win32 trojan-gen - resolu - Sécurité, virus et assimilés::Trojan et spywares

Auteur

Message

Aspec

Posté le 24/07/2008 12:31:36

Bonjour,

AVAST me detecte des fichiers infectes par win32 trojan-gen. Ile me propose de le supprimer ou mettre en quarantaine mais quel que soit mon choix le virus revient. Programmer un scan apres redemarrage ne resoud pas le probleme. Il semble que le virus revienne tout le temps et contamine de plus en plus de fichier.

Quelqu'un peut-il m'aider sur la demarche a suivre?

Merci

-->Message édité par Aspec le 04/08/2008 14:31:43<--

Aspec

Posté le 25/07/2008 12:20:02

Bonjour a tous,
Je n'ai plus d'alertes pour win32 trojan-gen de la part d'AVAST mais je ne crois pas trop aux miracles et j'ai maintenant une alerte AVAST pour Win32: Rootkit-gen [Rtk].
Quelqu'un aurait-il une solution a m'apporter. Mon PC commence a faire des siennes (je ne peux plus ouvrir mes partitions). Je fais aussi des sauvegardes reguliere de mon pc sur un disque dur externe en utilisant xcopy, connaissez vous un moyen de verifier que ma sauvegarde soit safe / que le disque dur ne soit pas lui aussi contaminer et/ou un moyen de le reparer si contamination il y a.

Merci.

dédétraqué

Posté le 25/07/2008 13:03:48

Salut Aspec

Télécharge Hijackthis V 2.02 sur le bureau :

http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe

- Double clique sur HJTInstall.exe sur le bureau

- Clique sur Install ensuite sur I Accept

- ferme toutes les fenêtres, HJT doit être exécuté seul (tout autre programme fermé).

- lancer HJT et clic sur Do a system scan and save a logfile

Quand le rapport apparaît dans le bloc note, allez dans Edition, puis Sélectionner Tout, le texte est alors sélectionné, retourne dans Edition toujours en laissant le texte sélectionné, et cliquez sur copier.

Dans ta prochaine réponse, faire un clic droit et coller.

Aide : http://forum.telecharger.01net.com/microhebdo/questions-techniques-diverses/t(...)

@++

Aspec

Posté le 25/07/2008 13:54:41

Salut Dedetraque,

Merci pour ton aide, voici le rapport demande:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:51:56, on 25/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\FerrariWallpaper\FerrariWP.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE
C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
C:\Program Files\Acer\VoIP Phone Charger\voip phone charger.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Acer\OrbiCam\CameraAssistant.exe
C:\Program Files\Dassault Systemes\B17\intel_a\code\bin\CATSysDemon.exe
C:\WINDOWS\system32\ElkCtrl.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\j2re1.4.2_15\bin\jusched.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
c:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Program Files\SPYWAREfighter\spftray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\ATnotes\ATnotes.exe
C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Program Files\Acer\Acer VCM\AcerVCM.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\SPYWAREfighter\spfprc.exe
C:\DOCUME~1\Acer\LOCALS~1\Temp\RtkBtMnt.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.autosport.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.fr.acer.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.ferrariworld.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AzMixerSel] C:\Program Files\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ntiMUI] C:\Program Files\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe 0
O4 - HKLM\..\Run: [FerrariWallpaper] C:\WINDOWS\FerrariWallpaper\FerrariWP.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
O4 - HKLM\..\Run: [voip phone charger] "C:\Program Files\Acer\VoIP Phone Charger\voip phone charger.exe"
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechCameraAssistant] C:\Program Files\Acer\OrbiCam\CameraAssistant.exe
O4 - HKLM\..\Run: [LogitechVideo[inspector]] C:\Program Files\Acer\OrbiCam\InstallHelper.exe /inspect
O4 - HKLM\..\Run: [LogitechCameraService(E)] C:\WINDOWS\system32\ElkCtrl.exe /automation
O4 - HKLM\..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp.exe /idle
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\j2re1.4.2_15\bin\jusched.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [spywarefighterguard] C:\Program Files\SPYWAREfighter\spftray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ATnotes.exe] C:\Program Files\ATnotes\ATnotes.exe
O4 - HKCU\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon
O4 - HKCU\..\Run: [kxva] C:\WINDOWS\system32\kxvo.exe
O4 - HKCU\..\Run: [kamsoft] C:\WINDOWS\system32\ckvo.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Acer VCM.lnk = ?
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Envoyer au périphérique &Bluetooth... - c:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_15\bin\npjpi142_15.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_15\bin\npjpi142_15.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6F15128C-E66A-490C-B848-5000B5ABEEAC} (HP Download Manager) - https://h20436.www2.hp.com/ediags/dex/secure/HPDEXAXO.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Backbone Service (BBDemon) - Dassault Systemes - C:\Program Files\Dassault Systemes\B17\intel_a\code\bin\CATSysDemon.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - c:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: Planificateur LiveUpdate automatique - Unknown owner - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SPYWAREfighterRP - SpamFighter APS - C:\Program Files\SPYWAREfighter\spfprc.exe

--
End of file - 11713 bytes

dédétraqué

Posté le 25/07/2008 15:00:57

Salut Aspec

- Télécharge et installe MalwareByte's Anti-Malware http://www.majorgeeks.com/Malwarebytes_Anti-Malware_d5756.html
http://www.malwarebytes.org/mbam/program/mbam-setup.exe

- Mets le à jour

---

- Redémarre en mode sans échec :

Au redémarrage de ton PC tapote sur la touche F8 ou F5 sur l'écran suivant déplace toi avec les flèches de direction et choisis Mode sans échec. Choisis ta session habituelle et non la session Administrateur

---

- Double clique sur le raccourci de MalwareByte's Anti-Malware qui est sur le bureau.
- Sélectionne Exécuter un examen complet si ce n'est pas déjà fait
- clique sur Rechercher

- Une fois le scan terminé, une fenêtre s'ouvre, clique sur sur Ok

- Si MalwareByte's n'a rien détecté, clique sur Ok Un rapport va apparaître ferme-le.

- Si MalwareByte's a détecté des infections, clique sur Afficher les résultats ensuite sur Supprimer la sélection

- Enregistre le rapport sur ton Bureau comme cela il sera plus facile à retrouver, poste ensuite ce rapport avec un nouveau rapport HijackThis.

