forum Abc de la sécurité informatique

JokuHech · 01-07-2010 22:54:01

Lancer HijackThis avec le bouton Do a system scan only.

Vérifier que seule les lignes que j'indique soient cochées.

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
R3 - URLSearchHook: PHPNukeFR Toolbar - {258fe8b8-a13c-4b91-9a0c-c2d3cab8b990} - C:\Program Files\PHPNukeFR\tbPHP0.dll
R3 - URLSearchHook: SrchHook Class - {F4F10C1D-87C7-404A-B4B3-000000000000} - C:\PROGRA~1\DAP\SBSearch.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: PHPNukeFR Toolbar - {258fe8b8-a13c-4b91-9a0c-c2d3cab8b990} - C:\Program Files\PHPNukeFR\tbPHP0.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Documents and Settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: DAPIELoader Class - {FF6C3CF0-4B15-11D1-ABED-709549C10000} - C:\PROGRA~1\DAP\DAPIEL~1.DLL
O3 - Toolbar: PHPNukeFR Toolbar - {258fe8b8-a13c-4b91-9a0c-c2d3cab8b990} - C:\Program Files\PHPNukeFR\tbPHP0.dll
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\windows\system32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [H2O] C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [DownloadAccelerator] "C:\Program Files\DAP\DAP.EXE" /STARTUP
O4 - HKCU\..\Run: [SpeedBitVideoAccelerator] C:\Program Files\SpeedBit Video Accelerator\VideoAccelerator.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Clean Traces - C:\Program Files\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP\dapextie.htm
O8 - Extra context menu item: &Télécharger avec NetTransport - C:\Program Files\Xi\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP\dapextie2.htm
O8 - Extra context menu item: Tout t&élécharger avec NetTransport - C:\Program Files\Xi\NetTransport 2\NTAddList.html
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.orange.fr (file missing) (HKCU)
O9 - Extra button: HiDownload - {F4FBA929-A891-492C-A0F6-5C79CC4F1742} - C:\Program Files\StreamingStar\HiDownload\hidownload.exe (HKCU)
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab

Fermer le navigateur, et toute autre fenêtre ouverte, à l'exception de HijackThis. Puis bouton FixChecked. La fenêtre se videra ensuite. Vous aurez des avertissements, ignorer ces avertissements.

Ensuite aller dans le Poste de travail. Clic droit sur C: Choisir Propriétés. Onglet général, bouton Nettoyer. Attention à ne pas compresser les fichiers et dossiers. Juste un nettoyage des fichiers inutiles et internet temporaires.
Lorsque c'est fait, il faudra lancer une défragmentation de C:

Puis redémarrer. Refaire un rapport HijackThis et poster ici.
Dites moi si ça va mieux.

cosmido · 02-07-2010 19:18:53

.

>>>>>>> Après avoir fait les suppressions proposées au message précédent. <<<<<<<

Si ce répertoire n'a pas été supprimer, ça doit être fait :
c:\documents and settings\thomas\Local Settings\Application Data\gwcgefypa

Ligne à cocher (trace d'infection) avec Hijackthis.
• Internet Explorer doit-être fermer avant d'appuyer sur [Fix Checked]
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:5577
_______________________________________________________

La Toolbar Conduit doit être désinstallée.

P.S.:
Éviter l'installation de toolbar(à risque ou non) et même quelques fois d'Adware "cocher par défaut" au début de l'installation de logiciels quelconques. Ces logiciels peuvent même être parmi ceux les recherchés par les utilisateurs.
Pour être certain de ne pas manquer ces options (de pré-installation) cocher par défauts. Sélectionner toujours "installation Personnalisée" ou Custom (en anglais).
_______________________________________________________

• Copier le contenu de la citation suivante :

Code:

File::
c:\documents and settings\All Users\Application Data\mEdU7B85.dat 
Reg::
[-HKLM\~\startupfolder\C:^Documents and Settings^thomas^Menu Démarrer^Programmes^Démarrage^Antimalware Doctor.lnk] 
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\070700Setup.exe]

• Ouvrez le Bloc-notes ; Démarrer → Tout les programmes → Accessoires ..
• Collez le texte dans ce Bloc-notes (CTRL+V).
• Sauvegarder sur votre Bureau ce fichier sous le nom de CFScript.txt

• Glisser/déposer le fichier CFScript.txt sur l’icône de ComboFix sur votre Bureau.

