Win32:Swizzor, comment m'en débarrasser?

omtaam · Août 26, 2008, 11:20

Bonjour à toutes et tous.

Je ne parviens pas à me débarrasser d’un cheval de troie nommé Win32:swizzor. Avast le détecte mais semble totalement incapable de l’éliminer. J’ai également tenter de le déloger avec l’aide de Hitman Pro, mais malheureusement, rien n’y fait.

Merci d’avance pour votre aide.

Oli.

cricri58 · Août 26, 2008, 11:25

bonjour
Fais d abord ceci apres on s occupes de toi no probs
www.clubic.com…

:hello:

omtaam · Août 26, 2008, 11:50

Merci pour ta réponse, je te donne ici une copie du premier scan hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:49:13, on 26/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\ATKKBService.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Labtec\Keyboard\V5.1\kbdap32a.exe
C:\Program Files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Spyware Doctor\pctsTray.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\Program Files\ZyDAS Technology Corporation\ZyDAS_802.11g_Utility\ZDWlan.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\cecile_2\Bureau\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM…\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM…\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM…\Run: [RemoteControl] “C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe”
O4 - HKLM…\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM…\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM…\Run: [OFFICEKB] C:\Program Files\Labtec\Keyboard\V5.1\kbdap32a.exe
O4 - HKLM…\Run: [SSBkgdUpdate] “C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe” -Embedding -boot
O4 - HKLM…\Run: [OpwareSE4] “C:\Program Files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe”
O4 - HKLM…\Run: [SunJavaUpdateSched] “C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe”
O4 - HKLM…\Run: [QuickTime Task] “C:\Program Files\QuickTime\qttask.exe” -atboottime
O4 - HKLM…\Run: [iTunesHelper] “C:\Program Files\iTunes\iTunesHelper.exe”
O4 - HKLM…\Run: [ISTray] “C:\Program Files\Spyware Doctor\pctsTray.exe”
O4 - HKLM…\Run: [BMe76e5d05] Rundll32.exe “C:\WINDOWS\system32\fnwtjiol.dll”,s
O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU…\Run: [msnmsgr] “C:\Program Files\MSN Messenger\msnmsgr.exe” /background
O4 - HKCU…\Run: [Default Bias] C:\DOCUME~1\cecile_2\APPLIC~1\BARBWA~1\Audio Draw Tons.exe
O4 - HKCU…\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU…\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\FlashUtil9c.exe
O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SERVICE LOCAL’)
O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SERVICE RÉSEAU’)
O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’)
O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’)
O4 - Global Startup: Lancement rapide d’Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logiciel Kodak EasyShare.lnk = C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: ZDWLan Utility.lnk = C:\Program Files\ZyDAS Technology Corporation\ZyDAS_802.11g_Utility\ZDWlan.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE…
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra ‘Tools’ menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - messenger.zone.msn.com…
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - messenger.zone.msn.com…
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - messenger.zone.msn.com…
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: Moteur Webroot Spy Sweeper (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

–
End of file - 7169 bytes

Je vais maintenant vider les dossier temporaires. Merci encore pour ton aide.

edit : les fichiers temporaires ont été supprimés. Je suis maintenant en train d’effectuer le scan antivirus en mode sans échec.
Edité le 26/08/2008 à 11:57

cricri58 · Août 26, 2008, 12:24

Avant de Fixer les lignes avec Hijacthis

Fais un scan en mode sans echec avec Malwarebytes et post le rapport
www.clubic.com…
suivi du scan Kaspersky online avec Explorer ,tu fermeras tes autres applications et desactives tes protections pendant l analyse
webscanner.kaspersky.fr…
et coole le rapport icia+

:hello:

omtaam · Août 26, 2008, 12:52

Je suis en train d’effectuer un scan avec Malwarebytes. Seulement, j’ai choisi le mode de scan minutieux, ce qui prend beaucoup de temp. Cela fait déjà près de 20 minutes qu’il est en cours, et il a déjà trouvé 8 éléments infectés.
Je te tiens au courant et poste le rapport dès qu’il est terminé.

Encore merci pour ton aide.

cricri58 · Août 26, 2008, 12:57

prends ton temps et poste le rapport ,puis Kaspersky online scanner et colle le aussi le rapport ;il y aura guigui14100 ou Alain 7731,Apple Chocalat ,Silggins et d autres dans les alentours t inquietes

a+

:hello:

guigui14100 · Août 26, 2008, 1:11

salut

Oui je suis la tout les soirs (enfin presque) et vite fait le midi entre le boulot
C’est normal que sa préne un peu de temps, sa scan tout le disque dur

omtaam · Août 26, 2008, 2:12

Voilà le rapport de Malwarebytes. Lors de la suppression des fichiers infectés, il m’a averti que certains ne pouvaient l’être mais qu’ils seraient supprimer lors du redémarrage. Je ne sais pas si cela a été fait.