Note : Si MalwareByte's a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok

Tutoriel pour MalwareByte's ici :
http://www.malekal.com/tutorial_MalwareBytes_AntiMalware.php

@++

dédétraqué

Posté le 27/07/2008 02:05:03

Salut chamalow

Ouvre ton propre poste pour y mettre ton problème et non dans celui d'un autre.

Et ne poste pas de rapport avant qu'on te le demande.

@++

Aspec

Posté le 28/07/2008 09:20:07

Salut Dedetraque,
J'ai fait ce que tu m'as demande et voici:

Le rapport MalwareByte's:

Malwarebytes' Anti-Malware 1.23
Version de la base de données: 990
Windows 5.1.2600 Service Pack 2

10:33:55 26/07/2008
mbam-log-7-26-2008 (10-33-55).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 319075
Temps écoulé: 9 hour(s), 41 minute(s), 42 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kamsoft (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kxva (Worm.OnlineG) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\ckvo.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\fool1.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\kxvo.exe (Worm.OnlineG) -> Quarantined and deleted successfully.

Le rapport hijackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:44:37, on 26/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Dassault Systemes\B17\intel_a\code\bin\CATSysDemon.exe
C:\Program Files\Bonjour\mDNSResponder.exe
c:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\FerrariWallpaper\FerrariWP.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE
C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
C:\Program Files\Acer\VoIP Phone Charger\voip phone charger.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Acer\OrbiCam\CameraAssistant.exe
C:\WINDOWS\system32\ElkCtrl.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Java\j2re1.4.2_15\bin\jusched.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\SPYWAREfighter\spftray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\ATnotes\ATnotes.exe
C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe
C:\Program Files\SPYWAREfighter\spfprc.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Program Files\Acer\Acer VCM\AcerVCM.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\DOCUME~1\Acer\LOCALS~1\Temp\RtkBtMnt.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.autosport.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.fr.acer.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.ferrariworld.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AzMixerSel] C:\Program Files\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ntiMUI] C:\Program Files\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe 0
O4 - HKLM\..\Run: [FerrariWallpaper] C:\WINDOWS\FerrariWallpaper\FerrariWP.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
O4 - HKLM\..\Run: [voip phone charger] "C:\Program Files\Acer\VoIP Phone Charger\voip phone charger.exe"
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechCameraAssistant] C:\Program Files\Acer\OrbiCam\CameraAssistant.exe
O4 - HKLM\..\Run: [LogitechVideo[inspector]] C:\Program Files\Acer\OrbiCam\InstallHelper.exe /inspect
O4 - HKLM\..\Run: [LogitechCameraService(E)] C:\WINDOWS\system32\ElkCtrl.exe /automation
O4 - HKLM\..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp.exe /idle
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\j2re1.4.2_15\bin\jusched.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [spywarefighterguard] C:\Program Files\SPYWAREfighter\spftray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ATnotes.exe] C:\Program Files\ATnotes\ATnotes.exe
O4 - HKCU\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Acer VCM.lnk = ?
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Envoyer au périphérique &Bluetooth... - c:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_15\bin\npjpi142_15.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_15\bin\npjpi142_15.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6F15128C-E66A-490C-B848-5000B5ABEEAC} (HP Download Manager) - https://h20436.www2.hp.com/ediags/dex/secure/HPDEXAXO.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Backbone Service (BBDemon) - Dassault Systemes - C:\Program Files\Dassault Systemes\B17\intel_a\code\bin\CATSysDemon.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - c:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: Planificateur LiveUpdate automatique - Unknown owner - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SPYWAREfighterRP - SpamFighter APS - C:\Program Files\SPYWAREfighter\spfprc.exe

--
End of file - 11600 bytes

Aspec

Posté le 28/07/2008 09:23:00

Re-bonjour Dedetraque,

Depuis vendredi je suis oblige d'utiliser des raccourci pour acceder a mes disques durs, si je clique sur C ou D, windows ouvre une fenetre 'ouvrir avec' et une liste de programmes. J'imagine que c'est lie a l'infection mais est-ce un parametre window qui a ete change et que je peux reparer?

Merci.

dédétraqué

Posté le 28/07/2008 12:31:26

Salut Aspec

Télécharge Flash Disinfector (de sUBs) sur le bureau ici :

http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe

- Ferme toute les applications en cours, branche tous tes supports amovibles (clé USB, disque dur externe, etc..) et démarre-les.

- Double clique sur Flash_Disinfector.exe qui est sur le bureau

- Les icônes vont disparaître, c’est normal et attendue

- Si un rapport est généré en cas d'infection, sauvegarde-le sur le bureau

- Redémarre ton PC

Poste le rapport dans ton prochain poste

@++

Aspec

Posté le 28/07/2008 13:10:20

Salut Dedetraque,

Comme demande j'ai branche mes 2 cle usb + disque dur externe et lance Flash-Disinfector. L'analyse c'est faite et il n'y a pas eu de rapport de cree.

@+

dédétraqué

Posté le 28/07/2008 13:38:09

Salut Aspec

Toujours branché (mes 2 cle usb + disque dur externe)

Télécharge combofix.exe (de sUBs) sur le bureau :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Double clique combofix.exe tape 1 valide par Entrée pour lancer le scan

Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

Combofix est détecté par certains antivirus comme une infection, ne pas en tenir compte, il s'agit d'un faux positif, continue la procédure

@++

Aspec

Posté le 28/07/2008 13:46:33

Salut Dedetraque,

J'ai enregistre et lance ComboFix, et voici le rapport (au fait je n'ai pas eu de choix '1' a faire).

ComboFix 08-07-27.5 - Acer 2008-07-28 13:41:16.1 - FAT32x86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1449 [GMT 2:00]
Endroit: C:\Documents and Settings\Acer\Bureau\ComboFix.exe
* Création d'un nouveau point de restauration

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Autorun.inf
C:\WINDOWS\setup.exe
C:\WINDOWS\system32\drivers\npf.sys
C:\WINDOWS\system32\Packet.dll
C:\WINDOWS\system32\WanPacket.dll
C:\WINDOWS\system32\wpcap.dll
D:\Autorun.inf
F:\Autorun.inf
H:\RECYCLER\desktop.ini

.
((((((((((((((((((((((((((((( Fichiers créés 2008-06-28 to 2008-07-28 ))))))))))))))))))))))))))))))))))))
.