Une fenêtre bleue va apparaître, entrez 1 et valider .(il se peut qu'il se lance directement)
Le Bureau va disparaître à plusieurs reprises, c'est correct,

Important ; Laisser aller Combofix >> sans aucune intervention <<

Supprimer ComboFix
En copiant/collant dans Démarrer → Exécuter(ou Rechercher) : ComboFix /u et valider.
Vérifier pour supprimer Combofix - QooBox qui est sur le C:\
_______________________________________________________

Ligne à remette en place avec Hijackthis.
• appuyer sur [View the list of backups],
• cocher la ligne suivante appuyer sur [Restore] (à droite).
O4 - HKLM\..\Run: [H2O] C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe

Après..
Purger les points de restauration du système.
Et recréer en un.

Virgil · 03-07-2010 18:17:13

Bonjour, j'ai fais ce que vous m'avez demandé tous les deux, je poste en fin de message le rapport demandé par JokuHech.

Je n'ai pas su désinstaller Toolbar Conduit, je ne l'ai en fait pas trouvé, il est vrai que j'avais une toolbar avec IE, mais je ne l'ai plus maintenant, peut être a t-elle déjà été supprimée ?

Autre chose, je n'ai pas réussi à supprimer ComboFix, en faisant la commande demandée, ComboFix /u, cela m'a simplement lancé une autre analyse de ComboFix.

Merci pour votre aide, mais le problème ne semble pas avoir été résolu, car la machine rame toujours (par moment la RAM utilisée par chaque processus est multipliée par 4 par rapport au fonctionnement normal).

Voilà le rapport de HijackThis (avant d'avoir fait les manipulations demandées par cosmido) :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:43:52, on 03/07/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\Ati2evxx.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\svchost.exe
C:\windows\system32\Ati2evxx.exe
C:\windows\system32\spoolsv.exe
C:\windows\Explorer.EXE
C:\windows\RTHDCPL.EXE
C:\Program Files\DrWeb\SpIDerAgent.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Program Files\DrWeb\spiderml.exe
C:\Program Files\DrWeb\spidergate.exe
C:\PROGRA~1\DrWeb\spiderui.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Fichiers communs\Doctor Web\Scanning Engine\dwengine.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\LogMeIn\x86\RaMaint.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\LogMeIn\x86\LogMeIn.exe
C:\Program Files\LogMeIn\x86\LMIGuardian.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\windows\system32\PnkBstrB.exe
C:\PROGRA~1\DrWeb\spidernt.exe
C:\windows\system32\svchost.exe
C:\PROGRA~1\SPEEDB~1\VideoAcceleratorService.exe
C:\Program Files\DrWeb\DrWebUpW.exe
C:\Documents and Settings\thomas\Mes documents\My DAP Downloads\HiJackThis.exe
C:\PROGRA~1\SPEEDB~1\VideoAcceleratorEngine.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:5577
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [SpIDerAgent] "C:\Program Files\DrWeb\SpIDerAgent.exe"
O4 - HKLM\..\Run: [SpIDerMail] "C:\Program Files\DrWeb\spiderml.exe"
O4 - HKLM\..\Run: [SpIDerGate] "C:\Program Files\DrWeb\spidergate.exe" -autorun
O4 - HKLM\..\Run: [SpIDerNT] C:\PROGRA~1\DrWeb\spiderui.exe /agent
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP\dapextie2.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Tout t&élécharger avec NetTransport - C:\Program Files\Xi\NetTransport 2\NTAddList.html
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O10 - Unknown file in Winsock LSP: c:\progra~1\speedb~1\sblsp.dll
O10 - Unknown file in Winsock LSP: c:\progra~1\speedb~1\sblsp.dll
O10 - Unknown file in Winsock LSP: c:\progra~1\speedb~1\sblsp.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1223475829109
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\windows\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Dr.Web Scanning Engine (DrWebEngine) (DrWebEngine) - Doctor Web, Ltd. - C:\Program Files\Fichiers communs\Doctor Web\Scanning Engine\dwengine.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LogMeIn Maintenance Service (LMIMaint) - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\RaMaint.exe
O23 - Service: LogMeIn - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\LogMeIn.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\windows\system32\PnkBstrB.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies, Inc. - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: SolidWorks Licensing Service - SolidWorks - C:\Program Files\Fichiers communs\SolidWorks Shared\Service\SolidWorksLicensing.exe
O23 - Service: SpIDer Guard for Windows (SPIDERNT) - Doctor Web, Ltd. - C:\PROGRA~1\DrWeb\spidernt.exe
O23 - Service: VideoAcceleratorService - Speedbit Ltd. - C:\PROGRA~1\SPEEDB~1\VideoAcceleratorService.exe

--
End of file - 5855 bytes

Dernière modification par Virgil (03-07-2010 18:18:23)

JokuHech · 03-07-2010 19:47:09

Démarrer puis Exécuter.

taper => services.msc (valider par touche entrée du clavier)

La liste des services va s'afficher. Un double clic sur une ligne va en afficher les propriétés et actions à faire éventuellement. Lorsqu'un service est en cours, il faut d'abord cliquer sur le bouton Arrêter.