Rapport MBAM :

Malwarebytes’ Anti-Malware 1.25
Version de la base de données: 1087
Windows 5.1.2600 Service Pack 2

14:06:47 26/08/2008
mbam-log-08-26-2008 (14-06-47).txt

Type de recherche: Examen complet (C:|D:|)
Eléments examinés: 103374
Temps écoulé: 1 hour(s), 31 minute(s), 8 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 11
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 10

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\WINDOWS\system32\yayyWqrS.dll (Trojan.Vundo.H) -> Delete on reboot.

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{30a23dff-bc30-4c7f-a3a8-bdc481011c7d} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID{30a23dff-bc30-4c7f-a3a8-bdc481011c7d} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\IProxyProvider (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\SystemDoctor Free (Rogue.SystemDoctor) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\bme76e5d05 (Trojan.Agent) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\yayywqrs -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\yayywqrs -> Delete on reboot.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\yayyWqrS.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\SrqWyyay.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\SrqWyyay.ini2 (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\bnfjsfxb.exe (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\mcrh.tmp (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\fnwtjiol.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\pskt.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\BMe76e5d05.xml (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\BMe76e5d05.txt (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\clkcnt.txt (Trojan.Vundo) -> Quarantined and deleted successfully.

Je vais à présent faire le scan antivirus en ligne et j’afficherai le rapport. Après cela, dois-je à nouveau effectuer une analyse hijackthis?

omtaam · Août 26, 2008, 5:04

Je n’édite pas mon poste précédent pour garder un peu de clarté. Je poste ici le rapport de l’analyse antivirus en ligne. Mon souci est qu’il a bien trouvé des éléments infectés, mais je ne vois pas comment les éliminer.

KASPERSKY ON-LINE SCANNER REPORT
Tuesday, August 26, 2008 4:54:57 PM
Système d’exploitation : Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version : 5.0.84.2
Dernière mise à jour de la base antivirus Kaspersky : 26/08/2008
Enregistrements dans la base antivirus Kaspersky : 1022830

Paramètres d’analyse:
Analyser avec la base antivirus suivante: standard
Analyser les archives: vrai
Analyser les bases de messagerie: vrai

Cible de l’analyse - Poste de travail:
A:
C:
D:
M:
N:\

Statistiques de l’analyse:
Total d’objets analysés: 55931
Nombre de virus trouvés: 2
Nombre d’objets infectés: 7 / 0
Nombre d’objets suspects: 0
Durée de l’analyse: 00:47:44

