13:22 --------- d-----w C:\Documents and Settings\All Users\Application Data\WLInstaller
2008-03-22 18:00 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-03-22 17:38 65,024 ----a-w C:\WINDOWS\IFinst26.exe
2008-03-22 17:38 --------- d-----w C:\Program Files\XviD
2008-03-22 17:38 --------- d-----w C:\Program Files\MarkAny
2008-03-22 17:38 --------- d-----w C:\Program Files\Lame MP3 Codec
2008-03-22 17:38 --------- d-----w C:\Documents and Settings\JJ\Application Data\DataCast
2008-03-22 17:37 --------- d-----w C:\Program Files\Samsung
2008-03-22 17:37 --------- d-----w C:\Documents and Settings\JJ\Application Data\InstallShield
2008-03-22 17:36 --------- d-----w C:\Documents and Settings\JJ\Application Data\HotSync
2008-03-22 16:48 --------- d-----w C:\Program Files\SplashData
2008-03-22 16:37 --------- d-----w C:\Documents and Settings\Jacques\Application Data\Leadertech
2008-03-22 16:31 53,248 ----a-w C:\WINDOWS\PalmDevC.dll
2008-03-22 16:31 16,694 ----a-w C:\WINDOWS\system32\drivers\PalmUSBD.sys
2008-03-22 11:30 --------- d-----w C:\Program Files\MSXML 4.0
2008-03-22 08:35 --------- d-----w C:\Documents and Settings\Jacques\Application Data\HP
2008-03-21 20:30 --------- d-----w C:\Program Files\HP
2008-03-21 20:30 --------- d-----w C:\Documents and Settings\JJ\Application Data\HP
2008-03-21 20:30 --------- d-----w C:\Documents and Settings\All Users\Application Data\HP
2008-03-21 20:27 --------- d-----w C:\Program Files\Fichiers communs\Sonic Shared
2008-03-21 20:27 --------- d-----w C:\Documents and Settings\All Users\Application Data\Sonic
2008-03-21 20:26 --------- d-----w C:\Program Files\Fichiers communs\HP
2008-03-21 20:23 --------- d-----w C:\Program Files\Hewlett-Packard
2008-03-21 20:22 --------- d-----w C:\Program Files\Fichiers communs\Hewlett-Packard
2008-03-21 19:38 --------- d-----w C:\Documents and Settings\Jacques\Application Data\LaCie
2008-03-21 19:35 --------- d-----w C:\Documents and Settings\Jacques\Application Data\Rainlendar
2008-03-21 18:57 --------- d-----w C:\Documents and Settings\JJ\Application Data\Winamp
2008-03-21 18:51 --------- d-----w C:\Program Files\Winamp
2008-03-21 18:29 73,711 ----a-w C:\WINDOWS\BricoPackUninst.cmd
2008-03-21 18:29 6,468 ----a-w C:\WINDOWS\BricoPackFoldersDelete.cmd
2008-03-21 17:49 --------- d-----w C:\Documents and Settings\Jacques\Application Data\HotSync
2008-03-21 17:49 --------- d-----w C:\Documents and Settings\All Users\Application Data\HotSync
2008-03-21 17:38 --------- d-----w C:\Documents and Settings\Jacques\Application Data\teamspeak2
2008-03-21 17:06 --------- d-----w C:\Documents and Settings\JJ\Application Data\BitDefender
2008-03-21 17:06 --------- d-----w C:\Documents and Settings\JJ\Application Data\ATI
2008-03-21 11:27 --------- d-----w C:\Program Files\Microsoft Works
2008-03-21 11:26 --------- d-----w C:\Program Files\Microsoft.NET
2008-03-21 11:18 --------- d-----w C:\Program Files\Fichiers communs\BitDefender
2008-03-21 11:18 --------- d-----w C:\Program Files\BitDefender
2008-03-21 11:18 --------- d-----w C:\Documents and Settings\Jacques\Application Data\Bitdefender
2008-03-21 11:18 --------- d-----w C:\Documents and Settings\All Users\Application Data\BitDefender
2008-03-21 10:58 --------- d-----w C:\Program Files\Windows Media Connect 2
2008-03-21 10:56 --------- d-----w C:\Program Files\Fichiers communs\Ahead
2008-03-21 10:56 --------- d-----w C:\Program Files\CyberLink
2008-03-21 10:56 --------- d-----w C:\Program Files\Ahead
2008-03-21 10:56 --------- d-----w C:\Documents and Settings\All Users\Application Data\CyberLink
2008-03-21 10:52 --------- d-----w C:\Program Files\Windows Live
2008-03-21 10:52 --------- d-----w C:\Documents and Settings\All Users\Application Data\WindowsLiveInstaller
2008-03-21 10:41 --------- d-----w C:\Documents and Settings\Jacques\Application Data\ATI
2008-03-21 10:28 --------- d-----w C:\Program Files\Fichiers communs\InstallShield
2008-03-21 10:28 --------- d-----w C:\Program Files\ATI Technologies
2008-03-21 10:26 --------- d-----w C:\Program Files\Realtek AC97
2008-03-21 10:12 --------- d-----w C:\Program Files\microsoft frontpage
2008-03-21 10:06 --------- d-----w C:\Program Files\Services en ligne
.