2008-07-25 15:06 . 2008-07-25 15:06 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-07-25 15:06 . 2008-07-25 15:06 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-07-25 15:06 . 2008-07-25 15:06 <REP> d-------- C:\Documents and Settings\Acer\Application Data\Malwarebytes
2008-07-25 15:06 . 2008-07-23 20:09 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-07-25 15:06 . 2008-07-23 20:09 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-07-25 14:53 . 2008-07-25 14:53 <REP> d-------- C:\Program Files\Google
2008-07-25 13:51 . 2008-07-25 13:51 <REP> d-------- C:\Program Files\Trend Micro
2008-07-24 11:51 . 2008-07-24 11:51 <REP> d--hs---- C:\FOUND.001
2008-07-24 11:27 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-07-24 11:27 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-07-24 11:27 . 2008-05-29 09:35 86,528 --a------ C:\WINDOWS\system32\VACFix.exe
2008-07-24 11:27 . 2008-05-18 21:40 82,944 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-07-24 11:27 . 2008-07-02 13:33 82,432 --a------ C:\WINDOWS\system32\IEDFix.C.exe
2008-07-24 11:27 . 2008-05-23 18:21 81,920 --a------ C:\WINDOWS\system32\404Fix.exe
2008-07-24 11:27 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-07-24 11:27 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-07-24 11:27 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-07-24 11:27 . 2008-07-24 11:28 5,338 --a------ C:\WINDOWS\system32\tmp.reg
2008-07-24 10:39 . 2008-07-24 10:39 77,312 -r-hs---- C:\WINDOWS\system32\ckvo1.dll
2008-07-23 16:22 . 2008-07-23 16:22 <REP> d-------- C:\Program Files\Fichiers communs\Application
2008-07-23 16:21 . 2008-07-23 16:21 <REP> d-------- C:\Program Files\SPYWAREfighter
2008-07-21 14:05 . 2008-07-21 14:05 <REP> d-------- C:\Program Files\Alwil Software
2008-07-10 09:17 . 2008-07-10 09:17 244 --ah----- C:\sqmnoopt19.sqm
2008-07-10 09:17 . 2008-07-10 09:17 232 --ah----- C:\sqmdata19.sqm
2008-07-09 08:18 . 2008-07-09 08:18 244 --ah----- C:\sqmnoopt18.sqm
2008-07-09 08:18 . 2008-07-09 08:18 232 --ah----- C:\sqmdata18.sqm
2008-07-08 09:19 . 2008-07-08 09:19 244 --ah----- C:\sqmnoopt17.sqm
2008-07-08 09:19 . 2008-07-08 09:19 232 --ah----- C:\sqmdata17.sqm
2008-07-07 13:03 . 2008-07-07 13:03 244 --ah----- C:\sqmnoopt16.sqm
2008-07-07 13:03 . 2008-07-07 13:03 232 --ah----- C:\sqmdata16.sqm
2008-07-04 21:35 . 2008-07-04 21:35 244 --ah----- C:\sqmnoopt15.sqm
2008-07-04 21:35 . 2008-07-04 21:35 232 --ah----- C:\sqmdata15.sqm
2008-07-04 09:22 . 2008-07-04 09:22 244 --ah----- C:\sqmnoopt14.sqm
2008-07-04 09:22 . 2008-07-04 09:22 232 --ah----- C:\sqmdata14.sqm
2008-07-04 09:17 . 2008-07-04 09:17 <REP> d-------- C:\WINDOWS\system32\LogFiles
2008-07-03 12:13 . 2008-07-03 12:13 244 --ah----- C:\sqmnoopt13.sqm
2008-07-03 12:13 . 2008-07-03 12:13 232 --ah----- C:\sqmdata13.sqm
2008-07-01 08:57 . 2008-07-01 09:05 268 --a------ C:\WINDOWS\spa.ini
2008-07-01 08:47 . 2008-07-01 08:47 244 --ah----- C:\sqmnoopt12.sqm
2008-07-01 08:47 . 2008-07-01 08:47 232 --ah----- C:\sqmdata12.sqm
2008-06-30 09:09 . 2008-06-30 09:09 244 --ah----- C:\sqmnoopt11.sqm
2008-06-30 09:09 . 2008-06-30 09:09 232 --ah----- C:\sqmdata11.sqm
2008-06-29 14:32 . 2008-06-29 14:32 244 --ah----- C:\sqmnoopt10.sqm
2008-06-29 14:32 . 2008-06-29 14:32 232 --ah----- C:\sqmdata10.sqm
2008-06-28 14:20 . 2008-06-28 14:20 <REP> d-------- C:\Program Files\uTorrent
2008-06-28 14:19 . 2008-06-28 14:19 <REP> d-------- C:\Documents and Settings\Acer\Application Data\uTorrent

