Deux problèmes à résoudre

clodon · Juillet 27, 2008, 1:19

Bonjour à tous;

J’aurais deux problèmes à résoudre.
Premièrement, je n’arrive pas à supprimer winnt32.dll, j’ai utiliser plusieurs solutions que j’avais vus sur le net mais il revient toujours. Mon antivirus avast, RegRun Security n’arrivent pas à le supprimer

Deuxièmement, j’ai dans mon poste de travail un web folders affiché dans autre, j’ai supprimé la clé à l’aide de regedit.exe mais il est toujours là, j’ai même supprimer le dossier qui se trouvait dans fichier commun et il n’y a que l’icone qui a changer.

Dans l’attente d’une aide efficace, je vous remercie de me répondre

clodon

guigui14100 · Juillet 27, 2008, 1:46

Salut

Post un log hijackthis
Tu clique sur le fichier HiJackThis.exe
Tu clique sur I accept
Tu clique sur Do a system Scan and save a logfile
A la fin du scan, un fichier texte s’ouvre et tu colle son contenu sur le forum.

Fait un scan complet avec malwarebytes antimalware, supprime toute les détection et post le rapport

clodon · Juillet 27, 2008, 4:07

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:00:24, on 27/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\QuickTime\QTTask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Mathieu\Bureau\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.orange.fr…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = go.microsoft.com…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = go.microsoft.com…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = go.microsoft.com…
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = go.microsoft.com…
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = red.clientapps.yahoo.com…
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Programme d’aide de l’Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM…\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,BluetoothAuthenticationAgent
O4 - HKLM…\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM…\Run: [AppleSyncNotifier] C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM…\Run: [QuickTime Task] “C:\Program Files\QuickTime\QTTask.exe” -atboottime
O4 - HKLM…\Run: [iTunesHelper] “C:\Program Files\iTunes\iTunesHelper.exe”
O4 - HKCU…\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - HKCU…\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SERVICE LOCAL’)
O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SERVICE RÉSEAU’)
O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’)
O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’)
O8 - Extra context menu item: E&xporter vers Microsoft Excel - C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE…
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra ‘Tools’ menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: www.secuser.com…
O16 - DPF: {74d05d43-3236-11d4-bdcd-00c04f9a3b61} (HouseCall Control) - a840.g.akamai.net…
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - support.f-secure.com…
O17 - HKLM\System\CCS\Services\Tcpip…{ADF91B85-1367-4C9E-A80E-55A3186C819B}: NameServer = 192.168.1.1
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

–
End of file - 6219 bytes

Malwarebytes' Anti-Malware 1.23 Version de la base de données: 997 Windows 5.1.2600 Service Pack 2

16:04:53 27/07/2008
mbam-log-7-27-2008 (16-04-53).txt

Type de recherche: Examen complet (C:|)
Eléments examinés: 185854
Temps écoulé: 1 hour(s), 37 minute(s), 19 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 5

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\wallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Program Files\InstallShield Installation Information{2E8EAC71-BFE4-417A-88F0-5A1BDFBCF5D3}\setup.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Wallpaper1.bmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Documents and Settings\Mathieu\Local Settings\Application Data\Microsoft\Wallpaper1.bmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Documents and Settings\Invité\Local Settings\Application Data\Microsoft\Wallpaper1.bmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Documents and Settings\Default User\Local Settings\Application Data\Microsoft\Wallpaper1.bmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Voilà, j'ai fait ce que tu m'as dit et j'ai tout supprimé.

guigui14100 · Juillet 27, 2008, 4:16

Ok

Désactive tes protection
Utilise combofix
Laisse le travailler et colle le rapport

clodon · Juillet 27, 2008, 4:35

ComboFix 08-07-26.1 - Mathieu 2008-07-27 16:20:35.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1542 [GMT 2:00]
Endroit: C:\Documents and Settings\Mathieu\Bureau\ComboFix.exe

Création d’un nouveau point de restauration

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N’EST PAS INSTALLÉE SUR CETTE MACHINE !!
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\WinNt32.dll

.
((((((((((((((((((((((((((((( Fichiers créés 2008-06-27 to 2008-07-27 ))))))))))))))))))))))))))))))))))))
.