Je vais indiquer le service et donner le statut à adopter.

=> Service: Apple Mobile Device > Arrêter puis en type de démarrage, positionner sur Manuel.
=> Service: Service Bonjour > Arrêter puis en type de démarrage, positionner sur Manuel.
=> Service: Service Google Update > Arrêter puis en type de démarrage, positionner sur Désactivé
=> Service: Service de l’iPod > Arrêter puis en type de démarrage, positionner sur Manuel.
=> Service: Java Quick Starter > Arrêter puis en type de démarrage, positionner sur Manuel.
=> Service: VideoAcceleratorService > Arrêter puis en type de démarrage, positionner sur Manuel.

Pour désinstaller ComboFix, il faut aller en démarrer Exécuter, et taper

Code:

ComboFix /uninstall

Poster éventuellement le dernier rapport de combofix (il devrait être marqué combofix(1).txt et se trouve sur C:

Ensuite aller dans C:\Windows\Prefetch (vider le dossier)
Poster un nouveau rapport HijackThis après avoir redémarré.

Dernière modification par JokuHech (03-07-2010 19:47:38)

Virgil · 04-07-2010 01:24:03

Bonsoir, j'ai fait tout ça, je vais poster les 2 rapports, mais d'abord je voudrais ajouter 2 choses. La première est que depuis quelques temps un processus 'System' du system est présent, et est plutôt lourd (environ 100Mo de RAM). Et aussi, cela fait plusieurs fois que mon AV détecte le même virus :
C:\Program Files\DrWeb\DRWEBSCD .exe - infecté par Win32.HLLC.Asdas.7

Voici le rapport de ComboFix :

ComboFix 10-06-30.03 - thomas 03/07/2010 10:57:04.2.2 - x86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.2047.1437 [GMT 2:00]
Lancé depuis: c:\documents and settings\thomas\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\thomas\Bureau\CFScript.txt
AV: Doctor Web Anti-Virus *On-access scanning enabled* (Updated) {3454C8F1-ECBC-4180-A6F4-04632FBA762B}
* Un antivirus résident est actif

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

FILE ::
"c:\documents and settings\All Users\Application Data\mEdU7B85.dat"
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\All Users\Application Data\mEdU7B85.dat

.
((((((((((((((((((((((((((((( Fichiers créés du 2010-06-03 au 2010-07-03 ))))))))))))))))))))))))))))))))))))
.