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-28 10:59 11,954 ----a-w C:\Documents and Settings\Acer\Application Data\wklnhst.dat
2008-06-20 17:41 247,808 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-06-20 17:41 247,808 ----a-w C:\WINDOWS\system32\dllcache\mswsock.dll
2008-06-20 17:41 148,992 ----a-w C:\WINDOWS\system32\dllcache\dnsapi.dll
2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\dllcache\tcpip.sys
2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\dllcache\afd.sys
2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\dllcache\tcpip6.sys
2008-06-19 15:37 --------- d-----w C:\Documents and Settings\Acer\Application Data\CyberLink
2008-06-14 17:59 272,768 ----a-w C:\WINDOWS\system32\drivers\bthport.sys
2008-06-14 17:59 272,768 ----a-w C:\WINDOWS\system32\dllcache\bthport.sys
2008-06-09 15:24 --------- d-----w C:\Program Files\Fichiers communs\HP
2008-06-09 15:24 --------- d-----w C:\Documents and Settings\All Users\Application Data\HP
2008-06-09 15:23 --------- d-----w C:\Program Files\Hewlett-Packard
2008-06-09 15:22 --------- d-----w C:\Program Files\Fichiers communs\Hewlett-Packard
2008-06-09 15:19 --------- d-----w C:\Program Files\HP
2008-06-09 13:42 --------- d-----w C:\Documents and Settings\Acer\Application Data\HP
2008-06-09 12:02 245,760 ----a-w C:\WINDOWS\system32\DigTCPIp32.dll
2008-06-08 16:55 --------- d-----w C:\Program Files\SAGEM
2008-06-08 16:54 --------- d-----w C:\Program Files\Securitoo
2008-06-06 15:00 --------- d-----w C:\Program Files\Java
2008-06-06 14:59 --------- d-----w C:\Program Files\Fichiers communs\Java
2008-06-06 07:45 81,987 ------w C:\WINDOWS\system32\AUCPLMNT.DLL
2008-06-05 09:15 191,488 ----a-w C:\WINDOWS\system32\hlvdd.dll
2008-06-05 09:09 --------- d-----w C:\Program Files\FD
2008-06-05 09:04 --------- d-----w C:\Documents and Settings\Acer\Application Data\AdobeUM
2008-06-05 07:19 --------- d-----w C:\Program Files\Dassault Systemes
2008-06-05 07:18 --------- d-----w C:\Documents and Settings\Acer\Application Data\DassaultSystemes
2008-06-05 07:14 --------- d-----w C:\Documents and Settings\Acer\Application Data\MathWorks
2008-06-05 06:24 --------- d-----w C:\Program Files\Microsoft CAPICOM 2.1.0.2
2008-06-04 16:30 --------- d-----w C:\Program Files\SLD Codec Pack
2008-06-04 16:29 --------- d-----w C:\Program Files\Free iPod Video Converter
2008-06-04 16:29 --------- d-----w C:\Program Files\AviSynth 2.5
2008-06-04 16:27 --------- d-----w C:\Documents and Settings\Acer\Application Data\Sony
2008-06-04 16:26 --------- d-----w C:\Program Files\MSXML 4.0
2008-06-04 16:24 --------- d-----w C:\Program Files\MSECache
2008-06-04 16:22 --------- d-----w C:\Program Files\ATnotes
2008-06-04 16:16 --------- d-----w C:\Program Files\Sony Ericsson
2008-06-04 16:16 --------- d-----w C:\Program Files\Avanquest update
2008-06-04 16:16 --------- d-----w C:\Documents and Settings\Acer\Application Data\InstallShield
2008-06-04 16:09 --------- d-sh--w C:\Program Files\Fichiers communs\WindowsLiveInstaller
2008-06-04 16:09 --------- d-----w C:\Program Files\Windows Live
2008-06-04 16:07 --------- d-----w C:\Program Files\Fichiers communs\Autodesk Shared
2008-06-04 16:07 --------- d-----w C:\Program Files\ACAD2000
2008-06-04 16:03 148,480 ----a-w C:\WINDOWS\fsivba.dll
2008-06-04 16:02 495,616 ----a-w C:\WINDOWS\system32\HEIDIW.DLL
2008-06-04 16:02 45,056 ----a-w C:\WINDOWS\system32\MTSTACK.EXE
2008-06-04 16:02 413,696 ----a-w C:\WINDOWS\system32\REGACAD.DLL
2008-06-04 16:02 303,104 ----a-w C:\WINDOWS\system32\ACADFICN.DLL
2008-06-04 16:02 28,672 ----a-w C:\WINDOWS\system32\MTLW.DLL
2008-06-04 16:02 28,672 ----a-w C:\WINDOWS\system32\ADRESC.DLL
2008-06-04 16:02 24,576 ----a-w C:\WINDOWS\system32\TEXTUREW.DLL
2008-06-04 16:02 24,576 ----a-w C:\WINDOWS\system32\HDIMON.DLL
2008-06-04 16:02 237,568 ----a-w C:\WINDOWS\system32\WHIPTKW.DLL
2008-06-04 16:02 106,496 ----a-w C:\WINDOWS\system32\DLLONGW.DLL
2008-06-04 15:55 --------- d-----w C:\Program Files\iTunes
2008-06-04 15:55 --------- d-----w C:\Program Files\iPod
2008-06-04 15:55 --------- d-----w C:\Documents and Settings\Acer\Application Data\Apple Computer
2008-06-04 15:54 --------- d-----w C:\Program Files\QuickTime
2008-06-04 15:54 --------- d-----w C:\Program Files\Bonjour
2008-06-04 15:54 --------- d-----w C:\Program Files\Apple Software Update
2008-06-04 15:53 --------- d-----w C:\Program Files\Fichiers communs\Apple
2008-06-04 13:15 --------- d-----w C:\Documents and Settings\All Users\Application Data\WLInstaller
2008-06-04 13:15 --------- d-----w C:\Documents and Settings\All Users\Application Data\NCH Software
2008-06-04 13:15 --------- d-----w C:\Documents and Settings\All Users\Application Data\DassaultSystemes
2008-06-04 13:15 --------- d-----w C:\Documents and Settings\All Users\Application Data\CyberLink
2008-06-04 13:15 --------- d-----w C:\Documents and Settings\All Users\Application Data\BitDefender
2008-06-04 13:15 --------- d-----w C:\Documents and Settings\All Users\Application Data\Ahead
2008-06-04 13:14 --------- d-----w C:\Documents and Settings\All Users\Application Data\Sony Ericsson
2008-06-04 13:14 --------- d-----w C:\Documents and Settings\All Users\Application Data\BVRP Software
2008-06-04 13:14 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple
2008-06-04 13:13 --------- d-----w C:\Documents and Settings\All Users\Application Data\Sony
2008-06-04 13:13 --------- d-----w C:\Documents and Settings\All Users\Application Data\Hewlett-Packard
2008-06-04 13:13 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple Computer
2008-06-04 09:11 --------- d-----w C:\Documents and Settings\All Users\Application Data\Yahoo! Companion
2008-06-03 07:50 --------- d-----w C:\Program Files\Microsoft.NET
2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\dllcache\rmcast.sys
2008-05-07 05:15 1,293,824 ----a-w C:\WINDOWS\system32\quartz.dll
2008-05-07 05:15 1,293,824 ----a-w C:\WINDOWS\system32\dllcache\quartz.dll
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 05:00 15360]
"ATnotes.exe"="C:\Program Files\ATnotes\ATnotes.exe" [2005-01-05 15:45 1015808]
"Sony Ericsson PC Suite"="C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" [2008-02-20 17:19 360448]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATICCC"="C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 17:41 45056]
"AzMixerSel"="C:\Program Files\Realtek\InstallShield\AzMixerSel.exe" [2006-01-25 18:45 53248]
"SynTPLpr"="C:\Program Files\Synaptics\SynTP\SynTPLpr.exe" [2005-01-07 16:17 102491]
"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2005-01-07 16:16 692315]
"ntiMUI"="C:\Program Files\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe" [2005-05-11 17:15 45056]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" [2004-08-05 05:00 208952]
"MSPY2002"="C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-05 05:00 59392]
"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 05:00 455168]
"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 05:00 455168]
"FerrariWallpaper"="C:\WINDOWS\FerrariWallpaper\FerrariWP.exe" [2005-01-24 17:27 45056]
"RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2004-11-02 20:24 32768]
"LManager"="C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE" [2006-06-01 14:37 471040]
"eRecoveryService"="C:\Acer\Empowering Technology\eRecovery\eRAgent.exe" [2006-06-01 14:40 413696]
"voip phone charger"="C:\Program Files\Acer\VoIP Phone Charger\voip phone charger.exe" [2006-01-10 17:46 32768]
"LVCOMSX"="C:\WINDOWS\system32\LVCOMSX.EXE" [2006-04-06 19:22 225280]
"LogitechCameraAssistant"="C:\Program Files\Acer\OrbiCam\CameraAssistant.exe" [2006-04-06 19:00 331776]
"LogitechVideo[inspector]"="C:\Program Files\Acer\OrbiCam\InstallHelper.exe" [2006-04-06 19:06 73728]
"LogitechCameraService(E)"="C:\WINDOWS\system32\ElkCtrl.exe" [2004-11-01 18:22 262144]
"WarReg_PopUp"="C:\Acer\WR_PopUp\WarReg_PopUp.exe" [2006-09-23 13:08 61440]
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2008-03-28 23:37 413696]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2008-03-30 10:36 267048]
"SunJavaUpdateSched"="C:\Program Files\Java\j2re1.4.2_15\bin\jusched.exe" [2007-05-22 17:39 32881]
"HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd2.exe" [2005-05-11 23:12 49152]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-07-19 16:38 78008]
"spywarefighterguard"="C:\Program Files\SPYWAREfighter\spftray.exe" [2008-02-21 15:37 115344]
"RTHDCPL"="RTHDCPL.EXE" [2006-06-28 14:54 16248320 C:\WINDOWS\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2006-05-16 18:04 2879488 C:\WINDOWS\SkyTel.exe]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-05 05:00 110592 C:\WINDOWS\system32\bthprops.cpl]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 05:00 15360]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Adobe Reader Speed Launch.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 04:44:06 29696]
BTTray.lnk - C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe [2006-01-17 10:45:32 618557]
Acer VCM.lnk - C:\Program Files\Acer\Acer VCM\AcerVCM.exe [2008-05-27 17:28:59 385024]
HP Digital Imaging Monitor.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe [2005-05-11 23:23:26 282624]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3acm"= l3codecp.acm