2008-07-27 14:02 . 2008-07-27 14:02 d-------- C:\Program Files\Malwarebytes’ Anti-Malware
2008-07-27 14:02 . 2008-07-27 14:02 d-------- C:\Documents and Settings\Mathieu\Application Data\Malwarebytes
2008-07-27 14:02 . 2008-07-27 14:02 d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-07-27 14:02 . 2008-07-23 20:09 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-07-27 14:02 . 2008-07-23 20:09 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-07-27 12:06 . 2008-07-27 12:06 43 --a------ C:\WINDOWS\system32\Partizan.RRI
2008-07-27 09:44 . 2008-07-27 09:44 d-------- C:\WINDOWS\system32\20083141_7_27
2008-07-26 19:33 . 2008-07-27 16:11 0 --a------ C:\WINDOWS\system32\NvApps.xml
2008-07-26 12:59 . 2008-07-26 12:59 d-------- C:\WINDOWS\system32\20083147_7_26
2008-07-26 12:59 . 2008-07-27 09:44 78 --a------ C:\WINDOWS\lsoon.ini
2008-07-26 12:13 . 2008-07-27 12:06 d-------- C:\WINDOWS\RestoreSafeDeleted
2008-07-26 12:11 . 2008-07-26 13:00 d-------- C:\Documents and Settings\Mathieu\Application Data\Regrun
2008-07-26 12:11 . 2008-07-27 09:44 118 --a------ C:\WINDOWS\system32\rstore.ini
2008-07-26 12:11 . 2008-07-26 12:14 (2) -rahs-ot- C:\WINDOWS\winstart.bat
2008-07-26 12:10 . 2008-07-26 12:10 d-------- C:\Program Files\Greatis
2008-07-20 11:50 . 2008-07-20 11:51 d-------- C:\Program Files\iTunes
2008-07-20 11:49 . 2008-07-20 11:50 d-------- C:\Program Files\QuickTime
2008-07-20 11:48 . 2008-07-20 11:48 d-------- C:\Program Files\Apple Software Update
2008-07-20 11:47 . 2008-07-20 11:47 d-------- C:\Program Files\Fichiers communs\Apple
2008-07-20 11:47 . 2008-07-20 11:47 d-------- C:\Documents and Settings\All Users\Application Data\Apple
2008-07-20 11:14 . 2004-12-18 20:32 38,229 --------- C:\WINDOWS\system32\drivers\StMp3Rec.sys
2008-07-20 11:13 . 2008-07-20 11:51 d-------- C:\Program Files\iPod
2008-07-16 18:37 . 2008-07-27 16:11 2,206 --a------ C:\WINDOWS\system32\wpa.dbl
2008-07-15 18:44 . 2008-07-15 18:44 d-------- C:\Documents and Settings\Mathieu\Application Data\InstallShield
2008-07-15 18:44 . 2008-07-15 18:44 d-------- C:\Documents and Settings\All Users\Application Data\Avg8

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-27 11:44 --------- d-----w C:\Program Files\emule
2008-07-26 16:11 --------- d-----w C:\Program Files\Microsoft Games
2008-07-20 09:49 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple Computer
2008-07-20 09:16 --------- d–h--w C:\Program Files\InstallShield Installation Information
2008-07-20 09:16 --------- d-----w C:\Documents and Settings\Mathieu\Application Data\Apple Computer
2008-07-05 12:45 120 ----a-w C:\drmHeader.bin
2008-06-29 17:11 --------- d-----w C:\Program Files\EA GAMES
2008-06-20 17:37 247,808 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-06-20 10:44 360,960 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 09:32 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-14 17:59 272,768 ----a-w C:\WINDOWS\system32\drivers\bthport.sys
2008-05-30 16:18 --------- d-----w C:\Program Files\DivX
2008-05-20 17:17 91,744 ----a-w C:\WINDOWS\BPMNT.dll
2008-05-20 17:17 1,213,784 ----a-w C:\WINDOWS\vsapi32.dll
2008-05-17 10:32 71,749 ----a-w C:\WINDOWS\hcextoutput.dll
2008-05-17 10:32 333,576 ----a-w C:\WINDOWS\TSC.exe
2008-05-17 10:28 69,689 ----a-w C:\WINDOWS\UNZIP.DLL
2008-05-17 10:28 507,904 ----a-w C:\WINDOWS\TMUPDATE.DLL
2008-05-17 10:28 286,720 ----a-w C:\WINDOWS\PATCH.EXE
2008-05-13 01:53 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe
2008-05-13 01:53 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
2008-05-13 01:51 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2008-05-13 01:51 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2008-05-13 01:49 161,096 ----a-w C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2008-05-13 01:49 12,288 ----a-w C:\WINDOWS\system32\DivXWMPExtType.dll
2008-05-07 04:55 1,294,336 ----a-w C:\WINDOWS\system32\quartz.dll
2008-01-03 14:09 15,397 ----a-w C:\Program Files\settings.dat
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
Note les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“LDM”=“C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe” [2007-02-20 09:39 67128]
“ctfmon.exe”=“C:\WINDOWS\system32\ctfmon.exe” [2004-08-10 14:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“avast!”=“C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe” [2008-05-16 01:19 79224]
“NvCplDaemon”=“C:\WINDOWS\system32\NvCpl.dll” [2006-05-03 19:21 7405568]
“AppleSyncNotifier”=“C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe” [2008-07-10 09:47 116040]
“QuickTime Task”=“C:\Program Files\QuickTime\QTTask.exe” [2008-05-27 10:50 413696]
“iTunesHelper”=“C:\Program Files\iTunes\iTunesHelper.exe” [2008-07-10 10:51 289064]
“BluetoothAuthenticationAgent”=“bthprops.cpl” [2004-08-10 14:00 110592 C:\WINDOWS\system32\bthprops.cpl]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
“CTFMON.EXE”=“C:\WINDOWS\system32\CTFMON.EXE” [2004-08-10 14:00 15360]