Nom de l’objet infecté / Nom du virus / Dernière action
C:\Documents and Settings\Administrateur\Application Data\Sun\Java\Deployment\cache\6.0\57\538bb179-32055eaa/OP.class Infecté : Trojan-Downloader.Java.OpenStream.ac ignoré
C:\Documents and Settings\Administrateur\Application Data\Sun\Java\Deployment\cache\6.0\57\538bb179-32055eaa ZIP: infecté - 1 ignoré
C:\Documents and Settings\Administrateur\Mes documents\Ma musique\Eros Ramazzotti - Musica (duet with A. Bocelli).mp3 Infecté : Trojan-Downloader.WMA.Wimad.n ignoré
C:\Documents and Settings\Administrateur\Mes documents\Ma musique\les cardinaux en costumes.mp3 Infecté : Trojan-Downloader.WMA.Wimad.n ignoré
C:\Documents and Settings\Administrateur\Mes documents\Ma musique\promises radiohead.mp3 Infecté : Trojan-Downloader.WMA.Wimad.n ignoré
C:\Documents and Settings\All Users\Application Data\Microsoft\Dr Watson\user.dmp L’objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat L’objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat L’objet est verrouillé ignoré
C:\Documents and Settings\cecile\Application Data\Sun\Java\Deployment\cache\6.0\57\538bb179-2ae3a1b9/OP.class Infecté : Trojan-Downloader.Java.OpenStream.ac ignoré
C:\Documents and Settings\cecile\Application Data\Sun\Java\Deployment\cache\6.0\57\538bb179-2ae3a1b9 ZIP: infecté - 1 ignoré
C:\Documents and Settings\cecile_2\Cookies\index.dat L’objet est verrouillé ignoré
C:\Documents and Settings\cecile_2\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L’objet est verrouillé ignoré
C:\Documents and Settings\cecile_2\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L’objet est verrouillé ignoré
C:\Documents and Settings\cecile_2\Local Settings\Historique\History.IE5\index.dat L’objet est verrouillé ignoré
C:\Documents and Settings\cecile_2\Local Settings\Temporary Internet Files\Content.IE5\index.dat L’objet est verrouillé ignoré
C:\Documents and Settings\cecile_2\NTUSER.DAT L’objet est verrouillé ignoré
C:\Documents and Settings\cecile_2\ntuser.dat.LOG L’objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Application Data\Webroot\Spy Sweeper\Data\settings.dat L’objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L’objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L’objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Temp\Cookies\index.dat L’objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Temp\Historique\History.IE5\index.dat L’objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Temp\Temporary Internet Files\Content.IE5\index.dat L’objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L’objet est verrouillé ignoré
C:\Documents and Settings\LocalService\NTUSER.DAT L’objet est verrouillé ignoré
C:\Documents and Settings\LocalService\ntuser.dat.LOG L’objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L’objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L’objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\NTUSER.DAT L’objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\ntuser.dat.LOG L’objet est verrouillé ignoré
C:\Program Files\Alwil Software\Avast4\DATA\aswResp.dat L’objet est verrouillé ignoré
C:\Program Files\Alwil Software\Avast4\DATA\Avast4.db L’objet est verrouillé ignoré
C:\Program Files\Alwil Software\Avast4\DATA\integ\avast.int L’objet est verrouillé ignoré
C:\Program Files\Alwil Software\Avast4\DATA\log\nshield.log L’objet est verrouillé ignoré
C:\Program Files\Alwil Software\Avast4\DATA\log\selfdef.log L’objet est verrouillé ignoré
C:\Program Files\Webroot\Spy Sweeper\Masters\Masters.const L’objet est verrouillé ignoré
C:\Program Files\Webroot\Spy Sweeper\Masters\Masters.mst L’objet est verrouillé ignoré
C:\Program Files\Webroot\Spy Sweeper\Masters.base L’objet est verrouillé ignoré
C:\System Volume Information\MountPointManagerRemoteDatabase L’objet est verrouillé ignoré
C:\WINDOWS\Debug\PASSWD.LOG L’objet est verrouillé ignoré
C:\WINDOWS\SchedLgU.Txt L’objet est verrouillé ignoré
C:\WINDOWS\Sti_Trace.log L’objet est verrouillé ignoré
C:\WINDOWS\system32\CatRoot2\edb.log L’objet est verrouillé ignoré
C:\WINDOWS\system32\CatRoot2\tmp.edb L’objet est verrouillé ignoré
C:\WINDOWS\system32\config\Antivirus.Evt L’objet est verrouillé ignoré
C:\WINDOWS\system32\config\AppEvent.Evt L’objet est verrouillé ignoré
C:\WINDOWS\system32\config\default L’objet est verrouillé ignoré
C:\WINDOWS\system32\config\default.LOG L’objet est verrouillé ignoré
C:\WINDOWS\system32\config\ODiag.evt L’objet est verrouillé ignoré
C:\WINDOWS\system32\config\OSession.evt L’objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM L’objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM.LOG L’objet est verrouillé ignoré
C:\WINDOWS\system32\config\SecEvent.Evt L’objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY L’objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY.LOG L’objet est verrouillé ignoré
C:\WINDOWS\system32\config\software L’objet est verrouillé ignoré
C:\WINDOWS\system32\config\software.LOG L’objet est verrouillé ignoré
C:\WINDOWS\system32\config\SysEvent.Evt L’objet est verrouillé ignoré
C:\WINDOWS\system32\config\system L’objet est verrouillé ignoré
C:\WINDOWS\system32\config\system.LOG L’objet est verrouillé ignoré
C:\WINDOWS\system32\h323log.txt L’objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L’objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L’objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L’objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L’objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L’objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L’objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L’objet est verrouillé ignoré
C:\WINDOWS\Temp\Perflib_Perfdata_604.dat L’objet est verrouillé ignoré
C:\WINDOWS\wiadebug.log L’objet est verrouillé ignoré
C:\WINDOWS\wiaservc.log L’objet est verrouillé ignoré
D:\System Volume Information\MountPointManagerRemoteDatabase L’objet est verrouillé ignoré

Analyse terminée.

Dois-je refaire et reposter une analyse hijackthis?

