01net    Web


Actuellement en ligne : 432 Utilisateurs dont 45 dans Sécurité, virus et assimilés >S'inscrire      >S'identifier      >Recherche      >Aide  
modéré par A.Ouloube, naheulbeuk, Mérillym, bibou0007, Malekal_morte, IL-MAFIOSO  
01net > Forum de 01net > Sécurité, virus et assimilés > Virus
> Boîte de messagerie infectée [Resolu]
Passionné(e) d'internet, de logiciels, de forums ? 01net recrute...
Auteur
Message
 
<     1       >
Nabiga
  
   
      ?   @     Posté le 29/05/2008 12:07:34  
Voter pour ce message
Boîte de messagerie infectée [Resolu]
-->Message édité par Nabiga le 06/06/2008 19:31:06<--
Laddy
  
   
      ?   @     Posté le 02/06/2008 10:03:03  
Voter pour ce message
Bonjour
Je ne pense pas que ce soit viral si tu as que des soucis sur ta page yahoo mais surement un script qu'il y a dans leur page et qu'il fasse planter ton navigateur internet.

Quel navigateur utilises tu ?

Toute fois je vais regarder :

- Télécharge HiJackThis de Merijn sur ton bureau.
- Double-clic sur HijackThis
- Génère un rapport en suivant ces indications :
- Exécute le et clique sur Do a scan and save log file.
- Le rapport s'ouvre sur le Bloc-Note
- Colle le rapport ici, pour cela :
- Menu Edition / Selectionner Tout
- Menu Edition / copier
- Ici dans un nouveau message : clic droit / coller
-------
Offrez vous une bonne protection avec Antivir.
Bibou0007.com
Nabiga
  
   
      ?   @     Posté le 02/06/2008 20:08:03  
Voter pour ce message
Je t'envoie ci-joint le rapport hidjackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:06:17, on 02/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\UltraVNC\winvnc.exe
C:\WINDOWS\system32\igfxtray.exe
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\HP\ToolBoxFX\bin\HPTLBXFX.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\orant\BIN\ifrun60.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Documents and Settings\Administrateur\Bureau\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.252:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 192.168.0.8;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,userinit.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [SetRefresh] C:\Program Files\Compaq\SetRefresh\SetRefresh.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinVNC] "C:\Program Files\UltraVNC\winvnc.exe" -servicehelper
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ToolBoxFX] "C:\Program Files\HP\ToolBoxFX\bin\HPTLBXFX.exe" /enum:on /alerts:on

/notifications:on /systrayIcon:on /fl:on /fr:on /appData:on
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program

Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program

Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -

http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuw(...)
O16 - DPF: {D8089245-3211-40F6-819B-9E5E92CD61A2} (FlashXControl Object) -

https://signin3.valueactive.com/Register/Branding/olr3313/OCX/v1018/flashax.ca(...)
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program

Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program

Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: OracleClientCache80 - Unknown owner - C:\orant\BIN\ONRSD80.EXE
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program

Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: VNC Server (winvnc) - www.ultravnc.fr - C:\Program Files\UltraVNC\winvnc.exe
O24 - Desktop Component 0: (no name) - http://fusenow.org/photos/pic1.jpg

--
End of file - 4433 bytes
Laddy
  
   
      ?   @     Posté le 03/06/2008 07:11:44  
Voter pour ce message
Nous allons commencer une procédure car effectivement le rapport révèle une petite infection.

Vundofix :

* Double-clique VundoFix.exe afin de le lancer.
* Clique sur le bouton Scan for Vundo.
* Lorsque le scan est complété, clique sur le bouton Remove Vundo.
* Une invite te demandera si tu veux supprimer les fichiers, clique YES
* Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
* Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"); clique OK
* Démarre ton PC à nouveau.
* Copie/colle le contenu du rapport situé dans C:\vundofix.txt

Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".



VirtumundoBeGone :

Télécharge VirtumondeBegone
- Exécute le et laisse toi guider.
- Patiente durant l'analyse.
- Enregistre le rapport sur le bureau.
- Redémarre le PC et poste le rapport.
PS : Si tu vois un écran bleu « erreur fatale » c’est normal.

Accompagne tes résultats par un nouveau rapport hijackthis

J'attends :

Ton rapport vundofix
Ton rapport VirtumundoBeGone
Un nouveau rapport hijackthis
-------
Offrez vous une bonne protection avec Antivir.
Bibou0007.com
Nabiga
  
   
      ?   @     Posté le 03/06/2008 09:46:39  
Voter pour ce message
J'ai fait le scan avec Vundofix et à la fin une fenetre à afficher ceci : "Done searching for files : no infected files were found" et quand j'ouvre le C, je ne trouve que le dossier Vundofixbackups, il n'y a pas de Vundofix.txt

Voici le rapport VirtumondeBegone

[06/03/2008, 7:39:22] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\Administrateur\Bureau\VirtumundoBeGone.exe" )
[06/03/2008, 7:39:41] - Detected System Information:
[06/03/2008, 7:39:41] - Windows Version: 5.1.2600, Service Pack 2
[06/03/2008, 7:39:41] - Current Username: Administrateur (Admin)
[06/03/2008, 7:39:41] - Windows is in NORMAL mode.
[06/03/2008, 7:39:41] - Searching for Browser Helper Objects:
[06/03/2008, 7:39:41] - Finished Searching Browser Helper Objects
[06/03/2008, 7:39:41] - Finishing up...
[06/03/2008, 7:39:41] - Nothing found! Exiting...


Voici le nouveau rapport Hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:41:06, on 03/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\UltraVNC\winvnc.exe
C:\WINDOWS\system32\igfxtray.exe
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\HP\ToolBoxFX\bin\HPTLBXFX.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\svchost.exe
C:\Documents and Settings\Administrateur\Bureau\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.252:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 192.168.0.8;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,userinit.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [SetRefresh] C:\Program Files\Compaq\SetRefresh\SetRefresh.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinVNC] "C:\Program Files\UltraVNC\winvnc.exe" -servicehelper
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ToolBoxFX] "C:\Program Files\HP\ToolBoxFX\bin\HPTLBXFX.exe" /enum:on /alerts:on /notifications:on /systrayIcon:on /fl:on /fr:on /appData:on
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuw(...)
O16 - DPF: {D8089245-3211-40F6-819B-9E5E92CD61A2} (FlashXControl Object) - https://signin3.valueactive.com/Register/Branding/olr3313/OCX/v1018/flashax.ca(...)
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: OracleClientCache80 - Unknown owner - C:\orant\BIN\ONRSD80.EXE
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: VNC Server (winvnc) - www.ultravnc.fr - C:\Program Files\UltraVNC\winvnc.exe
O24 - Desktop Component 0: (no name) - http://fusenow.org/photos/pic1.jpg

--
End of file - 4358 bytes


Laddy
  
   
      ?   @     Posté le 03/06/2008 09:59:53  
Voter pour ce message
Le message de vundofix signie qu'il n'a rien trouvé.