2010-07-01 13:04 . 2010-04-20 13:43 107384 ----a-w- c:\windows\system32\drivers\dwprot.sys
2010-07-01 13:04 . 2010-07-01 13:04 -------- d-----w- c:\program files\Fichiers communs\Doctor Web
2010-07-01 13:03 . 2010-07-01 13:04 -------- d-----w- c:\documents and settings\All Users\Application Data\Doctor Web
2010-06-30 14:18 . 2010-06-30 14:18 -------- d--h--w- c:\windows\PIF
2010-06-30 07:48 . 2010-06-30 07:48 -------- d-----w- c:\documents and settings\NetworkService\Local Settings\Application Data\Conduit
2010-06-30 07:48 . 2010-06-30 07:48 -------- d-----r- c:\documents and settings\NetworkService\Favoris
2010-06-29 07:27 . 2010-06-29 07:27 -------- d-s---w- c:\documents and settings\NetworkService\UserData
2010-06-28 10:19 . 2010-06-28 12:19 -------- d-----w- c:\windows\system32\NtmsData
2010-06-28 09:39 . 2010-06-28 09:39 -------- d-----w- c:\documents and settings\LocalService\Local Settings\Application Data\Conduit
2010-06-28 09:39 . 2010-06-28 09:39 -------- d-----w- c:\documents and settings\LocalService\Local Settings\Application Data\PHPNukeFR
2010-06-28 09:39 . 2010-06-28 09:39 -------- d-----r- c:\documents and settings\LocalService\Favoris
2010-06-28 06:44 . 2010-06-28 06:44 -------- d-----w- c:\documents and settings\thomas\Application Data\Malwarebytes
2010-06-28 06:44 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-06-28 06:44 . 2010-06-28 06:44 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2010-06-28 06:44 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-06-28 06:43 . 2010-06-28 06:44 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-06-26 14:51 . 2009-11-20 14:26 25984 ----a-w- c:\windows\system32\drivers\tap0901.sys
2010-06-26 13:04 . 2010-06-26 15:09 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2010-06-26 13:04 . 2010-06-26 13:04 -------- d-----w- c:\program files\Spybot - Search & Destroy
2010-06-26 12:49 . 2010-07-01 16:18 -------- d-----w- c:\program files\SpeedBit Video Accelerator
2010-06-26 12:48 . 2010-06-26 12:48 95744 ----a-w- c:\documents and settings\All Users\Application Data\SpeedBit\DAP\SDCondition.dll
2010-06-26 12:47 . 2010-06-26 12:46 251392 ----a-w- c:\documents and settings\All Users\Application Data\SpeedBit\DAP\Temp\dapop.dll
2010-06-26 12:47 . 2010-06-26 12:47 3509272 ----a-w- c:\documents and settings\All Users\Application Data\SpeedBit\DAP\Offers\VA31_DapSo.exe
2010-06-26 12:46 . 2010-07-01 15:15 -------- d---a-w- c:\documents and settings\All Users\Application Data\TEMP
2010-06-26 12:46 . 2010-06-26 12:49 -------- d-----w- c:\documents and settings\All Users\Application Data\SpeedBit
2010-06-26 12:46 . 2010-07-03 07:43 -------- d-----w- c:\program files\DAP
2010-06-26 09:52 . 2010-06-26 09:52 -------- d-----w- c:\documents and settings\thomas\Application Data\Dofus-6.C9ECCBDBA4E09304DEEFB106465BC17F6D6749B9.1
2010-06-26 09:31 . 2010-06-26 09:31 -------- d-----w- c:\documents and settings\thomas\Application Data\Dofus-5.C9ECCBDBA4E09304DEEFB106465BC17F6D6749B9.1
2010-06-24 12:46 . 2010-06-24 12:46 -------- d-----w- c:\documents and settings\thomas\Application Data\Dofus-4.C9ECCBDBA4E09304DEEFB106465BC17F6D6749B9.1
2010-06-24 12:00 . 2010-06-24 12:00 -------- d-----w- c:\documents and settings\thomas\Application Data\Dofus-3.C9ECCBDBA4E09304DEEFB106465BC17F6D6749B9.1