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"C:\\Program Files\\iTunes\\iTunes.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\MsnMsgr.Exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"C:\\Program Files\\uTorrent\\uTorrent.exe"=
"C:\\Program Files\\FD\\FindDevs.exe"=

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 16:35]
R1 LUMDriver;LUMDriver;C:\WINDOWS\system32\drivers\LUMDriver.sys [2008-03-28 12:26]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 16:37]
R2 BBDemon;Backbone Service;C:\Program Files\Dassault Systemes\B17\intel_a\code\bin\CATSysDemon.exe [2006-04-29 07:32]
R3 int15.sys;int15.sys;C:\Acer\Empowering Technology\eRecovery\int15.sys [2005-01-13 14:46]
R3 lv321av;Logitech USB PC Camera (VC0321);C:\WINDOWS\system32\DRIVERS\lv321av.sys [2006-04-05 12:46]
R3 LVPrcMon;Logitech LVPrcMon Driver;C:\WINDOWS\system32\drivers\LVPrcMon.sys [2006-04-06 19:30]
R3 SpyFighter;SpyFighter Guard Device;C:\Program Files\SPYWAREfighter\spyfighter.sys [2008-02-21 15:38]
R3 SPYWAREfighterRP;SPYWAREfighterRP;C:\Program Files\SPYWAREfighter\spfprc.exe [2008-02-21 15:37]
R3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-05 05:00]
S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 22:58]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F]
\Shell\AutoRun\command - F:\g2pfnid.com
\Shell\explore\Command - F:\g2pfnid.com
\Shell\open\Command - F:\g2pfnid.com

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6aab003c-5641-11dd-b5b4-001b24487b53}]
\Shell\AutoRun\command - F:\bhbcdd29.exe
\Shell\explore\Command - F:\bhbcdd29.exe
\Shell\open\Command - F:\bhbcdd29.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9f9de97e-3221-11dd-b566-001b24487b53}]
\Shell\AutoRun\command - g2pfnid.com
\Shell\explore\Command - g2pfnid.com
\Shell\open\Command - g2pfnid.com

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9f9de97f-3221-11dd-b566-001b24487b53}]
\Shell\AutoRun\command - F:\bhbcdd29.exe
\Shell\explore\Command - F:\bhbcdd29.exe
\Shell\open\Command - F:\bhbcdd29.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a2d8aa46-2087-11db-a013-00163647d50c}]
\Shell\AutoRun\command - F:\AUTORUN\AUTORUN.EXE

*Newly Created Service* - ASWFSBLK
*Newly Created Service* - ASWSP
*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
- - - - ORPHANS REMOVED - - - -

HKLM-Run-eDataSecurity Loader - C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
HKLM-Run-LaunchApp - (no file)

.
------- Supplementary Scan -------
.
R0 -: HKCU-Main,Start Page = hxxp://www.autosport.com/
R0 -: HKCU-Main,SearchMigratedDefaultURL = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
R0 -: HKLM-Main,Start Page = hxxp://fr.fr.acer.yahoo.com
R1 -: HKCU-Internet Connection Wizard,ShellNext = hxxp://www.ferrariworld.com/
R1 -: HKCU-Internet Settings,ProxyOverride = *.local
O8 -: E&xporter vers Microsoft Excel - C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O8 -: Envoyer au périphérique &Bluetooth... - c:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-28 13:43:32
Windows 5.1.2600 Service Pack 2 FAT NTAPI

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
Temps d'accomplissement: 2008-07-28 13:44:10
ComboFix-quarantined-files.txt 2008-07-28 11:44:08

Pre-Run: 13,610,549,248 octets libres
Post-Run: 14,941,323,264 octets libres

284 --- E O F --- 2008-07-10 07:14:18

dédétraqué

Posté le 28/07/2008 14:12:30

Salut Aspec

Toujours branché (mes 2 cle usb + disque dur externe)

- Clique sur le menu démarrer/Exécuter, tape notepad à l’invite de commande et OK.