Téléchargez MSNFix.zip sur votre bureau.

* Décompressez-le (clic droit >> Extraire ici) et double-cliquez sur le fichier MSNFix.bat.
* Exécutez l'option R.
* Si l'infection est détectée, un message l'indiquera et il suffira de presser une touche pour lancer le nettoyage.
Note : Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l'ordinateur en mode normal
* Le rapport sera enregistré dans le même dossier que MSNFix sous forme date_heure.txt

Aide : N'hésite pas à consulter l'aide MSNfix
-------
Offrez vous une bonne protection avec Antivir.
Bibou0007.com
Nabiga
  
   
      ?   @     Posté le 03/06/2008 10:46:01  
Voter pour ce message
En attendant de t'envoyer le rapport, je t'informe que j'ai ouvert ma boîte et ça l'air de bien marcher. J'arrive à envoyer des messager et même de tchater.
A plus.
Nabiga
  
   
      ?   @     Posté le 03/06/2008 11:51:38  
Voter pour ce message
Voici le rapport MSNFIX

MSNFix 1.719

C:\Documents and Settings\Administrateur\Bureau\MSNFix\MSNFix
Fix exécuté le 03/06/2008 - 9:45:49,73 By Administrateur
mode normal

************************ Recherche les fichiers présents

... C:\WINDOWS\system32\msnserv.exe
... C:\WINDOWS\system32\msnserv.exe
... C:\WINDOWS\system32\msnserv.exe
... C:\WINDOWS\system32\msnserv.exe
... C:\autorun.inf
... C:\Autorun.inf
... C:\WINDOWS\system32\msnserv.exe
... C:\WINDOWS\system32\setting.ini

************************ Recherche les dossiers présents

Aucun dossier trouvé




************************ Suppression des fichiers

.. OK ... userinit.exe
.. OK ... C:\WINDOWS\system32\msnserv.exe
.. OK ... C:\WINDOWS\system32\msnserv.exe
.. OK ... C:\WINDOWS\system32\msnserv.exe
.. OK ... C:\WINDOWS\system32\msnserv.exe
.. OK ... C:\autorun.inf
.. OK ... C:\Autorun.inf
.. OK ... C:\WINDOWS\system32\msnserv.exe
.. OK ... C:\WINDOWS\system32\setting.ini



************************ Nettoyage du registre



Les fichiers encore présents seront supprimés au prochain redémarrage


Aucun Fichier trouvé



************************ Fichiers suspects

/!\ ces fichiers nécessitent un avis expérimenté avant toute intervention

[C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\07277373.zip] 535121F2723701CE683713B9FCDB3003
[C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\07384084.zip] 4AF4D215C9CE3A99CF82E8658185872E
[C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\13865029.zip] E0D8A52BFCD3A1EF93D14A2745BED5F4
[C:\vlc-0.8.6c-win32.exe] 0E6B9B7B6EF8ED324535A632AD8C1E04

==> SVP merci d'envoyer le fichier C:\DOCUME~1\ADMINI~1\Bureau\Upload_Me.zip sur http://upload.changelog.fr



Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 03062008_ 9493912.zip

************************ HKLM\...\Winlogon\Userinit

Userinit = C:\WINDOWS\system32\userinit.exe,

Important : http://msnfix.changelog.fr/index.php/2008/05/18/32-alerte


------------------------------------------------------------------------
Auteur : !aur3n7 Contact: http://changelog.fr
------------------------------------------------------------------------

--------------------------------------------- END ---------------------------------------------

Laddy
  
   
      ?   @     Posté le 03/06/2008 12:04:50  
Voter pour ce message
Ok l'infection a été traité, finissons le nettoyage.

ton navigateur internet n'est pas à jour, tu es sujet aux failles de sécurité meme si tu utilises un navigateur sécurisé comme firefox ou opéra à la place.

Je te conseille vivement de mettre à jour ton navigateur internet.

Deckard's System Scanner

Télécharge Deckard's System Scanner (DSS) (ou DSS) sur ton Bureau.
NB : Tu dois être connecté avec des droits d'Administrateur.

1. ferme toutes les applications et fenêtres
2. double-clique sur dss.exe pour le lancer et suis les instructions ci-dessous

Attention, il est conseillé de stopper temporairement les logiciels résidents de protection (pare-feu, antivirus, etc.)

Fais un clic droit sur le parapluie d'antivir dans la barre des tâches puis Décoche Antivir Guard enable

3. s'il s'agit d'une première utilisation ou d'une nouvelle version de DSS :
* tu devras cliquer 2 fois sur le OK des boîtes de dialogue
Attention, si tu tardes trop, la réponse Abandon sera automatiquement validée
* quand le traitement est terminé (clique sur OK), deux fichiers texte s'affichent :
main.txt [size=9]<- ouvert en premier plan et en plein écran[/size]
extra.txt <- ouvert en second plan et en fenêtré (regarde la barre des taches)
S'il s'agit d'une utilisation supplémentaire de DSS :
* tu n'auras pas de boîte de dialogue (pas de OK)
* quand le traitement est terminé, un fichier texte s'affiche :
main.txt <- ouvert en premier plan et en plein écran
4. copie (Ctrl+A puis Ctrl+C) et colle (Ctrl+V) le contenu de main.txt dans ton prochain post
5. copie de même le contenu de extra.txt dans ton prochain post, si tu as ce fichier (première utilisation)
6. n'oublie pas de réactiver les protections si elles ont été stoppées.


Poste les rapports de DSS (un rapport hijackthis est inclus dans les rapports DSS).



-->Message édité par Laddy le 03/06/2008 12:09:03<--
-------
Offrez vous une bonne protection avec Antivir.
Bibou0007.com
Nabiga
  
   
      ?   @     Posté le 03/06/2008 13:25:03  
Voter pour ce message
Voici main.txt
Deckard's System Scanner v20071014.68
Run by Administrateur on 2008-06-03 11:21:50
Computer is in Normal Mode.
--------------------------------------------------------------------------------

-- System Restore --------------------------------------------------------------

Successfully created a Deckard's System Scanner Restore Point.


-- Last 5 Restore Point(s) --
22: 2008-06-03 11:21:54 UTC - RP240 - Deckard's System Scanner Restore Point
21: 2008-06-02 20:05:54 UTC - RP239 - Point de vérification système
20: 2008-06-01 19:05:53 UTC - RP238 - Point de vérification système
19: 2008-05-31 18:05:54 UTC - RP237 - Point de vérification système
18: 2008-05-30 17:59:46 UTC - RP236 - Pilote d'imprimante HP LaserJet P2015 Series PCL 5e installé


-- First Restore Point --
1: 2008-05-15 10:33:03 UTC - RP219 - Point de vérification système


Backed up registry hives.
Performed disk cleanup.

Total Physical Memory: 504 MiB (512 MiB recommended).