C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1\DMARRA~1
Bluetooth Manager.lnk - C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe [2006-04-07 16:37:32 1773568]
Logitech SetPoint.lnk - C:\Program Files\Logitech\SetPoint\SetPoint.exe [2006-12-30 13:12:27 573440]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
“InstallVisualStyle”= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
“InstallTheme”= C:\WINDOWS\Resources\Themes\Royale.theme

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\cmv00.sys]
@=“Driver”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\enW66.sys]
@=“Driver”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\iqx18.sys]
@=“Driver”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\jsc77.sys]
@=“Driver”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\jsc88.sys]
@=“Driver”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\oxh11.sys]
@=“Driver”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\pyi77.sys]
@=“Driver”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\pyi87.sys]
@=“Driver”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\qaJ55.sys]
@=“Driver”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\tbI20.sys]
@=“Driver”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Xfm18.sys]
@=“Driver”

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
“NA_Service”=2 (0x2)
“WLSetupSvc”=3 (0x3)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
“AntiVirusDisableNotify”=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
“DisableMonitoring”=dword:00000001

[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
“EnableFirewall”= 0 (0x0)

[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
“C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE”=
“C:\Program Files\Microsoft Games\Age of Empires III\age3x.exe”=
“C:\WINDOWS\system32\sessmgr.exe”=
“C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe”=
“C:\Program Files\Messenger\msmsgs.exe”=
“C:\Program Files\iTunes\iTunes.exe”=

[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
“12762:TCP”= 12762:TCP:emule1
“59820:UDP”= 59820:UDP:emule2

R0 Xfm18;Xfm18;C:\WINDOWS\system32\Drivers\Xfm18.sys [2008-05-16 13:48]
R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-05-16 01:20]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-05-16 01:16]
R3 axvbusx;axvbusx;C:\WINDOWS\system32\DRIVERS\axvbusx.sys [2002-12-27 20:14]
R3 axvscsi;axvscsi;C:\WINDOWS\system32\DRIVERS\axvscsi.sys [2002-12-27 20:14]
R3 MBAMSwissArmy;MBAMSwissArmy;C:\WINDOWS\system32\drivers\mbamswissarmy.sys [2008-07-23 20:09]
S0 Partizan;Partizan;C:\WINDOWS\system32\drivers\Partizan.sys []
S3 NSX_CUSB;PLC USB IO driver;C:\WINDOWS\system32\Drivers\NSX_CUSB.sys [2005-11-17 05:17]
S3 RegGuard;RegGuard;C:\WINDOWS\system32\Drivers\regguard.sys []
S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 22:58]
S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 23:08]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{07be8cec-d572-11dc-a2e4-001060d0090d}]
\Shell\AutoRun\command - F:\autorun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{1f57969e-0512-11dc-a165-00030d4c8918}]
\Shell\AutoRun\command - E:\autorun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{2d0e28a0-fcc1-11dc-a32e-001060d0090d}]
\Shell\AutoRun\command - E:\autorun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{40a1a807-0060-11dc-a159-00030d4c8918}]
\Shell\AutoRun\command - E:\Setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{58f2307d-b007-11dc-a2a2-001060d0090d}]
\Shell\AutoRun\command - E:\Autorun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{62443568-f7c8-11db-a144-00030d4c8918}]
\Shell\AutoRun\command - E:_aom.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{eff5b5f8-4b52-11dc-a1f2-00030d4c8918}]
\Shell\AutoRun\command - E:\csetup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{fad1378e-ec44-11dc-a311-001060d0090d}]
\Shell\AutoRun\command - E:\Autorun.exe