------- Sigcheck -------

2007-06-13 15:22 979456 80a5400514eb32d393654768c4017e46 C:\WINDOWS\explorer.exe
2007-06-13 15:10 1037312 b795475444d6d57a572c14b9e1a29839 C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe
2004-08-05 14:00 1036288 4c33e5b9a6197b6ed215f6cfba0a2daa C:\WINDOWS\$NtUninstallKB938828$\explorer.exe
2007-06-13 15:22 979456 80a5400514eb32d393654768c4017e46 C:\WINDOWS\system32\dllcache\explorer.exe
.
((((((((((((((((((((((((((((( snapshot@2008-05-11_ 0.58.31.81 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-05-10 22:52:03 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-05-11 20:16:23 2,048 --s-a-w C:\WINDOWS\bootstat.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C24D4625-6B42-48E5-8B67-DE1CE84563F1}]
2008-05-10 23:07 372736 --------- C:\WINDOWS\system32\xxyaxXOe.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 14:00 15360]
"MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 12:34 5724184]
"Steam"="c:\program files\steam\steam.exe" [2008-03-29 11:20 1271032]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2006-11-17 06:42 577536 C:\WINDOWS\soundman.exe]
"ATICCC"="C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 17:41 45056]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50 155648]
"RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2003-10-31 20:42 32768]
"BitDefender Antiphishing Helper"="C:\Program Files\BitDefender\BitDefender 2008\IEShow.exe" [2007-10-09 16:46 61440]
"BDAgent"="C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe" [2008-02-16 18:45 360448]
"Autoconfigurateur WiFi Neuf"="F:\Program Files\Neuf\Kit\WiFi\9wifi.exe" [2006-07-06 22:32 122880]
"WinampAgent"="C:\Program Files\Winamp\winampa.exe" [2008-01-16 00:54 37376]
"HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd2.exe" [2006-02-19 03:41 49152]
"SMSTray"="C:\Program Files\Samsung\Samsung Media Studio 5\SMSTray.exe" [2007-09-20 09:23 132624]
"AMD_Display"="" []
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"iKeyWorks"="C:\PROGRA~1\Keyboard\Ikeymain.exe" [2002-11-22 19:22 73728]
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2008-03-28 23:37 413696]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2008-03-30 10:36 267048]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 14:00 15360]
"MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 12:34 5724184]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{88485281-8b4b-4f8d-9ede-82e29a064277}"= C:\PROGRA~1\MarkAny\CONTEN~1\MACSMA~1.DLL [2004-11-23 17:51 192512]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"=
"C:\\WINDOWS\\system32\\muzapp.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"C:\\Program Files\\iTunes\\iTunes.exe"=
"C:\\Documents and Settings\\JJ\\Bureau\\uTorrent.exe"=

S3 Bdfndisf;BitDefender Firewall NDIS Filter Service;C:\WINDOWS\system32\DRIVERS\bdfndisf.sys [2008-01-25 16:40]
S3 MBAMCatchMe;MBAMCatchMe;C:\WINDOWS\system32\drivers\mbamcatchme.sys [2008-05-05 20:46]
S3 SG762_XP;SAGEM 802.11g XG762 1211B Driver;C:\WINDOWS\system32\DRIVERS\WlanBZXP.sys [2006-03-21 17:28]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bdx REG_MULTI_SZ scan

.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-11 22:17:11
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************

.
Temps d'accomplissement: 2008-05-11 22:24:19 - machine was rebooted [JJ]
ComboFix-quarantined-files.txt 2008-05-11 20:24:15
ComboFix2.txt 2008-05-10 22:58:50