-- HijackThis (run as Administrateur.exe) --------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:22:56, on 03/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\UltraVNC\winvnc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\igfxtray.exe
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\HP\ToolBoxFX\bin\HPTLBXFX.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\SynCor.exe
C:\Documents and Settings\Administrateur\Bureau\dss.exe
C:\DOCUME~1\ADMINI~1\Bureau\Administrateur.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.252:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 192.168.0.8;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [SetRefresh] C:\Program Files\Compaq\SetRefresh\SetRefresh.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinVNC] "C:\Program Files\UltraVNC\winvnc.exe" -servicehelper
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ToolBoxFX] "C:\Program Files\HP\ToolBoxFX\bin\HPTLBXFX.exe" /enum:on /alerts:on /notifications:on /systrayIcon:on /fl:on /fr:on /appData:on
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuw(...)
O16 - DPF: {D8089245-3211-40F6-819B-9E5E92CD61A2} (FlashXControl Object) - https://signin3.valueactive.com/Register/Branding/olr3313/OCX/v1018/flashax.ca(...)
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: OracleClientCache80 - Unknown owner - C:\orant\BIN\ONRSD80.EXE
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: VNC Server (winvnc) - www.ultravnc.fr - C:\Program Files\UltraVNC\winvnc.exe
O24 - Desktop Component 0: (no name) - http://fusenow.org/photos/pic1.jpg

--
End of file - 4090 bytes

-- File Associations -----------------------------------------------------------

All associations okay.


-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------

S3 catchme - c:\docume~1\admini~1\locals~1\temp\catchme.sys (file missing)
S3 Profos - c:\program files\fichiers communs\bitdefender\bitdefender threat scanner\profos.sys (file missing)
S3 Trufos - c:\program files\fichiers communs\bitdefender\bitdefender threat scanner\trufos.sys (file missing)


-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------

R2 AntiVirScheduler (Avira AntiVir Personal – Free Antivirus Scheduler) - "c:\program files\avira\antivir personaledition classic\sched.exe" <Not Verified; Avira GmbH; AntiVir Workstation>
R2 winvnc (VNC Server) - "c:\program files\ultravnc\winvnc.exe" -service <Not Verified; www.ultravnc.fr; UltraVNC>

S3 OracleClientCache80 - c:\orant\bin\onrsd80.exe


-- Device Manager: Disabled ----------------------------------------------------

Class GUID: {4D36E96F-E325-11CE-BFC1-08002BE10318}
Description: Souris compatible PS/2
Device ID: ACPI\PNP0F13\4&1117367&0
Manufacturer: Microsoft
Name: Souris compatible PS/2
PNP Device ID: ACPI\PNP0F13\4&1117367&0
Service: i8042prt


-- Files created between 2008-05-03 and 2008-06-03 -----------------------------

2008-06-03 07:27:54 0 d-------- C:\VundoFix Backups
2008-05-29 09:03:07 0 d-------- C:\Program Files\Avira
2008-05-29 09:03:07 0 d-------- C:\Documents and Settings\All Users\Application Data\Avira
2008-05-20 08:00:04 0 d-------- C:\AbaEnglishCourse
2008-05-20 07:59:33 0 d-------- C:\Documents and Settings\Administrateur\Application Data\Anuman Interactive


-- Find3M Report ---------------------------------------------------------------

2008-06-03 09:52:57 445016 --a------ C:\WINDOWS\system32\perfh00C.dat
2008-06-03 09:52:57 63614 --a------ C:\WINDOWS\system32\perfc00C.dat
2008-06-03 09:08:33 0 d-------- C:\Program Files\Mozilla Firefox 3 Beta 5
2008-06-02 08:29:15 0 d-------- C:\Documents and Settings\Administrateur\Application Data\U3
2008-05-30 18:00:39 92857 --a------ C:\WINDOWS\hppins05.dat
2008-05-30 18:00:30 0 d-------- C:\Program Files\HP
2008-04-29 11:18:46 0 d-------- C:\Program Files\Altiris
2008-04-15 08:01:46 0 d-------- C:\Documents and Settings\Administrateur\Application Data\dvdcss
2008-04-08 10:07:18 0 d-------- C:\Documents and Settings\Administrateur\Application Data\Help
2008-04-04 10:55:47 0 --a------ C:\WINDOWS\nsreg.dat
2008-04-04 10:55:43 0 d-------- C:\Documents and Settings\Administrateur\Application Data\Mozilla


-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [30/09/2004 17:41]
"Smapp"="C:\Program Files\Analog Devices\SoundMAX\SMTray.exe" [30/07/2003 07:08]
"SetRefresh"="C:\Program Files\Compaq\SetRefresh\SetRefresh.exe" [20/11/2003 19:01]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [03/10/2007 07:31]
"WinVNC"="C:\Program Files\UltraVNC\winvnc.exe" [17/07/2006 14:44]
"FrameWorkService"="" []
"Synchronization Manager"="C:\WINDOWS\system32\mobsync.exe" [04/08/2004 07:54]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [12/02/2008 10:06]
"ToolBoxFX"="C:\Program Files\HP\ToolBoxFX\bin\HPTLBXFX.exe" [15/06/2006 08:43]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [04/08/2004 07:54]
"FrameWorkService"="" []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"DisallowRun"=0 (0x0)
"NoFolderOptions"=0 (0x0)
"NoRun"=0 (0x0)
"NoFind"=0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\DisallowRun]
"1"=cmd.exe
"2"=mmc.exe
"3"=rstrui.exe
"4"=regedit.exe
"5"=regedt32.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Symantec Fax Starter Edition Port.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Symantec Fax Starter Edition Port.lnk
backup=C:\WINDOWS\pss\Symantec Fax Starter Edition Port.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HotKeysCmds]
C:\WINDOWS\system32\hkcmd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"C:\Program Files\Messenger\msmsgs.exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\System12]
C:\WINDOWS\system32\ne0kS.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\System64]
C:\WINDOWS\system32\ne0kS.dll.wsf


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\##192.168.0.102#f$]
Auto\command- AdobeR.exe e
AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0da72638-b462-11dc-9398-000ffe212d7d}]
AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL antihost.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0da72639-b462-11dc-9398-000ffe212d7d}]
Auto\command- wscript "Sex City.jpg.wsf"
AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript "Sex City.jpg.wsf"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0da72652-b462-11dc-9398-000ffe212d7d}]
AutoRun\command- E:\LaunchU3.exe -a