Newly Created Service - MBAMSWISSARMY
.
Contenu du dossier ‘Scheduled Tasks/Tâches planifiées’
2008-07-20 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job - s!:C:\Program Files\Apple Software Update\SoftwareUpdate.exe-taskSYSTEM0@ []
.
.
------- Supplementary Scan -------
.
R0 -: HKCU-Main,SearchMigratedDefaultURL = search.yahoo.com…
R0 -: HKCU-Main,Start Page = www.orange.fr…
R1 -: HKCU-SearchURL,(Default) = red.clientapps.yahoo.com…
O8 -: E&xporter vers Microsoft Excel - C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O17 -: HKLM\CCS\Interface{ADF91B85-1367-4C9E-A80E-55A3186C819B}: NameServer = 192.168.1.1
O18 -: Handler: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, www.gmer.net…
Rootkit scan 2008-07-27 16:24:28
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés …

Balayage caché autostart entries …

Balayage des fichiers cachés …

C:\Documents and Settings\Mathieu\Local Settings\Application Data\Microsoft\Windows\GameExplorer{DFEF49D9-FC95-4301-99B9-2FB91C6ABA06}\PlayTasks\1\Les Sims 2 : Boit@Look.lnk 1093 bytes hidden from API

Scan terminé avec succès
Les fichiers cachés: 1

.
Temps d’accomplissement: 2008-07-27 16:32:16
ComboFix-quarantined-files.txt 2008-07-27 14:31:28
ComboFix2.txt 2008-07-15 17:38:04

Pre-Run: 16,761,802,752 octets libres
Post-Run: 16,811,466,752 octets libres

191 — E O F — 2008-07-14 19:49:36

ok Voici le rapport

guigui14100 · Juillet 27, 2008, 4:54

Upload sa sur virus total et post le rapport en precissant quelle fichier

clodon · Juillet 27, 2008, 5:08

Les disques E et F ne sont pas disponible
C:\WINDOWS\system32\Drivers\Xfm18.sys
C:\WINDOWS\system32\drivers\Partizan.sys
C:\WINDOWS\system32\Drivers\regguard.sys
me donnent comme message
0 bytes size received / Se ha recibido un archivo vacio

Quand aux autres fichiers, il n’y a rien

guigui14100 · Juillet 27, 2008, 5:17

Normal sa devait etre des périphérique amovible

OK ton probléme et toujours présent?

clodon · Juillet 27, 2008, 5:22

Oui, j’ai redémarrer mon pc et le fichier winnt32.dll est toujours présent
A chaque fois avast le supprime ou le met en quarantaine et il revient

Et le web folders ou dossier web est toujours présent

guigui14100 · Juillet 27, 2008, 5:25

Ok démarre en mode sans echec et refait un combofix

clodon · Juillet 27, 2008, 6:18

ComboFix 08-07-26.1 - Mathieu 2008-07-27 17:32:27.3 - NTFSx86 MINIMAL
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1768 [GMT 2:00]
Endroit: C:\Documents and Settings\Mathieu\Bureau\suche\ComboFix.exe

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N’EST PAS INSTALLÉE SUR CETTE MACHINE !!
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\WinNt32.dll

.
((((((((((((((((((((((((((((( Fichiers cr??s 2008-06-27 to 2008-07-27 ))))))))))))))))))))))))))))))))))))
.