Pre-Run: 126,010,818,560 octets libres
Post-Run: 127,077,388,288 octets libres

201 --- E O F --- 2008-04-11 20:51:23

rapport de HiJackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:42:48, on 11/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\BitDefender\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
C:\Program Files\BitDefender\BitDefender 2008\vsserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\Samsung\Samsung Media Studio 5\SMSTray.exe
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\PROGRA~1\Keyboard\Ikeymain.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\program files\steam\steam.exe
C:\WINDOWS\system32\wuauclt.exe
F:\Program Files\Palm\Hotsync.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Documents and Settings\JJ\Mes documents\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.vista-inspirat.net/fr/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Program Files\BitDefender\BitDefender 2008\IEToolbar.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Program Files\BitDefender\BitDefender 2008\IEShow.exe"
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe"
O4 - HKLM\..\Run: [Autoconfigurateur WiFi Neuf] F:\Program Files\Neuf\Kit\WiFi\9wifi.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SMSTray] C:\Program Files\Samsung\Samsung Media Studio 5\SMSTray.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [iKeyWorks] C:\PROGRA~1\Keyboard\Ikeymain.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Steam] "c:\program files\steam\steam.exe" -silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: RocketDock.lnk = C:\Documents and Settings\JJ\Mes documents\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Global Startup: Démarrage rapide de HP Photosmart Premier.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HOTSYNCSHORTCUTNAME.lnk = F:\Program Files\Palm\Hotsync.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Mémento.lnk = C:\6-QUICKEN LA POSTE\billmind.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr
O16 - DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} (AdVerifierADPCtrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.1.cab
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: HP Port Resolver - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBPRO.EXE
O23 - Service: HP Status Server - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBOID.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S.R.L. - C:\Program Files\BitDefender\BitDefender 2008\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - BitDefender - C:\Program Files\Fichiers communs\BitDefender\BitDefender Communicator\xcommsvr.exe

--
End of file - 7633 bytes

Mérillym

Modérateur/Helper
:-)

Posté le 11/05/2008 23:46:22

Désactive toute protection résidente ( antivirus…) !

Copie le texte se situant dans le cadre ci-dessous :

File::
C:\WINDOWS\system32\cnmpdmma.dll
C:\WINDOWS\system32\aeqegaoy.dll
C:\WINDOWS\BMf3e66417.xml
C:\WINDOWS\system32\xxyaxXOe.dll
C:\WINDOWS\system32\ssqrpNDW.dll.vir

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C24D4625-6B42-48E5-8B67-DE1CE84563F1}]

Ouvre le Bloc-Notes puis colle le texte copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt.

Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :

< inclued picture >

Cela va relancer Combofix, tape sur 1 puis valide. Après redémarrage, poste le contenu du rapport Combofix.txt accompagné d'un nouveau rapport Hijackthis.
S'il n'y a pas de redémarrage, poste quand même les rapports.

-------
Dossier prévention>à lire
Si vous vous faites déjà aider sur un autre forum, merci de me le dire !

thom37

Posté le 12/05/2008 10:09:37

Bonjour,

rapport ComboFix:

ComboFix 08-05-09.1 - JJ 2008-05-11 23:56:07.4 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.591 [GMT 2:00]
Endroit: C:\Documents and Settings\JJ\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\JJ\Bureau\CFScript.txt..txt
* Création d'un nouveau point de restauration

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

FILE ::
C:\WINDOWS\BMf3e66417.xml
C:\WINDOWS\system32\aeqegaoy.dll
C:\WINDOWS\system32\cnmpdmma.dll
C:\WINDOWS\system32\ssqrpNDW.dll.vir
C:\WINDOWS\system32\xxyaxXOe.dll
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\BMf3e66417.xml
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\aeqegaoy.dll
C:\WINDOWS\system32\cnmpdmma.dll
C:\WINDOWS\system32\eOXxayxx.ini
C:\WINDOWS\system32\eOXxayxx.ini2
C:\WINDOWS\system32\mbxrctud.ini
C:\WINDOWS\system32\ssqrpNDW.dll.vir
C:\WINDOWS\system32\xxyaxXOe.dll

.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-04-11 to 2008-05-11 ))))))))))))))))))))))))))))))))))))
.