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0e0d8b6b-9206-11dc-9395-000ffe212d7d}]
AutoRun\command- E:\i.exe
explore\Command- E:\i.exe
open\Command- E:\i.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0e0d8b6c-9206-11dc-9395-000ffe212d7d}]
Auto\command- wscript "Sex City.jpg.wsf"
AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript "Sex City.jpg.wsf"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{155fcfd4-9c11-11dc-9397-000ffe212d7d}]
AutoRun\command- E:\i.exe
explore\Command- E:\i.exe
open\Command- E:\i.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{155fcfd7-9c11-11dc-9397-000ffe212d7d}]
AutoRun\command- E:\LaunchU3.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{155fcfd8-9c11-11dc-9397-000ffe212d7d}]
AutoRun\command- G:\i.exe
explore\Command- G:\i.exe
open\Command- G:\i.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{155fcfd9-9c11-11dc-9397-000ffe212d7d}]
AutoRun\command- E:\i.exe
explore\Command- E:\i.exe
open\Command- E:\i.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{170acdb1-d3da-11dc-93a7-000ffe212d7d}]
Auto\command- wscript "esta ig.vbs"
AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript "esta ig.vbs"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{282c2b91-cf49-11dc-93a4-000ffe212d7d}]
AutoRun\command- E:\LaunchU3.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{282c2b92-cf49-11dc-93a4-000ffe212d7d}]
Auto\command- wscript "Sex City.jpg.wsf"
AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript "Sex City.jpg.wsf"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{54ec2f6e-153c-11dd-93cf-000ffe212d7d}]
AutoRun\command- E:\ntde1ect.com
explore\Command- E:\ntde1ect.com
open\Command- E:\ntde1ect.com

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{64853a6c-99e8-11dc-9396-000ffe212d7d}]
AutoRun\command- E:\autorun.exe
explore\Command- E:\autorun.exe -e
open\Command- E:\autorun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{64daded5-7316-11dc-938b-000ffe212d7d}]
AutoRun\command- E:\i.exe
explore\Command- E:\i.exe
open\Command- E:\i.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6b55095a-15be-11dd-93d0-000ffe212d7d}]
AutoRun\command- i.exe
explore\Command- i.exe
open\Command- i.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7c315cbe-7248-11dc-9388-000ffe212d7d}]
AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7c315f60-7248-11dc-9388-000ffe212d7d}]
AutoRun\command- E:\xo8wr9.exe
explore\Command- E:\xo8wr9.exe
open\Command- E:\xo8wr9.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7c315f68-7248-11dc-9388-000ffe212d7d}]
AutoRun\command- E:\i.exe
explore\Command- E:\i.exe
open\Command- E:\i.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7c7259d3-75aa-11dc-938d-000ffe212d7d}]
Auto\command- AdobeR.exe e
AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7c7259d4-75aa-11dc-938d-000ffe212d7d}]
AutoRun\command- E:\i.exe
explore\Command- E:\i.exe
open\Command- E:\i.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b3059146-ffc0-11dc-93c6-000ffe212d7d}]
AutoRun\command- E:\pa39xth.cmd
explore\Command- E:\pa39xth.cmd
open\Command- E:\pa39xth.cmd

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d175f0ee-8075-11dc-938e-000ffe212d7d}]
Auto\command- wscript "Sex City.jpg.wsf"
AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript "Sex City.jpg.wsf"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d9344e84-0a41-11dd-93cb-000ffe212d7d}]
AutoRun\command- F:\i.exe
explore\Command- F:\i.exe
open\Command- F:\i.exe




-- Hosts -----------------------------------------------------------------------

192.168.0.107 srv2-sonabel
192.168.0.6 unigest


-- End of Deckard's System Scanner: finished at 2008-06-03 11:23:41 ------------


et voilà le rapport extra.txt
Deckard's System Scanner v20071014.68
Extra logfile - please post this as an attachment with your post.
--------------------------------------------------------------------------------

-- System Information ----------------------------------------------------------

Microsoft Windows XP Professionnel (build 2600) SP 2.0
Architecture: X86; Language: French

CPU 0: Intel(R) Pentium(R) 4 CPU 3.00GHz
CPU 1: Intel(R) Pentium(R) 4 CPU 3.00GHz
Percentage of Memory in Use: 42%
Physical Memory (total/avail): 503.43 MiB / 287.79 MiB
Pagefile Memory (total/avail): 1230.15 MiB / 1002.93 MiB
Virtual Memory (total/avail): 2047.88 MiB / 1936.86 MiB

C: is Fixed (NTFS) - 74.52 GiB total, 60.82 GiB free.
D: is CDROM (No Media)
E: is Removable (FAT32)

\\.\PHYSICALDRIVE0 - ST380013AS - 74.53 GiB - 1 partition
\PARTITION0 (bootable) - Système de fichiers installable - 74.52 GiB - C:

\\.\PHYSICALDRIVE1 - JetFlash TS2GJFV30 USB Device - 1961.06 MiB - 1 partition
\PARTITION0 (bootable) - Unknown - 1967.97 MiB - E:



-- Security Center -------------------------------------------------------------

AUOptions is scheduled to auto-install.
Windows Internal Firewall is disabled.

FirstRunDisabled is set.

AV: Avira AntiVir PersonalEdition v8.0.1.15 (Avira GmbH) Disabled Outdated

[HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

[HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Ftp32\\WS_FTP32.EXE"="C:\\Ftp32\\WS_FTP32.EXE:*:Enabled:WS_FTP32"
"C:\\Program Files\\CA\\eTrust Antivirus\\InocIT.exe"="C:\\Program Files\\CA\\eTrust Antivirus\\InocIT.exe:*:Enabled:InocIT"
"C:\\Program Files\\UltraVNC\\winvnc.exe"="C:\\Program Files\\UltraVNC\\winvnc.exe:*:Enabled:Serveur VNC pour Win32"
"C:\\Program Files\\CA\\eTrust Antivirus\\Realmon.exe"="C:\\Program Files\\CA\\eTrust Antivirus\\Realmon.exe:*:Enabled:Realmon"
"D:\\setup\\HPZNET01.EXE"="D:\\setup\\HPZNET01.EXE:*:Enabled:hpznet01.exe"
"D:\\setup\\hppapd.exe"="D:\\setup\\hppapd.exe:*:Enabled:hppapd.exe"
"D:\\setup\\HPNTWKEXE.EXE"="D:\\setup\\HPNTWKEXE.EXE:*:Enabled:hpntwkexe.exe"


-- Environment Variables -------------------------------------------------------

ALLUSERSPROFILE=C:\Documents and Settings\All Users
APPDATA=C:\Documents and Settings\Administrateur\Application Data
CLIENTNAME=Console
CommonProgramFiles=C:\Program Files\Fichiers communs
COMPUTERNAME=ERNEST
ComSpec=C:\WINDOWS\system32\cmd.exe
FP_NO_HOST_CHECK=NO
HOMEDRIVE=C:
HOMEPATH=\Documents and Settings\Administrateur
LOGONSERVER=\\ERNEST
NUMBER_OF_PROCESSORS=2
OS=Windows_NT
Path=C:\orant\bin;C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\System32\Wbem;C:\orant\jdk\bin
PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
PROCESSOR_ARCHITECTURE=x86
PROCESSOR_IDENTIFIER=x86 Family 15 Model 4 Stepping 1, GenuineIntel
PROCESSOR_LEVEL=15
PROCESSOR_REVISION=0401
ProgramFiles=C:\Program Files
PROMPT=$P$G
SESSIONNAME=Console
SystemDrive=C:
SystemRoot=C:\WINDOWS
TEMP=C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp
TMP=C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp
USERDOMAIN=ERNEST
USERNAME=Administrateur
USERPROFILE=C:\Documents and Settings\Administrateur
windir=C:\WINDOWS


