Bonsoir,

Alors je crois que j'ai encore un énorme problème sur mon ordinateur. J'ai eu des mises a jour windows hier et avant-hier il me semble, qui m'ont soit-disant mis a jour XP .... Bref, je ne sais pas si ca vient de la, mais tout a l'heure en naviguant, un message apparait comme quoi le pare-feu est desactivé. Ni une ni 2, mon frère m'avertit, je viens voir ca, et c'est effectivement un message du centre de sécurité qui nous informe que le pare-feu est desactivé. J'ai cliqué sur "pare-feu" tout en bas, qui est souligné, pour acceder aux paramètres du pare-feu, et la un message apparait a nouveau du genre : pour activer votre pare-feu/partager la connexion (qq chose dans le style je ne me souviens plus bien). J'annule, je reclique sur "pare-feu", le meme message, je fais donc OK.

J'ai décidé de redémarrer l'ordi, on sait jamais, c'était bizarre comme messages, je me suis dit j'ai peut-etre fait une connerie ou quoi. Et la un écran bleu, tout écrit en anglais. Ca parle de spyware, malware etc. je ne saurais trop vous dire tout ce que ca racontais. L'ordinateur ne démarrait pas, a chaque fois ca relancait, mais a chaque fois cette page bleu réapparaissait. J'ai éteint l'ordi, rallumé, plus de page bleu. Mais la une fenetre s'ouvre com quoi l'ordi est infecté par un spyware, il donne 2 chemins et 2 noms d'infection (je crois), il me demande d'installer un anti-virus et paf, une autre fenetre s'ouvre pr installer anti-virus XP 2008. Je ne peux cliquer nulle part sauf cette fenetre.

Je commence a flipper un peu, donc j'ai redémarré en mode sans échec. Je sauvegarde tout mes documents sur disque dur externe au cas ou je devrais a terme formater le pc .... Je voulais tout d'abord vous demander : j'ai des documents sur C: et sur D:. Si je devais formater le pc, est-ce seulement C: qui sera formaté (car apparement le virus est dans System, donc sur C:) ?? Auquel cas je n'aurais pas besoin de sauvegarder D:. Dans le doute je crois que je vais prendre tout les documents, j'ai pas envie de tout perdre !!

Dans un 2è temps, je reviendrais après avoir fait le pré-nettoyage, vous donner les résultats pour avoir vos conseils. Pouvez vous déja m'éclairer sur le formatage ? Si ca comprend ou non tout les disques dur ? Et si je formate uniquement C:, est-ce que je perdrais ce qu'il y a sur D: ?

Voila, je vous remercie d'avoir lu mon problème, et pour votre aide future. A bientot.

Aie, bonsoir Ze_nymphe, il semble que ton problème corresponde à cela :http://www.secuser.com/alertes/2008/frauderbi.htm

Bon courage, je suis certain que plus compétant que moi viendront à ton aide...

bonsoir,

possible que ce soit cette alerte.

on peut essayer de voir pour nettoyer ton pc.

* Télécharge HijackThis et poste le rapport stp

Tuto

Si tu as démarré en mode sans ( en appuyant sur F8 et pas autrement ! )

Sauvegarde tout tes documents.

As tu acces a ce mode ?

GRILLED

Oui il est possible que ce soit ca, car apparement il yen a 2, qui sont tous les 2 nichés dans System32 ... En tout cas en ayant lu vite fait le message "warning" qui est apparu la 1ère fois que je l'ai redémarré, il y en avait un des 2 qui était nommé Virtumonde, je crois !

J'ai redémarré en appuyant F5, et j'ai pris le "mode sans échec". Je suis en train de sauvegarder mes documents sur disque dur externe.

Pas de problème et n'oublies rien ;)

re bonsoir,

ze_nymphe,

tu préfères formater ? tu ne veux pas essayer de nettoyer ton pc ?

Batch_Man

tu prends la suite du topic peut être ?

Comme tu veux ;)

Je le fais et tu me suis ok ?

en général quand un membre a pris un sujet, on le laisse continuer. Me semble que tu en as déjà qq 1 en cours, je me trompe ?

et je ne suis pas certaine du tout qu'il faille formater

Pas de problème

Continu :)

Oui j'en ai quelques un mais bon ça devrait aller

Bonne continuation

Je verrais s'il faut formater, je vais d'abord essayer de le desinfecter avec votre aide. Je suis tjs bien aidée sur ce forum, d'ailleurs je vous en remercie, et je sais que s'il faut formater car la desinfection n'a pas marché, vous me le direz aussi ... Mais je sauvegarde mes dossiers par prudence, au cazou ! (meme s'il n'y avait pas besoin, au moins ca sera fait !)

Je vais essayer de commencer la desinfection demain, je vais déja faire le procédé de pré-nettoyage. Par contre je pars en w-e donc je ne reprendrais la desinfection que dimanche fin de journée.