2008-05-12 00:03 . 2008-05-12 00:03 294 ---hs---- C:\WINDOWS\system32\mbxrctud.ini
2008-05-12 00:02 . 2008-05-12 00:03 109,807 --a------ C:\WINDOWS\BMf3e66417.xml
2008-05-12 00:02 . 2008-05-12 00:02 22 --a------ C:\WINDOWS\pskt.ini
2008-05-11 23:40 . 2008-05-11 23:40 912 --a------ C:\WINDOWS\system32\wnqiraja.exe
2008-05-11 23:37 . 2008-05-11 23:37 133,120 --a------ C:\WINDOWS\system32\kmdpwwvb.dll
2008-05-11 23:34 . 2008-05-11 23:34 116,736 --a------ C:\WINDOWS\system32\dutcrxbm.dll
2008-05-11 23:31 . 2008-05-11 23:31 126,976 --a------ C:\WINDOWS\system32\eeawgihe.dll
2008-05-11 11:09 . 2008-05-11 11:09 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-05-11 11:09 . 2008-05-11 11:09 <REP> d-------- C:\Documents and Settings\JJ\Application Data\Malwarebytes
2008-05-11 11:09 . 2008-05-11 11:09 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-05-11 11:09 . 2008-05-05 20:46 27,048 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-05-11 11:09 . 2008-05-05 20:46 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-05-11 10:57 . 2008-05-11 10:57 <REP> d-------- C:\Program Files\Trend Micro
2008-05-10 23:36 . 2008-05-10 23:36 <REP> d-------- C:\VundoFix Backups
2008-05-09 14:16 . 2008-05-09 14:16 <REP> d-------- C:\Program Files\VirtualDJ
2008-05-09 13:40 . 2008-05-09 14:10 <REP> d-------- C:\Program Files\MixVibesPro6DEMO
2008-05-02 10:22 . 2008-05-02 10:22 <REP> d-------- C:\Documents and Settings\JJ\Application Data\Apple Computer
2008-05-02 10:22 . 2008-05-12 00:02 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-05-02 10:22 . 2008-05-02 10:22 1,409 --a------ C:\WINDOWS\QTFont.for
2008-05-02 10:21 . 2008-05-02 10:22 <REP> d-------- C:\Program Files\iTunes
2008-05-02 10:21 . 2008-05-02 10:21 <REP> d-------- C:\Program Files\iPod
2008-05-02 10:21 . 2008-05-02 10:21 <REP> d-------- C:\Program Files\Bonjour
2008-05-02 10:20 . 2008-05-02 10:21 <REP> d-------- C:\Program Files\QuickTime
2008-05-02 10:20 . 2008-05-02 10:20 <REP> d-------- C:\Program Files\Apple Software Update
2008-05-02 10:20 . 2008-05-02 10:21 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Apple Computer
2008-05-02 10:19 . 2008-05-02 10:19 <REP> d-------- C:\Program Files\Fichiers communs\Apple
2008-05-02 10:19 . 2008-05-02 10:19 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Apple
2008-04-19 21:43 . 2008-05-11 10:09 <REP> d-------- C:\Program Files\uTorrent
2008-04-19 21:43 . 2008-05-11 23:59 <REP> d-------- C:\Documents and Settings\JJ\Application Data\uTorrent
2008-04-19 21:24 . 2008-04-19 21:24 <REP> d-------- C:\Documents and Settings\JJ\Application Data\TribalWeb