- Copie/colle ce qui est en citation ci-dessous dans le Bloc-Notes :

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6aab003c-5641-11dd-b5b4-001b24487b53}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9f9de97e-3221-11dd-b566-001b24487b53}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9f9de97f-3221-11dd-b566-001b24487b53}]

Folder::
C:\FOUND.001\

File::
C:\WINDOWS\system32\ckvo1.dll
F:\g2pfnid.com
F:\bhbcdd29.exe

- Enregistre ce fichier sur le bureau (Impératif)

-Nom du fichier : CFScript.txt
-Type du fichier : tous les fichiers

- Clique sur Enregistrer et quitte le Bloc Notes

- Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe sur le bureau, comme sur cette capture :

< inclued picture >

* Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort), tape 1 puis valide.
* Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
* Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Et maintenant tes disques durs, es-tu capable de les ouvrir par double clique?
Avec ce rapport, poste moi un nouveau rapport HijackThis

@++

Aspec

Posté le 28/07/2008 14:22:47

Salut Dedetraque,

J'ai bien suivi ta demarche et voici le rapport qui a ete cree:

Nota: je peux ouvrir mes disques dur normallement a nouveau. Sinon je n'ai pas eu cette fois non plus le choix que tu decrit au lancement de ComboFix.

@+

ComboFix 08-07-27.5 - Acer 2008-07-28 14:17:19.2 - FAT32x86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1431 [GMT 2:00]
Endroit: C:\Documents and Settings\Acer\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\Acer\Bureau\CFScript.txt
* Création d'un nouveau point de restauration

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

FILE ::
C:\WINDOWS\system32\ckvo1.dll
F:\bhbcdd29.exe
F:\g2pfnid.com
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\FOUND.001\
C:\FOUND.001\\FILE0000.CHK
C:\FOUND.001\\FILE0001.CHK
C:\FOUND.001\\FILE0002.CHK
C:\FOUND.001\\FILE0003.CHK
C:\FOUND.001\\FILE0004.CHK
C:\FOUND.001\\FILE0005.CHK
C:\WINDOWS\system32\ckvo1.dll

.
((((((((((((((((((((((((((((( Fichiers créés 2008-06-28 to 2008-07-28 ))))))))))))))))))))))))))))))))))))
.

2008-07-25 15:06 . 2008-07-25 15:06 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-07-25 15:06 . 2008-07-25 15:06 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-07-25 15:06 . 2008-07-25 15:06 <REP> d-------- C:\Documents and Settings\Acer\Application Data\Malwarebytes
2008-07-25 15:06 . 2008-07-23 20:09 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-07-25 15:06 . 2008-07-23 20:09 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-07-25 14:53 . 2008-07-25 14:53 <REP> d-------- C:\Program Files\Google
2008-07-25 13:51 . 2008-07-25 13:51 <REP> d-------- C:\Program Files\Trend Micro
2008-07-24 11:27 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-07-24 11:27 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-07-24 11:27 . 2008-05-29 09:35 86,528 --a------ C:\WINDOWS\system32\VACFix.exe
2008-07-24 11:27 . 2008-05-18 21:40 82,944 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-07-24 11:27 . 2008-07-02 13:33 82,432 --a------ C:\WINDOWS\system32\IEDFix.C.exe
2008-07-24 11:27 . 2008-05-23 18:21 81,920 --a------ C:\WINDOWS\system32\404Fix.exe
2008-07-24 11:27 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-07-24 11:27 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-07-24 11:27 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-07-24 11:27 . 2008-07-24 11:28 5,338 --a------ C:\WINDOWS\system32\tmp.reg
2008-07-23 16:22 . 2008-07-23 16:22 <REP> d-------- C:\Program Files\Fichiers communs\Application
2008-07-23 16:21 . 2008-07-23 16:21 <REP> d-------- C:\Program Files\SPYWAREfighter
2008-07-21 14:05 . 2008-07-21 14:05 <REP> d-------- C:\Program Files\Alwil Software
2008-07-10 09:17 . 2008-07-10 09:17 244 --ah----- C:\sqmnoopt19.sqm
2008-07-10 09:17 . 2008-07-10 09:17 232 --ah----- C:\sqmdata19.sqm
2008-07-09 08:18 . 2008-07-09 08:18 244 --ah----- C:\sqmnoopt18.sqm
2008-07-09 08:18 . 2008-07-09 08:18 232 --ah----- C:\sqmdata18.sqm
2008-07-08 09:19 . 2008-07-08 09:19 244 --ah----- C:\sqmnoopt17.sqm
2008-07-08 09:19 . 2008-07-08 09:19 232 --ah----- C:\sqmdata17.sqm
2008-07-07 13:03 . 2008-07-07 13:03 244 --ah----- C:\sqmnoopt16.sqm
2008-07-07 13:03 . 2008-07-07 13:03 232 --ah----- C:\sqmdata16.sqm
2008-07-04 21:35 . 2008-07-04 21:35 244 --ah----- C:\sqmnoopt15.sqm
2008-07-04 21:35 . 2008-07-04 21:35 232 --ah----- C:\sqmdata15.sqm
2008-07-04 09:22 . 2008-07-04 09:22 244 --ah----- C:\sqmnoopt14.sqm
2008-07-04 09:22 . 2008-07-04 09:22 232 --ah----- C:\sqmdata14.sqm
2008-07-04 09:17 . 2008-07-04 09:17 <REP> d-------- C:\WINDOWS\system32\LogFiles
2008-07-03 12:13 . 2008-07-03 12:13 244 --ah----- C:\sqmnoopt13.sqm
2008-07-03 12:13 . 2008-07-03 12:13 232 --ah----- C:\sqmdata13.sqm
2008-07-01 08:57 . 2008-07-01 09:05 268 --a------ C:\WINDOWS\spa.ini
2008-07-01 08:47 . 2008-07-01 08:47 244 --ah----- C:\sqmnoopt12.sqm
2008-07-01 08:47 . 2008-07-01 08:47 232 --ah----- C:\sqmdata12.sqm
2008-06-30 09:09 . 2008-06-30 09:09 244 --ah----- C:\sqmnoopt11.sqm
2008-06-30 09:09 . 2008-06-30 09:09 232 --ah----- C:\sqmdata11.sqm
2008-06-29 14:32 . 2008-06-29 14:32 244 --ah----- C:\sqmnoopt10.sqm
2008-06-29 14:32 . 2008-06-29 14:32 232 --ah----- C:\sqmdata10.sqm
2008-06-28 14:20 . 2008-06-28 14:20 <REP> d-------- C:\Program Files\uTorrent
2008-06-28 14:19 . 2008-06-28 14:19 <REP> d-------- C:\Documents and Settings\Acer\Application Data\uTorrent