Merci encore.
Edité le 26/08/2008 à 18:16

omtaam · Août 26, 2008, 6:22

Je poste finalement le rapport hijackthis fait après tout cela.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:20:06, on 26/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Labtec\Keyboard\V5.1\kbdap32a.exe
C:\WINDOWS\ATKKBService.exe
C:\Program Files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\ZyDAS Technology Corporation\ZyDAS_802.11g_Utility\ZDWlan.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Documents and Settings\cecile_2\Bureau\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {1F6AC0B9-6DA1-4BAF-B6B5-2AA37D45CE99} - C:\WINDOWS\system32\wvUMCrom.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM…\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM…\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM…\Run: [RemoteControl] “C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe”
O4 - HKLM…\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM…\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM…\Run: [OFFICEKB] C:\Program Files\Labtec\Keyboard\V5.1\kbdap32a.exe
O4 - HKLM…\Run: [SSBkgdUpdate] “C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe” -Embedding -boot
O4 - HKLM…\Run: [OpwareSE4] “C:\Program Files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe”
O4 - HKLM…\Run: [SunJavaUpdateSched] “C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe”
O4 - HKLM…\Run: [QuickTime Task] “C:\Program Files\QuickTime\qttask.exe” -atboottime
O4 - HKLM…\Run: [iTunesHelper] “C:\Program Files\iTunes\iTunesHelper.exe”
O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU…\Run: [msnmsgr] “C:\Program Files\MSN Messenger\msnmsgr.exe” /background
O4 - HKCU…\Run: [Default Bias] C:\DOCUME~1\cecile_2\APPLIC~1\BARBWA~1\Audio Draw Tons.exe
O4 - HKCU…\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SERVICE LOCAL’)
O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SERVICE RÉSEAU’)
O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’)
O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’)
O4 - Global Startup: Lancement rapide d’Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logiciel Kodak EasyShare.lnk = C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: ZDWLan Utility.lnk = C:\Program Files\ZyDAS Technology Corporation\ZyDAS_802.11g_Utility\ZDWlan.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE…
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra ‘Tools’ menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - webscanner.kaspersky.fr…
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - messenger.zone.msn.com…
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - messenger.zone.msn.com…
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - messenger.zone.msn.com…
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: Moteur Webroot Spy Sweeper (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

–
End of file - 7764 bytes

:neutre:

guigui14100 · Août 26, 2008, 7:50

Salut

Sélectionne dans hijackthis

Et fixed checked

Passe un coup de vundofix au cas ou il y est des reste de l’infection vundo

omtaam · Août 26, 2008, 8:00

J’ai bien effectué les manipulations que tu m’as indiqué ; fixé la ligne et passé un coups de vundofix (qui n’a rien trouvé d’ailleurs). Seulement, après cela j’ai relancé un scan avast qui m’a prévenu de la présence d’un virus. Toujours le même… Je lui ai dit de le supprimer et la le scan continue de se dérouler. Wait and see. Mais n’y a-t-il aucune autre manip’ à faire?

Merci à toi aussi pour ton aide.

guigui14100 · Août 26, 2008, 8:17

Désactive tes protection
Utilise combofix laisse travailler et colle le rapport

omtaam · Août 26, 2008, 11:31

Rebonsoir à tous, un petit contre-temps m’a éloigné de cet ordi malade.

J’ai terminé l’analyse combofix. Voici le rapport :

ComboFix 08-08-25.01 - cecile_2 2008-08-26 20:29:34.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.198 [GMT 2:00]
Endroit: C:\Documents and Settings\cecile_2\Bureau\ComboFix.exe

Création d’un nouveau point de restauration

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N’EST PAS INSTALLÉE SUR CETTE MACHINE !!
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\Administrateur\Application Data\macromedia\Flash Player#SharedObjects\S77QLNAY\bin.clearspring.com
C:\Documents and Settings\Administrateur\Application Data\macromedia\Flash Player#SharedObjects\S77QLNAY\bin.clearspring.com\clearspring.sol
C:\Documents and Settings\Administrateur\Application Data\macromedia\Flash Player\macromedia.com\support\flashplayer\sys#bin.clearspring.com
C:\Documents and Settings\Administrateur\Application Data\macromedia\Flash Player\macromedia.com\support\flashplayer\sys#bin.clearspring.com\settings.sol
C:\Documents and Settings\cecile\Application Data\macromedia\Flash Player#SharedObjects\MS37DSZQ\bin.clearspring.com
C:\Documents and Settings\cecile\Application Data\macromedia\Flash Player#SharedObjects\MS37DSZQ\bin.clearspring.com\clearspring.sol
C:\Documents and Settings\cecile\Application Data\macromedia\Flash Player\macromedia.com\support\flashplayer\sys#bin.clearspring.com
C:\Documents and Settings\cecile\Application Data\macromedia\Flash Player\macromedia.com\support\flashplayer\sys#bin.clearspring.com\settings.sol
C:\Documents and Settings\cecile_2\Application Data\macromedia\Flash Player#SharedObjects\PPKW9UDF\bin.clearspring.com
C:\Documents and Settings\cecile_2\Application Data\macromedia\Flash Player#SharedObjects\PPKW9UDF\bin.clearspring.com\clearspring.sol
C:\Documents and Settings\cecile_2\Application Data\macromedia\Flash Player\macromedia.com\support\flashplayer\sys#bin.clearspring.com
C:\Documents and Settings\cecile_2\Application Data\macromedia\Flash Player\macromedia.com\support\flashplayer\sys#bin.clearspring.com\settings.sol
C:\WINDOWS\system32_000012_.tmp.dll
C:\WINDOWS\system32\ickdelfh.dll
C:\WINDOWS\system32\morCMUvw.ini
C:\WINDOWS\system32\morCMUvw.ini2
C:\WINDOWS\system32\xjbwdsib.ini
D:\Autorun.inf