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-11 22:03 --------- d-----w C:\Program Files\Steam
2008-03-26 09:20 --------- d-----w C:\Documents and Settings\Jacques\Application Data\Winamp
2008-03-25 15:50 --------- d-----w C:\Program Files\Keyboard
2008-03-24 17:03 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2008-03-23 21:50 --------- d-----w C:\Program Files\MyFree Codec
2008-03-23 18:17 --------- d-----w C:\Program Files\AMD
2008-03-23 18:16 --------- d-----w C:\Program Files\Fichiers communs\Wise Installation Wizard
2008-03-23 13:34 --------- dcsh--w C:\Program Files\Fichiers communs\WindowsLiveInstaller
2008-03-23 13:22 --------- d-----w C:\Documents and Settings\All Users\Application Data\WLInstaller
2008-03-22 18:00 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-03-22 17:38 65,024 ----a-w C:\WINDOWS\IFinst26.exe
2008-03-22 17:38 --------- d-----w C:\Program Files\XviD
2008-03-22 17:38 --------- d-----w C:\Program Files\MarkAny
2008-03-22 17:38 --------- d-----w C:\Program Files\Lame MP3 Codec
2008-03-22 17:38 --------- d-----w C:\Documents and Settings\JJ\Application Data\DataCast
2008-03-22 17:37 --------- d-----w C:\Program Files\Samsung
2008-03-22 17:37 --------- d-----w C:\Documents and Settings\JJ\Application Data\InstallShield
2008-03-22 17:36 --------- d-----w C:\Documents and Settings\JJ\Application Data\HotSync
2008-03-22 16:48 --------- d-----w C:\Program Files\SplashData
2008-03-22 16:37 --------- d-----w C:\Documents and Settings\Jacques\Application Data\Leadertech
2008-03-22 16:31 53,248 ----a-w C:\WINDOWS\PalmDevC.dll
2008-03-22 16:31 16,694 ----a-w C:\WINDOWS\system32\drivers\PalmUSBD.sys
2008-03-22 11:30 --------- d-----w C:\Program Files\MSXML 4.0
2008-03-22 08:35 --------- d-----w C:\Documents and Settings\Jacques\Application Data\HP
2008-03-21 20:30 --------- d-----w C:\Program Files\HP
2008-03-21 20:30 --------- d-----w C:\Documents and Settings\JJ\Application Data\HP
2008-03-21 20:30 --------- d-----w C:\Documents and Settings\All Users\Application Data\HP
2008-03-21 20:27 --------- d-----w C:\Program Files\Fichiers communs\Sonic Shared
2008-03-21 20:27 --------- d-----w C:\Documents and Settings\All Users\Application Data\Sonic
2008-03-21 20:26 --------- d-----w C:\Program Files\Fichiers communs\HP
2008-03-21 20:23 --------- d-----w C:\Program Files\Hewlett-Packard
2008-03-21 20:22 --------- d-----w C:\Program Files\Fichiers communs\Hewlett-Packard
2008-03-21 19:38 --------- d-----w C:\Documents and Settings\Jacques\Application Data\LaCie
2008-03-21 19:35 --------- d-----w C:\Documents and Settings\Jacques\Application Data\Rainlendar
2008-03-21 18:57 --------- d-----w C:\Documents and Settings\JJ\Application Data\Winamp
2008-03-21 18:51 --------- d-----w C:\Program Files\Winamp
2008-03-21 18:29 73,711 ----a-w C:\WINDOWS\BricoPackUninst.cmd
2008-03-21 18:29 6,468 ----a-w C:\WINDOWS\BricoPackFoldersDelete.cmd
2008-03-21 18:29 219,648 ----a-w C:\WINDOWS\system32\uxtheme.dll
2008-03-21 17:49 --------- d-----w C:\Documents and Settings\Jacques\Application Data\HotSync
2008-03-21 17:49 --------- d-----w C:\Documents and Settings\All Users\Application Data\HotSync
2008-03-21 17:38 --------- d-----w C:\Documents and Settings\Jacques\Application Data\teamspeak2
2008-03-21 17:06 --------- d-----w C:\Documents and Settings\JJ\Application Data\BitDefender
2008-03-21 17:06 --------- d-----w C:\Documents and Settings\JJ\Application Data\ATI
2008-03-21 11:27 --------- d-----w C:\Program Files\Microsoft Works
2008-03-21 11:26 --------- d-----w C:\Program Files\Microsoft.NET
2008-03-21 11:18 --------- d-----w C:\Program Files\Fichiers communs\BitDefender
2008-03-21 11:18 --------- d-----w C:\Program Files\BitDefender
2008-03-21 11:18 --------- d-----w C:\Documents and Settings\Jacques\Application Data\Bitdefender
2008-03-21 11:18 --------- d-----w C:\Documents and Settings\All Users\Application Data\BitDefender
2008-03-21 10:58 --------- d-----w C:\Program Files\Windows Media Connect 2
2008-03-21 10:56 --------- d-----w C:\Program Files\Fichiers communs\Ahead
2008-03-21 10:56 --------- d-----w C:\Program Files\CyberLink
2008-03-21 10:56 --------- d-----w C:\Program Files\Ahead
2008-03-21 10:56 --------- d-----w C:\Documents and Settings\All Users\Application Data\CyberLink
2008-03-21 10:52 --------- d-----w C:\Program Files\Windows Live
2008-03-21 10:52 --------- d-----w C:\Documents and Settings\All Users\Application Data\WindowsLiveInstaller
2008-03-21 10:41 --------- d-----w C:\Documents and Settings\Jacques\Application Data\ATI
2008-03-21 10:28 --------- d-----w C:\Program Files\Fichiers communs\InstallShield
2008-03-21 10:28 --------- d-----w C:\Program Files\ATI Technologies
2008-03-21 10:26 --------- d-----w C:\Program Files\Realtek AC97
2008-03-21 10:12 --------- d-----w C:\Program Files\microsoft frontpage
2008-03-21 10:06 --------- d-----w C:\Program Files\Services en ligne
2008-03-20 08:09 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-01 12:58 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-02-20 06:51 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll
2008-02-20 05:35 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll
.

------- Sigcheck -------

2007-06-13 15:22 979456 80a5400514eb32d393654768c4017e46 C:\WINDOWS\explorer.exe
2007-06-13 15:10 1037312 b795475444d6d57a572c14b9e1a29839 C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe
2004-08-05 14:00 1036288 4c33e5b9a6197b6ed215f6cfba0a2daa C:\WINDOWS\$NtUninstallKB938828$\explorer.exe
2007-06-13 15:22 979456 80a5400514eb32d393654768c4017e46 C:\WINDOWS\system32\dllcache\explorer.exe
.
((((((((((((((((((((((((((((( snapshot@2008-05-11_ 0.58.31.81 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-05-10 22:52:03 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-05-11 22:00:47 2,048 --s-a-w C:\WINDOWS\bootstat.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{80736d9f-24e9-45d4-9105-0a33c01e88be}]
2008-05-11 23:37 133120 --a------ C:\WINDOWS\system32\kmdpwwvb.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 14:00 15360]
"MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 12:34 5724184]
"Steam"="c:\program files\steam\steam.exe" [2008-03-29 11:20 1271032]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2006-11-17 06:42 577536 C:\WINDOWS\soundman.exe]
"ATICCC"="C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 17:41 45056]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50 155648]
"RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2003-10-31 20:42 32768]
"BitDefender Antiphishing Helper"="C:\Program Files\BitDefender\BitDefender 2008\IEShow.exe" [2007-10-09 16:46 61440]
"BDAgent"="C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe" [2008-02-16 18:45 360448]
"Autoconfigurateur WiFi Neuf"="F:\Program Files\Neuf\Kit\WiFi\9wifi.exe" [2006-07-06 22:32 122880]
"WinampAgent"="C:\Program Files\Winamp\winampa.exe" [2008-01-16 00:54 37376]
"HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd2.exe" [2006-02-19 03:41 49152]
"SMSTray"="C:\Program Files\Samsung\Samsung Media Studio 5\SMSTray.exe" [2007-09-20 09:23 132624]
"AMD_Display"="" []
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"iKeyWorks"="C:\PROGRA~1\Keyboard\Ikeymain.exe" [2002-11-22 19:22 73728]
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2008-03-28 23:37 413696]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2008-03-30 10:36 267048]
"f0d5578b"="C:\WINDOWS\system32\dutcrxbm.dll" [2008-05-11 23:34 116736]
"BMf3e66417"="C:\WINDOWS\system32\eeawgihe.dll" [2008-05-11 23:31 126976]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 14:00 15360]
"MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 12:34 5724184]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{88485281-8b4b-4f8d-9ede-82e29a064277}"= C:\PROGRA~1\MarkAny\CONTEN~1\MACSMA~1.DLL [2004-11-23 17:51 192512]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"=
"C:\\WINDOWS\\system32\\muzapp.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"C:\\Program Files\\iTunes\\iTunes.exe"=
"C:\\Documents and Settings\\JJ\\Bureau\\uTorrent.exe"=