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-28 10:59 11,954 ----a-w C:\Documents and Settings\Acer\Application Data\wklnhst.dat
2008-06-20 17:41 247,808 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-06-20 17:41 247,808 ----a-w C:\WINDOWS\system32\dllcache\mswsock.dll
2008-06-20 17:41 148,992 ----a-w C:\WINDOWS\system32\dllcache\dnsapi.dll
2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\dllcache\tcpip.sys
2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\dllcache\afd.sys
2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\dllcache\tcpip6.sys
2008-06-19 15:37 --------- d-----w C:\Documents and Settings\Acer\Application Data\CyberLink
2008-06-14 17:59 272,768 ----a-w C:\WINDOWS\system32\drivers\bthport.sys
2008-06-14 17:59 272,768 ----a-w C:\WINDOWS\system32\dllcache\bthport.sys
2008-06-09 15:24 --------- d-----w C:\Program Files\Fichiers communs\HP
2008-06-09 15:24 --------- d-----w C:\Documents and Settings\All Users\Application Data\HP
2008-06-09 15:23 --------- d-----w C:\Program Files\Hewlett-Packard
2008-06-09 15:22 --------- d-----w C:\Program Files\Fichiers communs\Hewlett-Packard
2008-06-09 15:19 --------- d-----w C:\Program Files\HP
2008-06-09 13:42 --------- d-----w C:\Documents and Settings\Acer\Application Data\HP
2008-06-09 12:02 245,760 ----a-w C:\WINDOWS\system32\DigTCPIp32.dll
2008-06-08 16:55 --------- d-----w C:\Program Files\SAGEM
2008-06-08 16:54 --------- d-----w C:\Program Files\Securitoo
2008-06-06 15:00 --------- d-----w C:\Program Files\Java
2008-06-06 14:59 --------- d-----w C:\Program Files\Fichiers communs\Java
2008-06-06 07:45 81,987 ------w C:\WINDOWS\system32\AUCPLMNT.DLL
2008-06-05 09:15 191,488 ----a-w C:\WINDOWS\system32\hlvdd.dll
2008-06-05 09:09 --------- d-----w C:\Program Files\FD
2008-06-05 09:04 --------- d-----w C:\Documents and Settings\Acer\Application Data\AdobeUM
2008-06-05 07:19 --------- d-----w C:\Program Files\Dassault Systemes
2008-06-05 07:18 --------- d-----w C:\Documents and Settings\Acer\Application Data\DassaultSystemes
2008-06-05 07:14 --------- d-----w C:\Documents and Settings\Acer\Application Data\MathWorks
2008-06-05 06:24 --------- d-----w C:\Program Files\Microsoft CAPICOM 2.1.0.2
2008-06-04 16:30 --------- d-----w C:\Program Files\SLD Codec Pack
2008-06-04 16:29 --------- d-----w C:\Program Files\Free iPod Video Converter
2008-06-04 16:29 --------- d-----w C:\Program Files\AviSynth 2.5
2008-06-04 16:27 --------- d-----w C:\Documents and Settings\Acer\Application Data\Sony
2008-06-04 16:26 --------- d-----w C:\Program Files\MSXML 4.0
2008-06-04 16:24 --------- d-----w C:\Program Files\MSECache
2008-06-04 16:22 --------- d-----w C:\Program Files\ATnotes
2008-06-04 16:16 --------- d-----w C:\Program Files\Sony Ericsson
2008-06-04 16:16 --------- d-----w C:\Program Files\Avanquest update
2008-06-04 16:16 --------- d-----w C:\Documents and Settings\Acer\Application Data\InstallShield
2008-06-04 16:09 --------- d-sh--w C:\Program Files\Fichiers communs\WindowsLiveInstaller
2008-06-04 16:09 --------- d-----w C:\Program Files\Windows Live
2008-06-04 16:07 --------- d-----w C:\Program Files\Fichiers communs\Autodesk Shared
2008-06-04 16:07 --------- d-----w C:\Program Files\ACAD2000
2008-06-04 16:03 148,480 ----a-w C:\WINDOWS\fsivba.dll
2008-06-04 16:02 495,616 ----a-w C:\WINDOWS\system32\HEIDIW.DLL
2008-06-04 16:02 45,056 ----a-w C:\WINDOWS\system32\MTSTACK.EXE
2008-06-04 16:02 413,696 ----a-w C:\WINDOWS\system32\REGACAD.DLL
2008-06-04 16:02 303,104 ----a-w C:\WINDOWS\system32\ACADFICN.DLL
2008-06-04 16:02 28,672 ----a-w C:\WINDOWS\system32\MTLW.DLL
2008-06-04 16:02 28,672 ----a-w C:\WINDOWS\system32\ADRESC.DLL
2008-06-04 16:02 24,576 ----a-w C:\WINDOWS\system32\TEXTUREW.DLL
2008-06-04 16:02 24,576 ----a-w C:\WINDOWS\system32\HDIMON.DLL
2008-06-04 16:02 237,568 ----a-w C:\WINDOWS\system32\WHIPTKW.DLL
2008-06-04 16:02 106,496 ----a-w C:\WINDOWS\system32\DLLONGW.DLL
2008-06-04 15:55 --------- d-----w C:\Program Files\iTunes
2008-06-04 15:55 --------- d-----w C:\Program Files\iPod
2008-06-04 15:55 --------- d-----w C:\Documents and Settings\Acer\Application Data\Apple Computer
2008-06-04 15:54 --------- d-----w C:\Program Files\QuickTime
2008-06-04 15:54 --------- d-----w C:\Program Files\Bonjour
2008-06-04 15:54 --------- d-----w C:\Program Files\Apple Software Update
2008-06-04 15:53 --------- d-----w C:\Program Files\Fichiers communs\Apple
2008-06-04 13:15 --------- d-----w C:\Documents and Settings\All Users\Application Data\WLInstaller
2008-06-04 13:15 --------- d-----w C:\Documents and Settings\All Users\Application Data\NCH Software
2008-06-04 13:15 --------- d-----w C:\Documents and Settings\All Users\Application Data\DassaultSystemes
2008-06-04 13:15 --------- d-----w C:\Documents and Settings\All Users\Application Data\CyberLink
2008-06-04 13:15 --------- d-----w C:\Documents and Settings\All Users\Application Data\BitDefender
2008-06-04 13:15 --------- d-----w C:\Documents and Settings\All Users\Application Data\Ahead
2008-06-04 13:14 --------- d-----w C:\Documents and Settings\All Users\Application Data\Sony Ericsson
2008-06-04 13:14 --------- d-----w C:\Documents and Settings\All Users\Application Data\BVRP Software
2008-06-04 13:14 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple
2008-06-04 13:13 --------- d-----w C:\Documents and Settings\All Users\Application Data\Sony
2008-06-04 13:13 --------- d-----w C:\Documents and Settings\All Users\Application Data\Hewlett-Packard
2008-06-04 13:13 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple Computer
2008-06-04 09:11 --------- d-----w C:\Documents and Settings\All Users\Application Data\Yahoo! Companion
2008-06-03 07:50 --------- d-----w C:\Program Files\Microsoft.NET
2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\dllcache\rmcast.sys
2008-05-07 05:15 1,293,824 ----a-w C:\WINDOWS\system32\quartz.dll
2008-05-07 05:15 1,293,824 ----a-w C:\WINDOWS\system32\dllcache\quartz.dll
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 05:00 15360]
"ATnotes.exe"="C:\Program Files\ATnotes\ATnotes.exe" [2005-01-05 15:45 1015808]
"Sony Ericsson PC Suite"="C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" [2008-02-20 17:19 360448]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATICCC"="C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 17:41 45056]
"AzMixerSel"="C:\Program Files\Realtek\InstallShield\AzMixerSel.exe" [2006-01-25 18:45 53248]
"SynTPLpr"="C:\Program Files\Synaptics\SynTP\SynTPLpr.exe" [2005-01-07 16:17 102491]
"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2005-01-07 16:16 692315]
"ntiMUI"="C:\Program Files\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe" [2005-05-11 17:15 45056]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" [2004-08-05 05:00 208952]
"MSPY2002"="C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-05 05:00 59392]
"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 05:00 455168]
"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 05:00 455168]
"FerrariWallpaper"="C:\WINDOWS\FerrariWallpaper\FerrariWP.exe" [2005-01-24 17:27 45056]
"RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2004-11-02 20:24 32768]
"LManager"="C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE" [2006-06-01 14:37 471040]
"eRecoveryService"="C:\Acer\Empowering Technology\eRecovery\eRAgent.exe" [2006-06-01 14:40 413696]
"voip phone charger"="C:\Program Files\Acer\VoIP Phone Charger\voip phone charger.exe" [2006-01-10 17:46 32768]
"LVCOMSX"="C:\WINDOWS\system32\LVCOMSX.EXE" [2006-04-06 19:22 225280]
"LogitechCameraAssistant"="C:\Program Files\Acer\OrbiCam\CameraAssistant.exe" [2006-04-06 19:00 331776]
"LogitechVideo[inspector]"="C:\Program Files\Acer\OrbiCam\InstallHelper.exe" [2006-04-06 19:06 73728]
"LogitechCameraService(E)"="C:\WINDOWS\system32\ElkCtrl.exe" [2004-11-01 18:22 262144]
"WarReg_PopUp"="C:\Acer\WR_PopUp\WarReg_PopUp.exe" [2006-09-23 13:08 61440]
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2008-03-28 23:37 413696]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2008-03-30 10:36 267048]
"SunJavaUpdateSched"="C:\Program Files\Java\j2re1.4.2_15\bin\jusched.exe" [2007-05-22 17:39 32881]
"HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd2.exe" [2005-05-11 23:12 49152]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-07-19 16:38 78008]
"spywarefighterguard"="C:\Program Files\SPYWAREfighter\spftray.exe" [2008-02-21 15:37 115344]
"RTHDCPL"="RTHDCPL.EXE" [2006-06-28 14:54 16248320 C:\WINDOWS\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2006-05-16 18:04 2879488 C:\WINDOWS\SkyTel.exe]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-05 05:00 110592 C:\WINDOWS\system32\bthprops.cpl]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 05:00 15360]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Adobe Reader Speed Launch.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 04:44:06 29696]
BTTray.lnk - C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe [2006-01-17 10:45:32 618557]
Acer VCM.lnk - C:\Program Files\Acer\Acer VCM\AcerVCM.exe [2008-05-27 17:28:59 385024]
HP Digital Imaging Monitor.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe [2005-05-11 23:23:26 282624]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3acm"= l3codecp.acm