-- User Profiles ---------------------------------------------------------------

Administrateur [I](admin)[/I]


-- Add/Remove Programs ---------------------------------------------------------

--> C:\Program Files\Fichiers communs\Real\Update_OB\rnuninst.exe RealNetworks|RealPlayer|6.0
--> rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Adobe Flash Player 9 ActiveX --> C:\WINDOWS\system32\Macromed\Flash\FlashUtil9c.exe -uninstallUnlock
Avira AntiVir Personal – Free Antivirus --> C:\Program Files\Avira\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE
Broadcom Management Programs --> C:\Program Files\Fichiers communs\InstallShield\Driver\8\Intel 32\IDriver.exe /M{64A77F14-0E08-4A97-A859-E93CFF428756} /l1036
Correctif Windows XP - KB886199 -->
Google Earth --> MsiExec.exe /I{1E04F83B-2AB9-4301-9EF7-E86307F79C72}
HijackThis 2.0.2 --> "C:\Documents and Settings\Administrateur\Mes documents\Nouveau theo\HijackThis.exe" /uninstall
HP Help and Support --> RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{A93C4E94-1005-489D-BEAA-B873C1AA6CFC}\SETUP.EXE" -l0x40c
HP LaserJet P2015 Series 1.0 --> C:\Program Files\HP\Digital Imaging\{BE4CEA63-8351-4A12-9E3A-556F8B76683A}\setup\hpzscr01.exe -datfile hppscr05.dat -forcereboot
Intel(R) Graphics Media Accelerator Driver --> RUNDLL32.EXE C:\WINDOWS\system32\ialmrem.dll,UninstallW2KIGfx2ID PCI\VEN_8086&DEV_2782 PCI\VEN_8086&DEV_2582
InterVideo WinDVD --> "C:\Program Files\InstallShield Installation Information\{91810AFC-A4F8-4EBA-A5AA-B198BBC81144}\setup.exe" REMOVEALL
Java 2 Runtime Environment, SE v1.4.2_03 --> MsiExec.exe /I{7148F0A8-6813-11D6-A77B-00B0D0142030}
Lotus Notes --> C:\WINDOWS\IsUn040c.exe -fC:\Lotus\Notes\Uninst.isu
Microsoft Office 2000 Professional --> MsiExec.exe /I{0001040C-78E1-11D2-B60F-006097C998E7}
Mozilla Firefox (3.0b5) --> C:\Program Files\Mozilla Firefox 3 Beta 5\uninstall\helper.exe
RealOne Player --> C:\Program Files\Fichiers communs\Real\Update_OB\rnuninst.exe RealNetworks|RealPlayer|6.0
Software Setup --> C:\WINDOWS\IsUn040c.exe -f"C:\Program Files\COMPAQ\Software Setup\Uninst.isu" -c"C:\Program Files\COMPAQ\Software Setup\CPQUNST.DLL"
SoundMAX --> RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{F0A37341-D692-11D4-A984-009027EC0A9C}\SETUP.EXE"
UltraVNC v1.0.2 Fr --> "C:\Program Files\UltraVNC\unins000.exe"
VideoLAN VLC media player 0.8.6c --> C:\Program Files\VideoLAN\VLC\uninstall.exe


-- Application Event Log -------------------------------------------------------

Event Record #/Type707 / Error
Event Submitted/Written: 06/03/2008 10:28:59 AM
Event ID/Source: 1002 / Application Hang
Event Description:
Application bloquée IEXPLORE.EXE, version 6.0.2900.2180, module bloqué hungapp, version 0.0.0.0, adresse de blocage 0x00000000.

Event Record #/Type706 / Error
Event Submitted/Written: 06/03/2008 10:28:57 AM
Event ID/Source: 1002 / Application Hang
Event Description:
Application bloquée IEXPLORE.EXE, version 6.0.2900.2180, module bloqué hungapp, version 0.0.0.0, adresse de blocage 0x00000000.

Event Record #/Type700 / Warning
Event Submitted/Written: 06/03/2008 08:11:48 AM
Event ID/Source: 4113 / Avira AntiVir
Event Description:
WORM/VB.CB.3E:\Developer 2000\Developer 2000.exe

Event Record #/Type698 / Warning
Event Submitted/Written: 06/02/2008 05:04:51 PM
Event ID/Source: 4113 / Avira AntiVir
Event Description:
WORM/VB.CB.3E:\Sonabel sur banaon\Sonabel sur banaon.exe

Event Record #/Type697 / Warning
Event Submitted/Written: 06/02/2008 05:04:25 PM
Event ID/Source: 4113 / Avira AntiVir
Event Description:
WORM/VB.CB.3E:\MISE_JOUR_MAI_2008\MISE_JOUR_MAI_2008.exe



-- Security Event Log ----------------------------------------------------------

No Errors/Warnings found.


-- System Event Log ------------------------------------------------------------

Event Record #/Type5315 / Error
Event Submitted/Written: 06/03/2008 10:33:58 AM
Event ID/Source: 29 / W32Time
Event Description:
Le fournisseur de temps NtpClient est configuré pour acquérir le temps à partir d'une
ou plusieurs sources de temps, cependant aucune source n'est actuellement accessible.
Aucune tentative pour en contacter une ne sera effectuée d'ici 60 minutes.
NtpClient n'a pas de source de temps précis.

Event Record #/Type5314 / Error
Event Submitted/Written: 06/03/2008 10:33:58 AM
Event ID/Source: 17 / W32Time
Event Description:
Fournisseur de temps NtpClient : une erreur s'est produite lors de la recherche DNS de
l'homologue manuellement configuré 'time.windows.com,0x1'. NtpClient va essayer à nouveau
la recherche DNS dans 60 minutes.
L'erreur était : Une opération a été tentée sur un hôte impossible à atteindre. (0x80072751)

Event Record #/Type5313 / Error
Event Submitted/Written: 06/03/2008 10:03:58 AM
Event ID/Source: 29 / W32Time
Event Description:
Le fournisseur de temps NtpClient est configuré pour acquérir le temps à partir d'une
ou plusieurs sources de temps, cependant aucune source n'est actuellement accessible.
Aucune tentative pour en contacter une ne sera effectuée d'ici 30 minutes.
NtpClient n'a pas de source de temps précis.