.
((((((((((((((((((((((((((((( Fichiers créés 2008-07-26 to 2008-08-26 ))))))))))))))))))))))))))))))))))))
.

2008-08-26 19:54 . 2008-08-26 19:54 d-------- C:\VundoFix Backups
2008-08-26 14:16 . 2008-08-26 14:16 d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-08-26 14:16 . 2008-08-26 14:16 d-------- C:\WINDOWS\LastGood
2008-08-26 11:58 . 2008-08-26 11:58 d-------- C:\Documents and Settings\NetworkService\Application Data\Webroot
2008-08-26 11:55 . 2008-08-26 11:55 d-------- C:\Program Files\Malwarebytes’ Anti-Malware
2008-08-26 11:55 . 2008-08-26 11:55 d-------- C:\Documents and Settings\cecile_2\Application Data\Malwarebytes
2008-08-26 11:55 . 2008-08-26 11:55 d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-08-26 11:55 . 2008-08-17 15:01 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-26 11:55 . 2008-08-17 15:01 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-08-25 15:37 . 2008-08-25 15:38 d-------- C:\Program Files\Spyware Doctor
2008-08-25 15:37 . 2008-08-26 14:18 d-a------ C:\Documents and Settings\All Users\Application Data\TEMP
2008-08-25 15:37 . 2008-08-25 15:37 d-------- C:\Documents and Settings\Administrateur\Application Data\PC Tools
2008-08-25 15:37 . 2008-06-10 21:22 81,288 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2008-08-25 15:37 . 2008-06-02 15:19 66,952 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2008-08-25 15:37 . 2008-06-02 15:19 42,376 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2008-08-25 15:37 . 2008-06-02 15:19 29,576 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2008-08-25 15:36 . 2008-08-25 15:36 d-------- C:\Program Files\Webroot
2008-08-25 15:36 . 2008-08-25 15:36 d-------- C:\Documents and Settings\LocalService\Application Data\Webroot
2008-08-25 15:36 . 2008-08-25 15:36 d-------- C:\Documents and Settings\All Users\Application Data\Webroot
2008-08-25 15:36 . 2007-03-01 19:54 144,960 --a------ C:\WINDOWS\system32\drivers\ssidrv.sys
2008-08-25 15:36 . 2007-03-01 19:54 22,080 --a------ C:\WINDOWS\system32\drivers\sshrmd.sys
2008-08-25 15:36 . 2007-03-01 19:54 21,056 --a------ C:\WINDOWS\system32\drivers\sskbfd.sys
2008-08-25 15:36 . 2007-03-01 19:54 20,544 --a------ C:\WINDOWS\system32\drivers\SSFS0509.sys
2008-08-25 15:33 . 2008-08-25 15:33 d-------- C:\Program Files\TeaTimer (Spybot - Search & Destroy)
2008-08-25 15:33 . 2008-08-25 15:33 d-------- C:\Program Files\Spybot - Search & Destroy
2008-08-25 15:33 . 2008-08-25 17:00 d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-08-25 15:33 . 2008-08-25 15:33 d-------- C:\Documents and Settings\Administrateur\Application Data\Webroot
2008-08-25 15:33 . 2008-08-25 15:33 164 --a------ C:\install.dat
2008-08-25 15:32 . 2008-08-25 15:39 d-------- C:\Program Files\SpywareBlaster
2008-08-25 15:30 . 2008-08-25 15:30 d-------- C:\Documents and Settings\All Users\Application Data\Prevx
2008-08-25 15:27 . 2008-08-25 15:27 d-------- C:\WINDOWS\system32\GroupPolicy
2008-08-25 15:26 . 2008-08-25 18:34 d-------- C:\Program Files\Hitman Pro
2008-08-17 20:46 . 2008-05-01 16:31 331,776 -----c— C:\WINDOWS\system32\dllcache\msadce.dll
2008-08-17 20:31 . 2008-08-17 20:31 d-------- C:\Program Files\barb way acid