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-07-03 08:45 . 2009-01-31 16:36 -------- d-----w- c:\program files\DrWeb
2010-07-03 07:43 . 2009-01-09 17:14 -------- d-----w- c:\program files\PHPNukeFR
2010-07-02 22:39 . 2008-11-09 17:22 -------- d-----w- c:\documents and settings\thomas\Application Data\dvdcss
2010-07-02 22:36 . 2010-04-26 06:01 -------- d-----w- c:\program files\LogMeIn
2010-07-02 06:33 . 2001-09-28 12:00 81386 ----a-w- c:\windows\system32\perfc00C.dat
2010-07-02 06:33 . 2001-09-28 12:00 503238 ----a-w- c:\windows\system32\perfh00C.dat
2010-07-01 16:18 . 2010-01-05 18:18 -------- d-----w- c:\program files\QuickTime
2010-07-01 16:18 . 2008-11-29 14:53 -------- d-----w- c:\program files\DAEMON Tools Lite
2010-07-01 13:01 . 2008-10-08 12:58 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-06-28 14:23 . 2009-12-05 19:06 -------- d-----w- c:\documents and settings\thomas\Application Data\Dofus 2
2010-06-28 07:03 . 2010-04-24 11:59 -------- d-----w- c:\documents and settings\thomas\Application Data\uTorrent
2010-06-25 21:47 . 2008-10-22 14:12 -------- d-----w- c:\documents and settings\thomas\Application Data\Skype
2010-06-25 17:18 . 2008-10-22 14:13 -------- d-----w- c:\documents and settings\thomas\Application Data\skypePM
2010-06-11 20:42 . 2009-12-05 17:04 -------- d-----w- c:\program files\Fichiers communs\Adobe AIR
2010-06-11 20:30 . 2009-12-06 17:22 -------- d-----w- c:\documents and settings\thomas\Application Data\Dofus-2.C9ECCBDBA4E09304DEEFB106465BC17F6D6749B9.1
2010-06-08 17:49 . 2010-06-08 17:48 -------- d-----w- c:\program files\ISOpen
2010-06-05 12:13 . 2009-01-15 19:29 -------- d-----w- c:\documents and settings\thomas\Application Data\SolidWorks
2010-06-05 07:40 . 2008-11-03 11:24 -------- d-----w- c:\documents and settings\thomas\Application Data\Canon
2010-06-05 07:03 . 2009-11-06 09:48 -------- d-----w- c:\program files\Microsoft Silverlight
2010-05-31 16:02 . 2010-04-24 12:00 -------- d-----w- c:\program files\uTorrent
2010-05-23 21:49 . 2008-11-28 13:13 -------- d-----w- c:\documents and settings\thomas\Application Data\LimeWire
2010-05-23 10:13 . 2008-11-28 13:12 -------- d-----w- c:\program files\LimeWire
2010-05-21 17:57 . 2008-10-22 14:10 219128 ----a-w- c:\windows\system32\PnkBstrB.exe
2010-05-21 15:44 . 2008-10-22 14:11 138592 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys
2010-05-16 16:05 . 2008-12-13 18:49 -------- d-----w- c:\program files\MessengerDiscovery
2010-05-14 08:45 . 2009-01-28 20:02 -------- d-----w- c:\program files\PKR
2010-05-14 08:07 . 2009-01-21 16:32 -------- d-----w- c:\documents and settings\thomas\Application Data\OpenOffice.org2
2010-05-12 19:30 . 2010-02-19 18:09 -------- d-----w- c:\program files\Google
2010-05-08 14:09 . 2010-05-08 14:09 -------- d-----w- c:\program files\WinSCP
2010-05-07 12:07 . 2010-02-20 10:26 -------- d-----w- c:\documents and settings\thomas\Application Data\mIRC
2010-05-07 08:54 . 2010-02-20 10:26 -------- d-----w- c:\program files\mIRC
2010-05-07 08:49 . 2009-08-11 22:09 46724 ---ha-w- c:\windows\system32\mlfcache.dat
2010-05-02 08:08 . 2004-08-19 14:00 1851392 ----a-w- c:\windows\system32\win32k.sys
2010-04-20 05:30 . 2004-08-19 14:08 285696 ----a-w- c:\windows\system32\atmfd.dll
2010-04-16 16:07 . 2004-08-19 14:09 671232 ----a-w- c:\windows\system32\wininet.dll
2010-04-16 16:07 . 2004-08-19 14:09 81920 ----a-w- c:\windows\system32\ieencode.dll
2010-04-14 04:45 . 2009-11-25 13:00 79488 ----a-w- c:\documents and settings\thomas\Application Data\Sun\Java\jre1.6.0_17\gtapi.dll
2006-05-03 09:06 . 2009-07-26 13:50 163328 --sh--r- c:\windows\system32\flvDX.dll
2007-02-21 10:47 . 2009-07-26 13:50 31232 --sh--r- c:\windows\system32\msfDX.dll
2008-03-16 12:30 . 2009-07-26 13:50 216064 --sh--r- c:\windows\system32\nbDX.dll
.

Code:

<pre>
c:\program files\Adobe\Reader 9.0\Reader\Reader_sl .exe
c:\program files\DAP\DAP .exe
c:\program files\DrWeb\DRWEBSCD  .exe
c:\program files\DrWeb\DRWEBSCD .exe
c:\program files\DrWeb\spiderml .exe
</pre>

((((((((((((((((((((((((((((( SnapShot@2010-07-01_16.18.35 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-07-03 08:54 . 2010-07-03 08:54 16384 c:\windows\Temp\Perflib_Perfdata_7e8.dat
+ 2001-09-28 12:00 . 2010-07-02 06:33 68156 c:\windows\system32\perfc009.dat
- 2001-09-28 12:00 . 2010-06-24 17:03 68156 c:\windows\system32\perfc009.dat
+ 2001-09-28 12:00 . 2010-07-02 06:33 435260 c:\windows\system32\perfh009.dat
- 2001-09-28 12:00 . 2010-06-24 17:03 435260 c:\windows\system32\perfh009.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2007-06-13 16377344]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112]
"SpIDerAgent"="c:\program files\DrWeb\SpIDerAgent.exe" [2010-02-15 447728]
"SpIDerMail"="c:\program files\DrWeb\spiderml.exe" [2009-06-30 644336]
"SpIDerGate"="c:\program files\DrWeb\spidergate.exe" [2009-11-23 1471728]
"SpIDerNT"="c:\progra~1\DrWeb\spiderui.exe" [2010-04-07 231816]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LMIinit]
2009-09-28 17:34 87352 ----a-w- c:\windows\system32\LMIinit.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 nwprovau