Event Record #/Type5312 / Error
Event Submitted/Written: 06/03/2008 10:03:58 AM
Event ID/Source: 17 / W32Time
Event Description:
Fournisseur de temps NtpClient : une erreur s'est produite lors de la recherche DNS de
l'homologue manuellement configuré 'time.windows.com,0x1'. NtpClient va essayer à nouveau
la recherche DNS dans 30 minutes.
L'erreur était : Une opération a été tentée sur un hôte impossible à atteindre. (0x80072751)

Event Record #/Type5300 / Error
Event Submitted/Written: 06/03/2008 09:48:58 AM
Event ID/Source: 29 / W32Time
Event Description:
Le fournisseur de temps NtpClient est configuré pour acquérir le temps à partir d'une
ou plusieurs sources de temps, cependant aucune source n'est actuellement accessible.
Aucune tentative pour en contacter une ne sera effectuée d'ici 15 minutes.
NtpClient n'a pas de source de temps précis.



-- End of Deckard's System Scanner: finished at 2008-06-03 11:23:41 ------------

Laddy
  
   
      ?   @     Posté le 03/06/2008 13:49:03  
Voter pour ce message
As tu une clé usb ou un disque dur externe car ils sont infectés.
je crée le fichier pour la suite.






-->Message édité par Laddy le 03/06/2008 13:49:30<--
-------
Offrez vous une bonne protection avec Antivir.
Bibou0007.com
Laddy
  
   
      ?   @     Posté le 03/06/2008 14:20:28  
Voter pour ce message
Attention à être bien attentif.

Combofix :
Télécharge Combofix (by sUbs)


NOTE : Sauvegarde-le sur le bureau - pas ailleurs / Désactive tes protections résidentes durant son utilisation (antivirus et antispyware / Déconnecte toi de Internet.

- Redémarre en Mode sans echec
Aide : Comment redémarrer en Mode sans Echec
-> Ne jamais redémarrer via msconfig.
-> Si impossible le faire en mode normal.

# Double Clic sur Combofix.
# Quand une question te sera posée, réponds par la touche 1 et valide par Entrée.
# Laisse toi guider et ne touche à rien, sinon le PC risque de freezer.
# Lorsque l'analyse est terminée, un rapport sera créé.
# Redémarre en mode normal et poste-le (C:\Combofix.txt).

Aide: Un guide et un tutoriel sur l'utilisation de ComboFix

J'attends :
ton rapport combofix ;)
-------
Offrez vous une bonne protection avec Antivir.
Bibou0007.com
Nabiga
  
   
      ?   @     Posté le 04/06/2008 11:41:51  
Voter pour ce message
Bonjour, Excuses-moi pour avoir mis un long temps avant de répondre.
Je t'envoie le rapport Combofix. Je n'ai pu le faire qu'en mode normal

Rapport ComboFix

ComboFix 08-06-03.1 - Administrateur 2008-06-04 9:30:59.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.277 [GMT 0:00]
Endroit: C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe
* Création d'un nouveau point de restauration

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Program Files\Video Add-on
C:\WINDOWS\system32\mdm.exe
C:\WINDOWS\system32\wsnpoem
C:\WINDOWS\system32\wsnpoem\audio.dll
C:\WINDOWS\system32\wsnpoem\video.dll

.
((((((((((((((((((((((((((((( Fichiers créés 2008-05-04 to 2008-06-04 ))))))))))))))))))))))))))))))))))))
.

2008-06-04 08:43 . 2008-06-04 08:43 <REP> d-------- C:\Program Files\EPSON
2008-06-04 08:43 . 2002-09-30 01:33 73,676 --a------ C:\WINDOWS\system32\EBPMON2.DLL
2008-06-04 08:43 . 2001-03-29 01:21 57,344 --a------ C:\WINDOWS\system32\ECBTEG.DLL
2008-06-04 08:43 . 2008-06-04 08:44 6,451 --a------ C:\WINDOWS\EPSTPLOG.BAK
2008-06-04 08:43 . 2001-09-04 01:04 182 --a------ C:\WINDOWS\system32\EBPPORT.DAT
2008-06-03 11:21 . 2008-06-03 11:21 <REP> d-------- C:\Deckard
2008-06-03 07:27 . 2008-06-03 07:27 <REP> d-------- C:\VundoFix Backups
2008-05-29 09:03 . 2008-05-29 09:03 <REP> d-------- C:\Program Files\Avira
2008-05-29 09:03 . 2008-05-29 09:03 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2008-05-27 09:37 . 2008-05-27 08:44 19,968 --a------ C:\Hi Mike.doc
2008-05-26 09:37 . 2008-05-26 09:44 46,849,481 --a------ C:\factg2_0508.lis
2008-05-21 11:01 . 2008-05-21 11:01 91,960 --a------ C:\bi_decl_panne_saisie.fmx
2008-05-21 11:00 . 2007-08-02 11:25 217,088 --a------ C:\bi_decl_panne_saisie.fmb
2008-05-20 08:00 . 2008-05-20 10:13 <REP> d-------- C:\AbaEnglishCourse
2008-05-20 07:59 . 2008-05-20 07:59 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Anuman Interactive
2008-05-19 15:20 . 2008-05-19 16:06 294,912 --a------ C:\BI_CARTREL_M_DEPAN.RDF
2008-05-19 15:20 . 2008-05-19 13:39 172,032 --a------ C:\BX_CARTREL_DEPAN.fmb
2008-05-19 15:13 . 2008-05-19 13:38 266,240 --a------ C:\BI_CARTREL_M.rep
2008-05-16 08:24 . 2008-04-29 20:36 37,029 --a------ C:\memoireka.lis
2008-05-16 08:24 . 2008-04-30 21:21 25,470 --a------ C:\memoire.lis
2008-05-16 08:24 . 2008-04-29 17:12 19,948 --a------ C:\memoire_zi.lis
2008-05-16 08:24 . 2008-04-30 10:39 12,991 --a------ C:\memoiregor.lis