2008-07-27 14:02 . 2008-07-27 14:02 d-------- C:\Program Files\Malwarebytes’ Anti-Malware
2008-07-27 14:02 . 2008-07-27 14:02 d-------- C:\Documents and Settings\Mathieu\Application Data\Malwarebytes
2008-07-27 14:02 . 2008-07-27 14:02 d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-07-27 14:02 . 2008-07-23 20:09 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-07-27 14:02 . 2008-07-23 20:09 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-07-27 12:06 . 2008-07-27 12:06 43 --a------ C:\WINDOWS\system32\Partizan.RRI
2008-07-27 09:44 . 2008-07-27 09:44 d-------- C:\WINDOWS\system32\20083141_7_27
2008-07-26 19:33 . 2008-07-27 17:38 0 --a------ C:\WINDOWS\system32\NvApps.xml
2008-07-26 12:59 . 2008-07-26 12:59 d-------- C:\WINDOWS\system32\20083147_7_26
2008-07-26 12:59 . 2008-07-27 09:44 78 --a------ C:\WINDOWS\lsoon.ini
2008-07-26 12:13 . 2008-07-27 12:06 d-------- C:\WINDOWS\RestoreSafeDeleted
2008-07-26 12:11 . 2008-07-26 13:00 d-------- C:\Documents and Settings\Mathieu\Application Data\Regrun
2008-07-26 12:11 . 2008-07-27 09:44 118 --a------ C:\WINDOWS\system32\rstore.ini
2008-07-26 12:11 . 2008-07-26 12:14 (2) -rahs-ot- C:\WINDOWS\winstart.bat
2008-07-26 12:10 . 2008-07-26 12:10 d-------- C:\Program Files\Greatis
2008-07-20 11:50 . 2008-07-20 11:51 d-------- C:\Program Files\iTunes
2008-07-20 11:49 . 2008-07-20 11:50 d-------- C:\Program Files\QuickTime
2008-07-20 11:48 . 2008-07-20 11:48 d-------- C:\Program Files\Apple Software Update
2008-07-20 11:47 . 2008-07-20 11:47 d-------- C:\Program Files\Fichiers communs\Apple
2008-07-20 11:47 . 2008-07-20 11:47 d-------- C:\Documents and Settings\All Users\Application Data\Apple
2008-07-20 11:14 . 2004-12-18 20:32 38,229 --------- C:\WINDOWS\system32\drivers\StMp3Rec.sys
2008-07-20 11:13 . 2008-07-20 11:51 d-------- C:\Program Files\iPod
2008-07-16 18:37 . 2008-07-27 17:38 2,206 --a------ C:\WINDOWS\system32\wpa.dbl
2008-07-15 18:44 . 2008-07-15 18:44 d-------- C:\Documents and Settings\Mathieu\Application Data\InstallShield
2008-07-15 18:44 . 2008-07-15 18:44 d-------- C:\Documents and Settings\All Users\Application Data\Avg8

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-27 11:44 --------- d-----w C:\Program Files\emule
2008-07-26 16:11 --------- d-----w C:\Program Files\Microsoft Games
2008-07-20 09:49 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple Computer
2008-07-20 09:16 --------- d–h--w C:\Program Files\InstallShield Installation Information
2008-07-20 09:16 --------- d-----w C:\Documents and Settings\Mathieu\Application Data\Apple Computer
2008-07-05 12:45 120 ----a-w C:\drmHeader.bin
2008-06-29 17:11 --------- d-----w C:\Program Files\EA GAMES
2008-06-20 10:44 360,960 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 09:32 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-14 17:59 272,768 ----a-w C:\WINDOWS\system32\drivers\bthport.sys
2008-05-30 16:18 --------- d-----w C:\Program Files\DivX
2008-05-20 17:17 91,744 ----a-w C:\WINDOWS\BPMNT.dll
2008-05-20 17:17 1,213,784 ----a-w C:\WINDOWS\vsapi32.dll
2008-05-17 10:32 71,749 ----a-w C:\WINDOWS\hcextoutput.dll
2008-05-17 10:32 333,576 ----a-w C:\WINDOWS\TSC.exe
2008-05-17 10:28 69,689 ----a-w C:\WINDOWS\UNZIP.DLL
2008-05-17 10:28 507,904 ----a-w C:\WINDOWS\TMUPDATE.DLL
2008-05-17 10:28 286,720 ----a-w C:\WINDOWS\PATCH.EXE
2008-01-03 14:09 15,397 ----a-w C:\Program Files\settings.dat
.

((((((((((((((((((((((((((((( snapshot@2008-07-27_16.31.19.95 )))))))))))))))))))))))))))))))))))))))))
.

2008-07-27 15:38:16 16,384 ----atw C:\WINDOWS\temp\Perflib_Perfdata_144.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
Note les ?l?ments vides & les ?l?ments initiaux l?gitimes ne sont pas list?s