[HKLM\~\startupfolder\C:^Documents and Settings^thomas^Menu Démarrer^Programmes^Démarrage^Antimalware Doctor.lnk]
path=c:\documents and settings\thomas\Menu Démarrer\Programmes\Démarrage\Antimalware Doctor.lnk
backup=c:\windows\pss\Antimalware Doctor.lnkStartup

[HKLM\~\startupfolder\C:^Documents and Settings^thomas^Menu Démarrer^Programmes^Démarrage^MSN Pictures Displayer.lnk]
path=c:\documents and settings\thomas\Menu Démarrer\Programmes\Démarrage\MSN Pictures Displayer.lnk
backup=c:\windows\pss\MSN Pictures Displayer.lnkStartup

[HKLM\~\startupfolder\C:^Documents and Settings^thomas^Menu Démarrer^Programmes^Démarrage^OpenOffice.org 2.3.lnk]
path=c:\documents and settings\thomas\Menu Démarrer\Programmes\Démarrage\OpenOffice.org 2.3.lnk
backup=c:\windows\pss\OpenOffice.org 2.3.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\070700Setup.exe]
c:\documents and settings\thomas\Application Data\560755FFE15DA91D220CC15B8B2C6860\070700Setup.exe [N/A]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
2008-08-08 12:11 490952 ----a-w- c:\program files\DAEMON Tools Lite\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DivXUpdate]
2010-03-05 15:32 1135912 ----a-w- c:\program files\DivX\DivX Update\DivXUpdate.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2009-11-12 15:33 141600 ----a-w- c:\program files\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogMeIn GUI]
2008-08-11 10:41 63048 ----a-w- c:\program files\LogMeIn\x86\LogMeInSystray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
2009-07-26 15:44 3883856 ----a-w- c:\program files\Windows Live\Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
2010-03-18 18:20 202256 ----a-w- c:\program files\Fichiers communs\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\uTorrent]
2010-05-29 15:38 322352 ----a-w- c:\program files\uTorrent\uTorrent.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WOOKIT]
2004-08-23 12:50 122880 ----a-w- c:\progra~1\Wanadoo\Shell.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WOOTASKBARICON]
2004-10-14 14:55 32768 ----a-w- c:\progra~1\Wanadoo\GestMAJ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WOOWATCH]
2004-08-23 12:49 20480 ----a-w- c:\progra~1\Wanadoo\Watch.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"Boonty Games"=3 (0x3)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Program Files\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"c:\\Program Files\\LimeWire\\LimeWire.exe"=
"c:\\Program Files\\Activision\\Call of Duty - World at War\\CoDWaWmp.exe"=
"c:\\Program Files\\Activision\\Call of Duty - World at War\\CoDWaW.exe"=
"c:\\Program Files\\Real\\RealPlayer\\realplay.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Program Files\\Java\\jre6\\bin\\java.exe"=
"c:\\Program Files\\Xfire\\Xfire.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\mIRC\\mirc.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\Program Files\\Klient\\Klient.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

R0 DwProt;DrWeb Protection;c:\windows\system32\drivers\dwprot.sys [01/07/2010 15:04 107384]
R2 DrWebEngine;Dr.Web Scanning Engine (DrWebEngine);c:\program files\Fichiers communs\Doctor Web\Scanning Engine\dwengine.exe [21/01/2009 16:09 869688]
R2 LMIInfo;LogMeIn Kernel Information Provider;c:\program files\LogMeIn\x86\rainfo.sys [11/08/2008 12:41 12856]
R2 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [20/10/2009 20:19 50704]
R2 SPIDER;SpIDer Guard File System Monitor;c:\progra~1\DrWeb\spider.sys [16/04/2009 10:40 312504]
R2 SPIDERNT;SpIDer Guard for Windows;c:\progra~1\DrWeb\spidernt.exe [16/04/2009 10:40 231816]
R2 VideoAcceleratorService;VideoAcceleratorService;c:\progra~1\SPEEDB~1\VideoAcceleratorService.exe -start -scm --> c:\progra~1\SPEEDB~1\VideoAcceleratorService.exe -start -scm [?]
R3 CLEDX;Team H2O CLEDX service;c:\windows\system32\drivers\cledx.sys [27/06/2009 20:43 33792]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [19/02/2010 20:09 135664]
S3 avshws;YouUp Simulated Hardware;c:\windows\system32\drivers\youup.sys [27/04/2009 16:57 57472]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [29/11/2008 16:51 717296]
.
Contenu du dossier 'Tâches planifiées'