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"C:\\Program Files\\iTunes\\iTunes.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\MsnMsgr.Exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"C:\\Program Files\\uTorrent\\uTorrent.exe"=
"C:\\Program Files\\FD\\FindDevs.exe"=

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 16:35]
R1 LUMDriver;LUMDriver;C:\WINDOWS\system32\drivers\LUMDriver.sys [2008-03-28 12:26]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 16:37]
R2 BBDemon;Backbone Service;C:\Program Files\Dassault Systemes\B17\intel_a\code\bin\CATSysDemon.exe [2006-04-29 07:32]
R3 int15.sys;int15.sys;C:\Acer\Empowering Technology\eRecovery\int15.sys [2005-01-13 14:46]
R3 lv321av;Logitech USB PC Camera (VC0321);C:\WINDOWS\system32\DRIVERS\lv321av.sys [2006-04-05 12:46]
R3 LVPrcMon;Logitech LVPrcMon Driver;C:\WINDOWS\system32\drivers\LVPrcMon.sys [2006-04-06 19:30]
R3 SpyFighter;SpyFighter Guard Device;C:\Program Files\SPYWAREfighter\spyfighter.sys [2008-02-21 15:38]
R3 SPYWAREfighterRP;SPYWAREfighterRP;C:\Program Files\SPYWAREfighter\spfprc.exe [2008-02-21 15:37]
R3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-05 05:00]
S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 22:58]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a2d8aa46-2087-11db-a013-00163647d50c}]
\Shell\AutoRun\command - F:\AUTORUN\AUTORUN.EXE

*Newly Created Service* - ASWFSBLK
*Newly Created Service* - ASWSP
*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-28 14:18:35
Windows 5.1.2600 Service Pack 2 FAT NTAPI

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
Temps d'accomplissement: 2008-07-28 14:19:08
ComboFix-quarantined-files.txt 2008-07-28 12:19:06
ComboFix2.txt 2008-07-28 11:44:12

Pre-Run: 14,884,143,104 octets libres
Post-Run: 14,911,275,008 octets libres

258 --- E O F --- 2008-07-10 07:14:18

dédétraqué

Posté le 28/07/2008 14:45:20

Salut Aspec

Poste moi un nouveau rapport HijackThis SVP

@++

Aspec

Posté le 28/07/2008 15:05:32

Salut Dedetraque,

Voici le nouveau rapport demande:

Merci

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:05:00, on 28/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spool