R3 Bdfndisf;BitDefender Firewall NDIS Filter Service;C:\WINDOWS\system32\DRIVERS\bdfndisf.sys [2008-01-25 16:40]
R3 SG762_XP;SAGEM 802.11g XG762 1211B Driver;C:\WINDOWS\system32\DRIVERS\WlanBZXP.sys [2006-03-21 17:28]
S3 MBAMCatchMe;MBAMCatchMe;C:\WINDOWS\system32\drivers\mbamcatchme.sys [2008-05-05 20:46]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bdx REG_MULTI_SZ scan

.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-12 00:01:19
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

C:\WINDOWS\system32\mbxrctud.ini 294 bytes

Scan termin‚ avec succŠs
Les fichiers cach‚s: 1

**************************************************************************
.
--------------------- DLLs a charg‚ sous des processus courants ---------------------

PROCESS: C:\WINDOWS\explorer.exe
-> C:\Documents and Settings\JJ\Mes documents\Vista Inspirat 2\RocketDock\RocketDock.dll
-> C:\WINDOWS\system32\dutcrxbm.dll
-> C:\WINDOWS\system32\eeawgihe.dll
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Fichiers communs\BitDefender\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
C:\Program Files\BitDefender\BitDefender 2008\vsserv.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Program Files\Keyboard\Ikeymain.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
F:\Program Files\Palm\Hotsync.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Documents and Settings\JJ\Mes documents\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
C:\Program Files\HP\Digital Imaging\bin\hpqste08.exe
C:\WINDOWS\system32\verclsid.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-05-12 0:07:56 - machine was rebooted
ComboFix-quarantined-files.txt 2008-05-11 22:07:43
ComboFix2.txt 2008-05-11 20:24:20
ComboFix3.txt 2008-05-10 22:58:50

Pre-Run: 126,026,436,608 octets libres
Post-Run: 126,015,025,152 octets libres

253 --- E O F --- 2008-04-11 20:51:23

Rapport Hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:07:02, on 12/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\BitDefender\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
C:\Program Files\BitDefender\BitDefender 2008\vsserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\Samsung\Samsung Media Studio 5\SMSTray.exe
C:\PROGRA~1\Keyboard\Ikeymain.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
F:\Program Files\Palm\Hotsync.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Documents and Settings\JJ\Mes documents\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.vista-inspirat.net/fr/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: {eb88e10c-33a0-5019-4d54-9e42f9d63708} - {80736d9f-24e9-45d4-9105-0a33c01e88be} - C:\WINDOWS\system32\kmdpwwvb.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Program Files\BitDefender\BitDefender 2008\IEToolbar.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Program Files\BitDefender\BitDefender 2008\IEShow.exe"
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe"
O4 - HKLM\..\Run: [Autoconfigurateur WiFi Neuf] F:\Program Files\Neuf\Kit\WiFi\9wifi.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SMSTray] C:\Program Files\Samsung\Samsung Media Studio 5\SMSTray.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [iKeyWorks] C:\PROGRA~1\Keyboard\Ikeymain.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [f0d5578b] rundll32.exe "C:\WINDOWS\system32\dutcrxbm.dll",b
O4 - HKLM\..\Run: [BMf3e66417] Rundll32.exe "C:\WINDOWS\system32\eeawgihe.dll",s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Steam] "c:\program files\steam\steam.exe" -silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: RocketDock.lnk = C:\Documents and Settings\JJ\Mes documents\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Global Startup: Démarrage rapide de HP Photosmart Premier.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HOTSYNCSHORTCUTNAME.lnk = F:\Program Files\Palm\Hotsync.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Mémento.lnk = C:\6-QUICKEN LA POSTE\billmind.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr
O16 - DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} (AdVerifierADPCtrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.1.cab
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: HP Port Resolver - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBPRO.EXE
O23 - Service: HP Status Server - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBOID.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S.R.L. - C:\Program Files\BitDefender\BitDefender 2008\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - BitDefender - C:\Program Files\Fichiers communs\BitDefender\BitDefender Communicator\xcommsvr.exe

--
End of file - 7936 bytes

thom37

Posté le 12/05/2008 11:48:04

Je dois faire quelque chose pour la suite?