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-26 17:58 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\barb way acid
2008-08-26 09:23 --------- d-----w C:\Documents and Settings\All Users\Application Data\Memo save stupid creative
2008-08-25 17:22 --------- d-----w C:\Documents and Settings\cecile_2\Application Data\barb way acid
2008-08-25 16:19 --------- d-----w C:\Program Files\Circle Developement
2008-08-20 12:57 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\LimeWire
2008-08-18 18:54 --------- d-----w C:\Documents and Settings\All Users\Application Data\Microsoft Help
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
2008-07-07 20:31 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-06-29 20:00 --------- d-----w C:\Program Files\LimeWire
2008-06-24 16:23 74,240 ----a-w C:\WINDOWS\system32\mscms.dll
2008-06-23 15:40 663,552 ----a-w C:\WINDOWS\system32\wininet.dll
2008-06-20 17:41 247,808 ----a-w C:\WINDOWS\system32\mswsock.dll
2004-10-01 13:00 40,960 ----a-w C:\Program Files\Uninstall_CDS.exe
.

------- Sigcheck -------

2004-08-19 16:10 14336 2979b03d5382a602623c0535b16ab9c0 C:\WINDOWS\system32\svchost.exe

2004-08-19 16:09 82944 eed74b969b2ca1acc558ff60fb420e28 C:\WINDOWS\system32\ws2_32.dll

2004-08-19 16:10 506368 123eea158f74d0f67a51dcdf065d1091 C:\WINDOWS\system32\winlogon.exe

2004-08-03 23:14 182912 558635d3af1c7546d26067d5d9b6959e C:\WINDOWS\system32\drivers\ndis.sys

2004-08-03 23:00 29056 4448006b6bc60e6c027932cfc38d6855 C:\WINDOWS\system32\drivers\ip6fw.sys

2004-08-19 16:10 108544 63dcde1a0d86eeb8924d6738ff616ead C:\WINDOWS\system32\services.exe

2004-08-19 16:09 13312 259af82a0932eea4f316f92db94707b6 C:\WINDOWS\system32\lsass.exe

2004-08-19 16:09 15360 64e41e8fee655b03e3f19ded21ba5118 C:\WINDOWS\system32\ctfmon.exe

2004-08-19 16:10 25088 84717891f0734c611721f56c60b5fbc3 C:\WINDOWS\system32\userinit.exe
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
Note les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“CTFMON.EXE”=“C:\WINDOWS\system32\ctfmon.exe” [2004-08-19 16:09 15360]
“msnmsgr”=“C:\Program Files\MSN Messenger\msnmsgr.exe” [2007-01-19 12:55 5674352]
“swg”=“C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe” [2008-02-08 13:06 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“ATIPTA”=“C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe” [2005-05-24 21:05 344064]
“RemoteControl”=“C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe” [2004-11-02 20:24 32768]
“NeroFilterCheck”=“C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe” [2006-01-12 16:40 155648]
“avast!”=“C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe” [2008-05-16 01:19 79224]
“OFFICEKB”=“C:\Program Files\Labtec\Keyboard\V5.1\kbdap32a.exe” [2007-05-03 20:03 387584]
“SSBkgdUpdate”=“C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe” [2003-09-30 00:14 155648]
“OpwareSE4”=“C:\Program Files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe” [2006-03-21 13:19 69632]
“SunJavaUpdateSched”=“C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe” [2008-02-22 04:25 144784]
“QuickTime Task”=“C:\Program Files\QuickTime\qttask.exe” [2007-06-29 06:24 286720]
“iTunesHelper”=“C:\Program Files\iTunes\iTunesHelper.exe” [2007-09-26 14:42 267064]
“SoundMan”=“SOUNDMAN.EXE” [2006-08-02 23:12 577536 C:\WINDOWS\soundman.exe]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
“CTFMON.EXE”=“C:\WINDOWS\system32\CTFMON.EXE” [2004-08-19 16:09 15360]

C:\Documents and Settings\All Users\Menu D?marrer\Programmes\D?marrage
Lancement rapide d’Adobe Reader.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 22:05:26 29696]
Logiciel Kodak EasyShare.lnk - C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe [2007-09-19 04:33:46 282624]
ZDWLan Utility.lnk - C:\Program Files\ZyDAS Technology Corporation\ZyDAS_802.11g_Utility\ZDWlan.exe [2007-05-24 18:54:35 413696]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dllschannel.dlldigest.dllmsnsspc.dll

[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
“%windir%\system32\sessmgr.exe”=
“C:\Program Files\Messenger\msmsgs.exe”=
“C:\Program Files\Shareaza\Shareaza.exe”=
“C:\Program Files\eMule\emule.exe”=
“C:\Program Files\LimeWire\LimeWire.exe”=
“C:\Program Files\MSN Messenger\msnmsgr.exe”=
“C:\Program Files\MSN Messenger\livecall.exe”=
“C:\Program Files\iTunes\iTunes.exe”=
“C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE”=
“C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe”=