2010-06-28 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

2010-07-01 c:\windows\Tasks\Dr.Web Daily scan.job
- c:\program files\DrWeb\DrWeb32w.exe [2009-06-30 10:26]

2010-07-03 c:\windows\Tasks\Dr.Web Update.job
- c:\program files\DrWeb\DrWebUpW.exe [2009-06-30 11:47]

2010-07-03 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-19 18:09]

2010-07-03 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-19 18:09]

2010-07-03 c:\windows\Tasks\RealUpgradeLogonTaskS-1-5-18.job
- c:\program files\Real\RealUpgrade\realupgrade.exe [2010-02-24 21:09]

2010-07-03 c:\windows\Tasks\RealUpgradeLogonTaskS-1-5-21-823518204-1993962763-725345543-1003.job
- c:\program files\Real\RealUpgrade\realupgrade.exe [2010-02-24 21:09]

2010-06-30 c:\windows\Tasks\RealUpgradeScheduledTaskS-1-5-18.job
- c:\program files\Real\RealUpgrade\realupgrade.exe [2010-02-24 21:09]

2010-07-03 c:\windows\Tasks\RealUpgradeScheduledTaskS-1-5-21-823518204-1993962763-725345543-1003.job
- c:\program files\Real\RealUpgrade\realupgrade.exe [2010-02-24 21:09]

2010-07-03 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2009-04-01 20:18]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyOverride = <local>
IE: Download &all with DAP - c:\program files\DAP\dapextie2.htm
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Tout t&élécharger avec NetTransport - c:\program files\Xi\NetTransport 2\NTAddList.html
LSP: c:\program files\DrWeb\drwebsp.dll
LSP: c:\progra~1\SPEEDB~1\sblsp.dll
FF - ProfilePath - c:\documents and settings\thomas\Application Data\Mozilla\Firefox\Profiles\pptz5l99.default\
FF - prefs.js: browser.search.selectedEngine - MyStart Rechercher
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - prefs.js: keyword.URL - hxxp://mystart.hiyo.com/?loc=ff_address&search=
FF - component: c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext\components\nprpffbrowserrecordext.dll
FF - component: c:\program files\DAP\DAPFireFox\components\DAPFireFox.dll
FF - plugin: c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\MozillaPlugins\nprphtml5videoshim.dll
FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\program files\Google\Update\1.2.183.29\npGoogleOneClick8.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npdrmv2.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
.
- - - - ORPHELINS SUPPRIMES - - - -

WebBrowser-{258FE8B8-A13C-4B91-9A0C-C2D3CAB8B990} - (no file)
AddRemove-Oxygène - c:\program files\Memsoft Oxygene 8\uninst.exe

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-07-03 11:20
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

? [28088]
? [28832]
? [35316]
? [35268]
? [35308]

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{5ED60779-4DE2-4E07-B862-974CA4FF2E9C}]
@Denied: (Full) (Everyone)
"scansk"=hex(0):e1,a2,fa,72,e9,53,e9,fe,09,63,bb,be,76,85,19,35,d4,ed,d3,fd,1f,
b0,7e,ad,9f,bb,87,cc,eb,c5,58,28,a2,89,82,2d,48,96,06,02,00,00,00,00,00,00,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{e6208e62-2e45-4fdf-9c66-f2a750a2eaaf}]
@Denied: (Full) (Everyone)
"Model"=dword:00000009
"Therad"=dword:0000001e
"MData"=hex(0):2b,8f,78,29,5a,0c,ce,ec,48,d4,68,e5,9f,6a,96,3e,ab,de,c5,81,26,
38,95,44,ab,9e,50,1b,eb,77,d1,ab,5d,45,9e,1b,b3,2e,50,a1,83,e0,8b,c5,07,bb,\

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•9~*]
"C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(752)
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\LMIinit.dll

- - - - - - - > 'lsass.exe'(808)
c:\program files\DrWeb\drwebsp.dll
c:\progra~1\SPEEDB~1\sblsp.dll
c:\program files\SpeedBit Video Accelerator\ConfigDB.dll
.
Heure de fin: 2010-07-03 11:23:27
ComboFix-quarantined-files.txt 2010-07-03 09:23
ComboFix2.txt 2010-07-01 16:24