Mérillym

Modérateur/Helper
:-)

Posté le 12/05/2008 13:38:56

Bonjour,

Oui patienter

De plus tu es encore très infecté(e)

Avant de passer à l'éradication des malwares, j'aimerais vérifier quelque chose.

[~]Aller dans poste de travail/outils/option des dossiers/affichage/afficher les fichiers et dossiers cachés/Appliquer - - > OK
[~]Aller dans poste de travail/outils/option des dossiers/affichage/décocher masquer les fichiers protégés du système d'exploitation./Appliquer - - > OK
Tu recocheras après.

[~] Poste de travail/outils/option des dossiers/affichage/décocher masquer les extensions dont le type est connu./Appliquer - - > OK

Rends toi sur ce lien : Virus Total

Clique sur Parcourir

Rends toi jusque sur ce fichier si tu le trouves :

C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\mbxrctud.ini

Clique sur Envoyer le fichier et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.

Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.

Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté

Une nouvelle fenêtre de ton navigateur va apparaître

Clique alors sur cette image : < inclued picture >

Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier

Enfin colle le résultat dans ta prochaine réponse.
Note : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse.
Il est possible que tes outils de sécurité réagissent à l'envoi du fichier, en ce cas il te faudra ignorer les alertes.

-------
Dossier prévention>à lire
Si vous vous faites déjà aider sur un autre forum, merci de me le dire !

thom37

Posté le 12/05/2008 18:04:58

re,

pour l'analyse de C:\WINDOWS\pskt.ini

Fichier pskt.ini reçu le 2008.05.12 18:00:32 (CET)
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.5.10.0 2008.05.10 -
AntiVir 7.8.0.17 2008.05.12 -
Authentium 5.1.0.4 2008.05.11 -
Avast 4.8.1169.0 2008.05.11 -
AVG 7.5.0.516 2008.05.12 -
BitDefender 7.2 2008.05.08 -
CAT-QuickHeal 9.50 2008.05.12 -
ClamAV 0.92.1 2008.05.12 -
DrWeb 4.44.0.09170 2008.05.12 -
eSafe 7.0.15.0 2008.05.12 -
eTrust-Vet 31.4.5781 2008.05.12 -
Ewido 4.0 2008.05.12 -
F-Prot 4.4.2.54 2008.05.10 -
F-Secure 6.70.13260.0 2008.05.12 -
Fortinet 3.14.0.0 2008.05.12 -
GData 2.0.7306.1023 2008.05.12 -
Ikarus T3.1.1.26.0 2008.05.12 -
Kaspersky 7.0.0.125 2008.05.12 -
McAfee 5292 2008.05.10 -
Microsoft 1.3408 2008.05.12 -
NOD32v2 3093 2008.05.12 -
Norman 5.80.02 2008.05.09 -
Panda 9.0.0.4 2008.05.11 -
Prevx1 V2 2008.05.12 -
Rising 20.44.02.00 2008.05.12 -
Sophos 4.29.0 2008.05.12 -
Sunbelt 3.0.1114.0 2008.05.12 -
Symantec 10 2008.05.12 -
TheHacker 6.2.92.307 2008.05.12 -
VBA32 3.12.6.5 2008.05.12 -
VirusBuster 4.3.26:9 2008.05.11 -
Webwasher-Gateway 6.6.2 2008.05.12 -
Information additionnelle
File size: 22 bytes
MD5...: e6f18eaaf980e9ef805ce5eb800ea2fc
SHA1..: 0148069f5db43e0e88382132d8fb690930a57f1c
SHA256: 9647a780323f4cd8f7ccefb488e9960359bc8d822d030aa8ff3f923d22d78415
SHA512: e5994b44b07b47b54602b28283d7f86e2a72c9b0f16fe2c73d91a305c9368b51<br>38bc8750015e9aa2d4afd2eb3d056adfdc080fb2939dda408242d500c8cbf2b1
PEiD..: -
PEInfo: -