R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys [2006-02-23 05:38]
R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-05-16 01:20]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-05-16 01:16]
S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 22:58]
S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 23:08]
S3 ZDBRGSYS;ZDBRGSYS NDIS Protocol Driver;C:\WINDOWS\system32\ZDBRGSYS.SYS [2004-06-30 13:54]

Newly Created Service - CATCHME
Newly Created Service - PROCEXP90
.
Contenu du dossier ‘Scheduled Tasks/Tâches planifiées’

2008-04-23 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job

C:\Program Files\Apple Software Update\SoftwareUpdate.exe [2007-08-29 14:57]
.
- - - ORPHANS REMOVED - - - -

BHO-{1F6AC0B9-6DA1-4BAF-B6B5-2AA37D45CE99} - C:\WINDOWS\system32\wvUMCrom.dll
Notify-WgaLogon - (no file)

.
------- Supplementary Scan -------
.
R0 -: HKCU-Main,Search Page = www.google.com…
R0 -: HKCU-Main,Search Bar = www.google.com…
R1 -: HKCU-SearchURL,(Default) = www.google.com…
O8 -: E&xporter vers Microsoft Excel - C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
.

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, www.gmer.net…
Rootkit scan 2008-08-26 20:31:29
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés …

Balayage caché autostart entries …

Balayage des fichiers cachés …

Scan terminé avec succès
Les fichiers cachés: 0

.
Temps d’accomplissement: 2008-08-26 20:32:08
ComboFix-quarantined-files.txt 2008-08-26 18:32:05

Pre-Run: 66,149,302,272 octets libres
Post-Run: 66,291,871,744 octets libres

177 — E O F — 2008-08-18 18:54:18

En espérant que cela puisse vous aidez…

guigui14100 · Août 26, 2008, 11:39

Upload sur virus total et colle le rapport

omtaam · Août 26, 2008, 11:55

Voila le rapport pour install.dat :

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.8.21.0 2008.08.26 -
AntiVir 7.8.1.23 2008.08.26 -
Authentium 5.1.0.4 2008.08.26 -
Avast 4.8.1195.0 2008.08.26 -
AVG 8.0.0.161 2008.08.26 -
BitDefender 7.2 2008.08.26 -
CAT-QuickHeal 9.50 2008.08.26 -
ClamAV 0.93.1 2008.08.26 -
DrWeb 4.44.0.09170 2008.08.26 -
eSafe 7.0.17.0 2008.08.26 -
eTrust-Vet 31.6.6050 2008.08.26 -
Ewido 4.0 2008.08.26 -
F-Prot 4.4.4.56 2008.08.26 -
F-Secure 7.60.13501.0 2008.08.26 -
Fortinet 3.14.0.0 2008.08.26 -
GData 19 2008.08.26 -
Ikarus T3.1.1.34.0 2008.08.26 -
K7AntiVirus 7.10.428 2008.08.25 -
Kaspersky 7.0.0.125 2008.08.26 -
McAfee 5370 2008.08.26 -
Microsoft 1.3807 2008.08.25 -
NOD32v2 3390 2008.08.26 -
Norman 5.80.02 2008.08.26 -
Panda 9.0.0.4 2008.08.26 -
PCTools 4.4.2.0 2008.08.26 -
Prevx1 V2 2008.08.26 -
Rising 20.59.11.00 2008.08.26 -
Sophos 4.32.0 2008.08.26 -
Sunbelt 3.1.1582.1 2008.08.26 -
Symantec 10 2008.08.26 -
TheHacker 6.3.0.6.060 2008.08.23 -
TrendMicro 8.700.0.1004 2008.08.26 -
VBA32 3.12.8.4 2008.08.26 -
ViRobot 2008.8.26.1350 2008.08.26 -
VirusBuster 4.5.11.0 2008.08.26 -
Webwasher-Gateway 6.6.2 2008.08.26 -
Information additionnelle
File size: 164 bytes
MD5…: 24fe8eeb05656400c35b7db6b54b25e0
SHA1…: 0659590c5c29c45c464604de18642d1bd411e6b1
SHA256: b3db2797d6e84c1d7070435003caa4dc91254a4d72d5b3e55a113df641a41eeb
SHA512: 0006e1cc1e56cffb2622790e1ee2023efb85ba7083d8ef28bcc50d424d2fcdde
bb613378229106ca64c17ae53742eb88cebf7b73ddf77d37e4083e582dacd30a
PEiD…: -
PEInfo: -

Et voici le rapport pour uninstall_cds.exe :