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-03 09:08 --------- d-----w C:\Program Files\Mozilla Firefox 3 Beta 5
2008-06-02 08:29 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\U3
2008-05-30 18:00 --------- d-----w C:\Program Files\HP
2008-04-29 11:18 --------- d-----w C:\Program Files\Altiris
2008-04-15 08:01 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\dvdcss
2008-02-26 13:36 8,374,256 ----a-w C:\Program Files\ljP2015PCL6winvista2kxp2003-fr.exe
1999-04-06 12:27 99,840 ----a-w C:\Program Files\Fichiers communs\IRAABOUT.DLL
1998-12-09 02:53 70,144 ----a-w C:\Program Files\Fichiers communs\IRAMDMTR.DLL
1998-12-09 02:53 48,640 ----a-w C:\Program Files\Fichiers communs\IRALPTTR.DLL
1998-12-09 02:53 31,744 ----a-w C:\Program Files\Fichiers communs\IRAWEBTR.DLL
1998-12-09 02:53 186,368 ----a-w C:\Program Files\Fichiers communs\IRAREG.DLL
1998-12-09 02:53 17,920 ----a-w C:\Program Files\Fichiers communs\IRASRIAL.DLL
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 07:54 15360]
"FrameWorkService"="" []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2004-09-30 17:41 155648]
"Smapp"="C:\Program Files\Analog Devices\SoundMAX\SMTray.exe" [2003-07-30 07:08 143360]
"SetRefresh"="C:\Program Files\Compaq\SetRefresh\SetRefresh.exe" [2003-11-20 19:01 525824]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2007-10-03 07:31 151597]
"WinVNC"="C:\Program Files\UltraVNC\winvnc.exe" [2006-07-17 14:44 364544]
"FrameWorkService"="" []
"Synchronization Manager"="C:\WINDOWS\system32\mobsync.exe" [2004-08-04 07:54 144384]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]
"ToolBoxFX"="C:\Program Files\HP\ToolBoxFX\bin\HPTLBXFX.exe" [2006-06-15 08:43 49152]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 07:54 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\disallowrun]
"1"= cmd.exe
"2"= mmc.exe
"3"= rstrui.exe
"4"= regedit.exe
"5"= regedt32.exe

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Symantec Fax Starter Edition Port.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Symantec Fax Starter Edition Port.lnk
backup=C:\WINDOWS\pss\Symantec Fax Starter Edition Port.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HotKeysCmds]
--a------ 2004-09-30 17:37 126976 C:\WINDOWS\system32\hkcmd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--a------ 2004-08-04 01:07 1667584 C:\Program Files\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\System12]
--ah----- 2007-08-07 09:39 418318 C:\WINDOWS\system32\ne0kS.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\System64]
C:\WINDOWS\system32\ne0kS.dll.wsf

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Ftp32\\WS_FTP32.EXE"=
"C:\\Program Files\\UltraVNC\\winvnc.exe"=

R2 vnccom;vnccom;C:\WINDOWS\system32\Drivers\vnccom.SYS [2004-06-26 14:22]
S3 HPFXBULK;HPFXBULK;C:\WINDOWS\system32\drivers\hpfxbulk.sys [2006-06-12 10:36]
S3 OracleClientCache80;OracleClientCache80;C:\orant\BIN\ONRSD80.EXE [2006-06-22 11:51]
S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 22:08]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\##192.168.0.102#f$]
\Shell\Auto\command - AdobeR.exe e
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0da72638-b462-11dc-9398-000ffe212d7d}]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL antihost.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0da72639-b462-11dc-9398-000ffe212d7d}]
\Shell\Auto\command - wscript "Sex City.jpg.wsf"
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript "Sex City.jpg.wsf"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0da72652-b462-11dc-9398-000ffe212d7d}]
\Shell\AutoRun\command - E:\LaunchU3.exe -a

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0e0d8b6b-9206-11dc-9395-000ffe212d7d}]
\Shell\AutoRun\command - E:\i.exe
\Shell\explore\Command - E:\i.exe
\Shell\open\Command - E:\i.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0e0d8b6c-9206-11dc-9395-000ffe212d7d}]
\Shell\Auto\command - wscript "Sex City.jpg.wsf"
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript "Sex City.jpg.wsf"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{155fcfd4-9c11-11dc-9397-000ffe212d7d}]
\Shell\AutoRun\command - E:\i.exe
\Shell\explore\Command - E:\i.exe
\Shell\open\Command - E:\i.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{155fcfd7-9c11-11dc-9397-000ffe212d7d}]
\Shell\AutoRun\command - E:\LaunchU3.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{155fcfd8-9c11-11dc-9397-000ffe212d7d}]
\Shell\AutoRun\command - G:\i.exe
\Shell\explore\Command - G:\i.exe
\Shell\open\Command - G:\i.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{155fcfd9-9c11-11dc-9397-000ffe212d7d}]
\Shell\AutoRun\command - E:\i.exe
\Shell\explore\Command - E:\i.exe
\Shell\open\Command - E:\i.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{170acdb1-d3da-11dc-93a7-000ffe212d7d}]
\Shell\Auto\command - wscript "esta ig.vbs"
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript "esta ig.vbs"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{282c2b91-cf49-11dc-93a4-000ffe212d7d}]
\Shell\AutoRun\command - E:\LaunchU3.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{282c2b92-cf49-11dc-93a4-000ffe212d7d}]
\Shell\Auto\command - wscript "Sex City.jpg.wsf"
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript "Sex City.jpg.wsf"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{54ec2f6e-153c-11dd-93cf-000ffe212d7d}]
\Shell\AutoRun\command - E:\ntde1ect.com
\Shell\explore\Command - E:\ntde1ect.com
\Shell\open\Command - E:\ntde1ect.com

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{64853a6c-99e8-11dc-9396-000ffe212d7d}]
\Shell\AutoRun\command - E:\autorun.exe
\Shell\explore\Command - E:\autorun.exe -e
\Shell\open\Command - E:\autorun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{64daded5-7316-11dc-938b-000ffe212d7d}]
\Shell\AutoRun\command - E:\i.exe
\Shell\explore\Command - E:\i.exe
\Shell\open\Command - E:\i.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6b55095a-15be-11dd-93d0-000ffe212d7d}]
\Shell\AutoRun\command - i.exe
\Shell\explore\Command - i.exe
\Shell\open\Command - i.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7c315f60-7248-11dc-9388-000ffe212d7d}]
\Shell\AutoRun\command - E:\xo8wr9.exe
\Shell\explore\Command - E:\xo8wr9.exe
\Shell\open\Command - E:\xo8wr9.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7c315f68-7248-11dc-9388-000ffe212d7d}]
\Shell\AutoRun\command - E:\i.exe
\Shell\explore\Command - E:\i.exe
\Shell\open\Command - E:\i.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7c7259d4-75aa-11dc-938d-000ffe212d7d}]
\Shell\AutoRun\command - E:\i.exe
\Shell\explore\Command - E:\i.exe
\Shell\open\Command - E:\i.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b3059146-ffc0-11dc-93c6-000ffe212d7d}]
\Shell\AutoRun\command - E:\pa39xth.cmd
\Shell\explore\Command - E:\pa39xth.cmd
\Shell\open\Command - E:\pa39xth.cmd

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d175f0ee-8075-11dc-938e-000ffe212d7d}]
\Shell\Auto\command - wscript "Sex City.jpg.wsf"
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript "Sex City.jpg.wsf"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d9344e84-0a41-11dd-93cb-000ffe212d7d}]
\Shell\AutoRun\command - F:\i.exe
\Shell\explore\Command - F:\i.exe
\Shell\open\Command - F:\i.exe

.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-04 09:33:33
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
Temps d'accomplissement: 2008-06-04 9:33:59
ComboFix-quarantined-files.txt 2008-06-04 09:33:57

Pre-Run: 65,238,233,088 octets libres
Post-Run: 66,285,248,512 octets libres

198
:hello:
Laddy
  
   
      ?   @     Posté le 04/06/2008 12:00:59  
Voter pour ce message
Bonjour
le mode sans echec ne fonctionne pas ?

as tu accès à un ordinateur distant sur lequel tu vas chercher des fichiers ainsi que des supports amovibles ?

il me faut des réponses pour préparer un script de désinfection tu as des fichiers suspects, connais tu ses fichiers ?