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.5.10.0 2008.05.10 -
AntiVir 7.8.0.17 2008.05.12 -
Authentium 5.1.0.4 2008.05.11 -
Avast 4.8.1169.0 2008.05.11 -
AVG 7.5.0.516 2008.05.12 -
BitDefender 7.2 2008.05.08 -
CAT-QuickHeal 9.50 2008.05.12 -
ClamAV 0.92.1 2008.05.12 -
DrWeb 4.44.0.09170 2008.05.12 -
eSafe 7.0.15.0 2008.05.12 -
eTrust-Vet 31.4.5781 2008.05.12 -
Ewido 4.0 2008.05.12 -
F-Prot 4.4.2.54 2008.05.10 -
F-Secure 6.70.13260.0 2008.05.12 -
Fortinet 3.14.0.0 2008.05.12 -
GData 2.0.7306.1023 2008.05.12 -
Ikarus T3.1.1.26.0 2008.05.12 -
Kaspersky 7.0.0.125 2008.05.12 -
McAfee 5292 2008.05.10 -
Microsoft 1.3408 2008.05.12 -
NOD32v2 3093 2008.05.12 -
Norman 5.80.02 2008.05.09 -
Panda 9.0.0.4 2008.05.11 -
Prevx1 V2 2008.05.12 -
Rising 20.44.02.00 2008.05.12 -
Sophos 4.29.0 2008.05.12 -
Sunbelt 3.0.1114.0 2008.05.12 -
Symantec 10 2008.05.12 -
TheHacker 6.2.92.307 2008.05.12 -
VBA32 3.12.6.5 2008.05.12 -
VirusBuster 4.3.26:9 2008.05.11 -
Webwasher-Gateway 6.6.2 2008.05.12 -

Information additionnelle
File size: 22 bytes
MD5...: e6f18eaaf980e9ef805ce5eb800ea2fc
SHA1..: 0148069f5db43e0e88382132d8fb690930a57f1c
SHA256: 9647a780323f4cd8f7ccefb488e9960359bc8d822d030aa8ff3f923d22d78415
SHA512: e5994b44b07b47b54602b28283d7f86e2a72c9b0f16fe2c73d91a305c9368b51<br>38bc8750015e9aa2d4afd2eb3d056adfdc080fb2939dda408242d500c8cbf2b1
PEiD..: -
PEInfo: -

pour C:\WINDOWS\system32\mbxrctud.ini

Fichier mbxrctud.ini reçu le 2008.05.12 18:03:52 (CET)
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.5.10.0 2008.05.10 -
AntiVir 7.8.0.17 2008.05.12 -
Authentium 5.1.0.4 2008.05.11 -
Avast 4.8.1169.0 2008.05.11 -
AVG 7.5.0.516 2008.05.12 -
BitDefender 7.2 2008.05.08 -
CAT-QuickHeal 9.50 2008.05.12 -
ClamAV 0.92.1 2008.05.12 -
DrWeb 4.44.0.09170 2008.05.12 -
eSafe 7.0.15.0 2008.05.12 -
eTrust-Vet 31.4.5781 2008.05.12 -
Ewido 4.0 2008.05.12 -
F-Prot 4.4.2.54 2008.05.12 -
F-Secure 6.70.13260.0 2008.05.12 -
Fortinet 3.14.0.0 2008.05.12 -
GData 2.0.7306.1023 2008.05.12 -
Ikarus T3.1.1.26.0 2008.05.12 -
Kaspersky 7.0.0.125 2008.05.12 -
McAfee 5291 2008.05.08 -
Microsoft 1.3408 2008.05.12 -
NOD32v2 3093 2008.05.12 -
Norman 5.80.02 2008.05.09 -
Panda 9.0.0.4 2008.05.11 -
Prevx1 V2 2008.05.12 -
Rising 20.44.02.00 2008.05.12 -
Sophos 4.29.0 2008.05.12 -
Sunbelt 3.0.1114.0 2008.05.12 -
Symantec 10 2008.05.12 -
TheHacker 6.2.92.307 2008.05.12 -
VBA32 3.12.6.5 2008.05.12 -
VirusBuster 4.3.26:9 2008.05.11 -
Webwasher-Gateway 6.6.2 2008.05.12 -
Information additionnelle
File size: 766 bytes
MD5...: 199983a7a41341123625b8b44d279bef
SHA1..: 966a09c349116f11c966e51132016a9465c7fa62
SHA256: ad02f0a8e7c731551a5a12e7368ed053e29d407d906232c720cfdd666c66416d
SHA512: 9e6cc57fdedbd5996b1b37ef84d8b1471573b9923bbef51eb753c89701d96231<br>a0ab384e5eb00b6304ad48b14b52c50c3edd42d1885125779c2d1362cb46d7a9
PEiD..: -
PEInfo: -

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.5.10.0 2008.05.10 -
AntiVir 7.8.0.17 2008.05.12 -
Authentium 5.1.0.4 2008.05.11 -
Avast 4.8.1169.0 2008.05.11 -
AVG 7.5.0.516 2008.05.12 -
BitDefender 7.2 2008.05.08 -
CAT-QuickHeal 9.50 2008.05.12 -
ClamAV 0.92.1 2008.05.12 -
DrWeb 4.