Avant-CF: 101 682 479 104 octets libres
Après-CF: 101 670 830 080 octets libres

- - End Of File - - D570CE3450CAE1391F3C28A70054C2D0

Virgil · 04-07-2010 01:26:06

Et celui de HijackThis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:19:48, on 04/07/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\Ati2evxx.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\svchost.exe
C:\windows\system32\Ati2evxx.exe
C:\windows\system32\spoolsv.exe
C:\windows\Explorer.EXE
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Program Files\Fichiers communs\Doctor Web\Scanning Engine\dwengine.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\LogMeIn\x86\RaMaint.exe
C:\windows\RTHDCPL.EXE
C:\Program Files\LogMeIn\x86\LogMeIn.exe
C:\Program Files\LogMeIn\x86\LMIGuardian.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\windows\system32\PnkBstrB.exe
C:\PROGRA~1\DrWeb\spidernt.exe
C:\windows\system32\svchost.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Program Files\DrWeb\SpIDerAgent.exe
C:\Program Files\DrWeb\spiderml.exe
C:\Program Files\DrWeb\spidergate.exe
C:\PROGRA~1\DrWeb\spiderui.exe
C:\windows\system32\wuauclt.exe
C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe
C:\Documents and Settings\thomas\Mes documents\My DAP Downloads\HiJackThis.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [SpIDerAgent] "C:\Program Files\DrWeb\SpIDerAgent.exe"
O4 - HKLM\..\Run: [SpIDerMail] "C:\Program Files\DrWeb\spiderml.exe"
O4 - HKLM\..\Run: [SpIDerGate] "C:\Program Files\DrWeb\spidergate.exe" -autorun
O4 - HKLM\..\Run: [SpIDerNT] C:\PROGRA~1\DrWeb\spiderui.exe /agent
O4 - HKLM\..\Run: [H2O] C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe
O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP\dapextie2.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Tout t&élécharger avec NetTransport - C:\Program Files\Xi\NetTransport 2\NTAddList.html
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O10 - Unknown file in Winsock LSP: c:\progra~1\speedb~1\sblsp.dll
O10 - Unknown file in Winsock LSP: c:\progra~1\speedb~1\sblsp.dll
O10 - Unknown file in Winsock LSP: c:\progra~1\speedb~1\sblsp.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1223475829109
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\windows\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Dr.Web Scanning Engine (DrWebEngine) (DrWebEngine) - Doctor Web, Ltd. - C:\Program Files\Fichiers communs\Doctor Web\Scanning Engine\dwengine.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LogMeIn Maintenance Service (LMIMaint) - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\RaMaint.exe
O23 - Service: LogMeIn - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\LogMeIn.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\windows\system32\PnkBstrB.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies, Inc. - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: SolidWorks Licensing Service - SolidWorks - C:\Program Files\Fichiers communs\SolidWorks Shared\Service\SolidWorksLicensing.exe
O23 - Service: SpIDer Guard for Windows (SPIDERNT) - Doctor Web, Ltd. - C:\PROGRA~1\DrWeb\spidernt.exe
O23 - Service: VideoAcceleratorService - Speedbit Ltd. - C:\PROGRA~1\SPEEDB~1\VideoAcceleratorService.exe

--
End of file - 5441 bytes

JokuHech · 04-07-2010 22:45:28

Avec Internet Explorer. http://www.eset.com/online-scanner
Accepter l'activeX et analyser le système.

Es-tu certain de l'orthographe pour drwebscd ? Y a t-il un espace entre le nom et son extention .exe ?

Virgil · 05-07-2010 07:10:30

Le scan est fait, il a trouvé 7 threats.

J'ai fait un copié/collé de ce que m'a dit mon AV, donc l'orthographe est bonne

JoK · 05-07-2010 14:24:05

Ils ont été supprimés ? DrWeb ne propose pas de supprimer ? Ou mettre en quarantaine ?

Si vous n'y arrivez pas en mode normal, faites le en mode sans échec. Vous pouvez aussi, si vous avez le rapport de scan de Nod32, utiliser votre antivirus pour mettre les occurrences trouvées en qurantaine.

Sans nom exact de fichier et son chemin (pour les 7 découvertes) je ne vois pas comment faire un script Combo...

Virgil · 05-07-2010 18:36:53

Je n'ai pas vu que l'on pouvait afficher un rapport alors j'ai fermé la fenêtre :S

Par contre les 7 threats ont été supprimé par le scanner de Nod32.

Mais ce fameux processus 'System' est toujours présent et toujours aussi lourd, et je rencontre aussi quelques problème de son, parfois je n'en ai plus.

Que pourrais-je faire à présent ?

Dernière modification par Virgil (05-07-2010 20:37:45)