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.8.21.0 2008.08.26 -
AntiVir 7.8.1.23 2008.08.26 -
Authentium 5.1.0.4 2008.08.26 -
Avast 4.8.1195.0 2008.08.26 -
AVG 8.0.0.161 2008.08.26 -
BitDefender 7.2 2008.08.26 -
CAT-QuickHeal 9.50 2008.08.26 -
ClamAV 0.93.1 2008.08.26 -
DrWeb 4.44.0.09170 2008.08.26 -
eSafe 7.0.17.0 2008.08.26 -
eTrust-Vet 31.6.6050 2008.08.26 -
Ewido 4.0 2008.08.26 -
F-Prot 4.4.4.56 2008.08.26 -
F-Secure 7.60.13501.0 2008.08.26 -
Fortinet 3.14.0.0 2008.08.26 -
GData 19 2008.08.26 -
Ikarus T3.1.1.34.0 2008.08.26 -
K7AntiVirus 7.10.428 2008.08.25 -
Kaspersky 7.0.0.125 2008.08.26 -
McAfee 5370 2008.08.26 -
Microsoft 1.3807 2008.08.25 -
NOD32v2 3390 2008.08.26 -
Norman 5.80.02 2008.08.26 -
Panda 9.0.0.4 2008.08.26 -
PCTools 4.4.2.0 2008.08.26 -
Prevx1 V2 2008.08.26 -
Rising 20.59.11.00 2008.08.26 -
Sophos 4.32.0 2008.08.26 -
Sunbelt 3.1.1582.1 2008.08.26 -
Symantec 10 2008.08.26 -
TheHacker 6.3.0.6.060 2008.08.23 -
TrendMicro 8.700.0.1004 2008.08.26 -
VBA32 3.12.8.4 2008.08.26 -
ViRobot 2008.8.26.1350 2008.08.26 -
VirusBuster 4.5.11.0 2008.08.26 -
Webwasher-Gateway 6.6.2 2008.08.26 -
Information additionnelle
File size: 40960 bytes
MD5…: 6ed26b4dd712dcc8456079dd15330f03
SHA1…: ceaa0a1117ef0b0e72dee687c7a2ac42e335e692
SHA256: ce283990947882945bf4cc6cf5e335e0dd06aeeb06ce2b2b90bdbf1ec4689a39
SHA512: 091f822c146c33f2721561ddc5882ccbc59290d16be051e69ed95a76692df687
d14770fe724f028e994a6eee292c5c5533d2d1ddf809806a1c2b4eb26d46c824
PEiD…: Armadillo v1.71
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x401e00
timedatestamp…: 0x4117988c (Mon Aug 09 15:30:20 2004)
machinetype…: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x4804 0x5000 6.18 735e5633df2b4f1f09eee586b4afddfb
.rdata 0x6000 0x998 0x1000 3.71 0d8fa41bd3cc94b9491cc20d6ce237e3
.data 0x7000 0x225c 0x1000 3.20 3af144ac0db5b50dce8e90f0f4b9b4ed
.rsrc 0xa000 0x1be0 0x2000 4.12 513abc3f245ad9abf5dc00b39b6e9553

( 3 imports )

KERNEL32.dll: GetLastError, GetSystemDirectoryA, GetWindowsDirectoryA, CreateProcessA, GetVersionExA, GetEnvironmentStringsW, VirtualFree, HeapCreate, CloseHandle, GetModuleHandleA, GetStartupInfoA, GetCommandLineA, GetVersion, ExitProcess, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, GetModuleFileNameA, FreeEnvironmentStringsA, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStrings, WaitForSingleObject, SetHandleCount, GetStdHandle, GetFileType, HeapDestroy, FlushFileBuffers, HeapReAlloc, HeapFree, RtlUnwind, WriteFile, SetFilePointer, GetCPInfo, GetACP, GetOEMCP, HeapAlloc, VirtualAlloc, MultiByteToWideChar, GetProcAddress, LoadLibraryA, SetStdHandle, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW
USER32.dll: SendMessageA, FindWindowA
ADVAPI32.dll: RegFlushKey, RegCloseKey, RegOpenKeyExA, RegQueryValueExA

( 0 exports )

Petite information qui peut peut-être vous être utile, lorsque j’ai uploadé le second fichier (uninstall_cds.exe), le site m’a averti que le fichier avait déjà été analysé. Je lui ai donc demandé de le ré-analyser malgré tout.

Voila, merci beaucoup.

guigui14100 · Août 27, 2008, 12:06

Fai un scan en ligne [Housecall[/url] / Kaspersky / [url=http://www.bitdefender.fr/scan_fr/scan8/ie.html]Bitdefender ](http://housecall.trendmicro.com/fr/)
Et colle les rapport