C:\factg2_0508.lis
C:\bi_decl_panne_saisie.fmx
C:\bi_decl_panne_saisie.fmb
C:\memoireka.lis
C:\memoire.lis
C:\memoire_zi.lis
C:\memoiregor.lis



En attendant tes réponses il faut savoir que tout les supports amovibles externes qui se sont contectés à ton PC on était infecté et devront être désinfectés à leur tour sinon tu seras de nouveau contaminé.


Affichage des dossiers cachés:

  • Rend-toi à l'onglet affichage .
  • Menu "Outils"
  • " Option des dossiers"
  • onglet "Affichage"
  • Active la case "Afficher les fichiers et dossiers cachés".
  • Désactive la case "Masquer les extensions des fichiers dont le type est connu".
  • Désactive la case "Masquer les fichiers protégés du système d'exploitation".
  • Cliques sur "Appliquer à tous les dossiers".



    Désinfection supports amovibles :

    Branche tous tes disques amovibles ( clés usb, disque dur externe etc. ) !

    Télécharge FlashDisinfector sur ton bureau.

    http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe

    -Laisse connecté ton disque

    -Exécute le FlashDisinfector.exe qui se trouve sur ton bureau

    Note : Flash_Disinfector va créer un fichier caché nommé "autorun.inf" sur chacun des disques amovibles branchés sur votre ordinateur au moment du scan. Ne détruisez pas ces fichiers... car ces derniers vous protègeront d'une éventuelle future infection par disques amovibles.

    - PUIS

    SURTOUT ne pas double-cliquer sur le disque dans le poste de travail

    -Ouvre le poste de travail
    -Clic sur le menu outils en haut à droite puis options des dossiers
    -Dans la nouvelle fenêtre, clique sur l'onglet Affichage en haut
    -Coche dans la liste "Afficher les fichiers cachés"
    -Décoche "masquer les fichier protégés du système d’exploitation (recommandée)"
    -Tu vas recevoir un message qui te dit que cela peut endommager le système, n'en tiens pas compte.
    -Pour chaque disque dans le poste de travail : Fais un clic droit sur le disque dur – surtout ne double-clique pas dessus!!!
    -Choisis ouvrir dans le menu déroulant.
    -Cherche les fichiers suivants sur ton PC avec la fonction Recherche de windows.



    AdobeR.exe
    ne0kS.dll.wsf
    ne0kS.exe
    Sex City.jpg.wsf
    esta ig.vbs
    Ceux ci doit être sur ton support amovible : clé usb, disque dur externe
    LaunchU3.exe
    i.exe
    i.exe
    ntde1ect.com
    xo8wr9.exe
    pa39xth.cmd
    i.exe


    -Si présents, supprime-le en faisant un clic droit puis supprimer.
    -Répète l'opération sur tous les disques ou clés usb se trouvant dans le poste de travail.



    /*\Attention lire attentivement ce qui suit /*\

    Sauvegarde base de registre :

    Sauvegarde ta base de registre avec Erunt
    Aide :http://www.zebulon.fr/dossiers/57-6-sauvegarder-base-de-registre.html


    Création d'un fichier *.reg :

    Crée un fichier Bloc Notes avec le texte qui se trouve dans l'encadré ci-dessous (copie/colle):
    Démarrer/exécuter tape notepad


    REGEDIT4

    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0da72652-b462-11dc-9398-000ffe212d7d}]
    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0e0d8b6c-9206-11dc-9395-000ffe212d7d}]
    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0e0d8b6b-9206-11dc-9395-000ffe212d7d}]
    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0da72639-b462-11dc-9398-000ffe212d7d}]
    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{155fcfd7-9c11-11dc-9397-000ffe212d7d}]
    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{155fcfd9-9c11-11dc-9397-000ffe212d7d}]
    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{170acdb1-d3da-11dc-93a7-000ffe212d7d}]
    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{282c2b91-cf49-11dc-93a4-000ffe212d7d}]
    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{282c2b92-cf49-11dc-93a4-000ffe212d7d}]
    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{54ec2f6e-153c-11dd-93cf-000ffe212d7d}]
    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{64daded5-7316-11dc-938b-000ffe212d7d}]
    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6b55095a-15be-11dd-93d0-000ffe212d7d}]
    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7c315f60-7248-11dc-9388-000ffe212d7d}]
    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7c315f68-7248-11dc-9388-000ffe212d7d}]
    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7c7259d4-75aa-11dc-938d-000ffe212d7d}]
    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d9344e84-0a41-11dd-93cb-000ffe212d7d}]
    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d175f0ee-8075-11dc-938e-000ffe212d7d}]



  • Enregistre ce fichier dans : Bureau
  • Nom du fichier : fix.reg
  • Type : tous les fichiers !!
  • Clique sur Enregistrer
  • Quitte le Bloc Note

    Utilisation du fichier: fix.reg :
    Double clique sur le fichier (Bureau) / Accepte l'avertissement concernant la fusion / ne pas s'étonner de ne rien voir / valide le message disant que la fusion est terminée.

    Puis une fois fait
    Nous aurons besoin d'avoir le mode sans echec fonctionne t il ?





    -->Message édité par Laddy le 04/06/2008 14:06:04<--
    -------
    Offrez vous une bonne protection avec Antivir.
    Bibou0007.com
    • Nabiga
      
       
          ?   @     Posté le 04/06/2008 15:57:59  
    Voter pour ce message
    En attendant de t'envoyer la réponse aux instructions que tu a envoyé, je te confirme que je connais ces fichiers :
    C:\factg2_0508.lis
    C:\bi_decl_panne_saisie.fmx
    C:\bi_decl_panne_saisie.fmb
    C:\memoireka.lis
    C:\memoire.lis
    C:\memoire_zi.lis
    C:\memoiregor.lis

    Ce sont des fichiers générés d'un traitement "Oracle".
    A plus
    Laddy
      
       
          ?   @     Posté le 04/06/2008 16:30:10  
    Voter pour ce message
    ok merci je saurai à l'avenir.

    et tu ne réponds toujours pas à ma question pour les supports amovibles.

    -------
    Offrez vous une bonne protection avec Antivir.
    Bibou0007.com
    Nabiga
      
       
          ?   @     Posté le 04/06/2008 19:06:38  
    Voter pour ce message
    Excuses-moi,
    J'ai télécharger Flash disinfector et suivi les instruction que tu as données. J'ai pu ainsi trouver quelques infections de la liste postée surtout sur les clés. J'apperçois effectivemen