Voila, merci.

re

ok, pas de soucis, quand tu auras fini tes sauvegardes, tu posteras le rapport de HijackThis ainsi que celui de malwarebyte's.

et si c'est après le we, alors à lundi

Par contre 2 problèmes se présentent : le 1er est que mes definitions de Malwarebytes datent d'il y a un mois environ. Et le 2è problème entrainant le 1er, je ne peux utiliser mon ordi qu'en mode sans échec. Impossible de cliquer ou que ce soit quand il est démarré "normal". (Heureusement que j'ai un portable, sinon je serais bien embetée pour venir vous demander de l'aide !)

Malwarebytes a tout de meme trouvé 15 éléments. Du coup j'ai fait le rapport HijackThis en sans échec. Je vous poste les résultats :

Malwarebytes' Anti-Malware 1.20

Version de la base de données: 963

Windows 5.1.2600 Service Pack 3

10:35:33 29/08/2008

mbam-log-8-29-2008 (10-35-33).txt

Type de recherche: Examen complet (C:\|D:\|)

Eléments examinés: 122933

Temps écoulé: 24 minute(s), 19 second(s)

Processus mémoire infecté(s): 1

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 1

Valeur(s) du Registre infectée(s): 7

Elément(s) de données du Registre infecté(s): 2

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 4

Processus mémoire infecté(s):

C:\WINDOWS\system32\blphc34bj0evc7.scr (Trojan.FakeAlert) -> Unloaded process successfully.

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost.exe (Trojan.Agent) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lphc34bj0evc7 (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\inrhc74bj0evc7 (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\Control Panel\Desktop\wallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

Fichier(s) infecté(s):

C:\WINDOWS\system32\drivers\svchost.exe (Trojan.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\blphc34bj0evc7.scr (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\lphc34bj0evc7.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\phc34bj0evc7.bmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Et Hijack :

Logfile of HijackThis v1.99.1
Scan saved at 10:41:04, on 29/08/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.aliceadsl.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Alice ADSL
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [eRecoveryService] C:\Program Files\Acer\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [ntiMUI] C:\Program Files\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [AspireService] C:\Program Files\Acer\Acer eMode Management\AspireService.exe
O4 - HKLM\..\Run: [MediaSync] C:\Program Files\Acer\Acer eConsole\MediaSync.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE VIMICRO USB PC Camera
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Packard Bell Data Secure] C:\Program Files\Packard Bell Data Secure\PBDataSecure.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab50997.cab
O16 - DPF: {34DC6011-88B5-4EA9-BA7A-DC7B4F4437FE} (JordanUploader Class) - http://photoservice.fujicolor.de/ips-opdata/objects/jordan.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab50997.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {AE2B937E-EA7D-4A8D-888C-B68D7F72A3C4} (IPSUploader4 Control) - http://photoservice.fujicolor.de/ips-opdata/operator/27859021/activex/IPSUploader4.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game10.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {C45B1500-7B63-47C2-AB25-C28CB46AFDEE} (od2music mediabar) - http://sib1.od2.com/common/musicmanager/installation/MusicManagerPlugin.CAB
O16 - DPF: {DD3641E5-A9CF-11D1-9AA1-444553540000} (Surround Video V3.0 Control Object) - http://www.lanson.fr/svideo3.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{554BB5AA-7DF0-4439-BF3F-A6188B2F5BD1}: NameServer = 212.216.212.212,212.216.172.62
O17 - HKLM\System\CS1\Services\Tcpip\..\{554BB5AA-7DF0-4439-BF3F-A6188B2F5BD1}: NameServer = 212.216.212.212,212.216.172.62
O17 - HKLM\System\CS2\Services\Tcpip\..\{554BB5AA-7DF0-4439-BF3F-A6188B2F5BD1}: NameServer = 212.216.212.212,212.216.172.62
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: MSNim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Acer Media Server - Acer Inc. - C:\Program Files\acer\Acer eConsole\MediaServerService.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

bonjour,

ta version d'hijackthis est ancienne, reprends la ici:

HijackThis

et fait ceci :

*- Pour tous les lecteurs :
-- Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.
-- Ne pas utiliser en dehors de ce cas de figure : dangereux!

Télécharge Combofix (de sUBs) -> sur ton Bureau et pas ailleurs :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

/!\ Désactive ton antivirus / antispyware résident / TeaTimer de Spybot (s'ils fonctionnent encore! )
Désactiver les protections résidentes - Tutoriel

• Assure-toi que tous les programmes sont fermés avant de lancer le fix.
• Double clique sur "combofix.exe" et suis les invites.
• Clique sur "Oui" au message de "Limitation de Garantie" qui s'affiche.
• Il est possible que ton parefeu te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sure: accepte!

/!\ Ne ferme pas la fenêtre qui vient de s'ouvrir, tu te retrouverais avec un bureau vide!

• Lorsque le scan sera complété, un rapport apparaîtra.
• Copie/colle ce rapport dans ta prochaine réponse.
  

Note: Le rapport se trouve également dans -> C:\ComboFix.txt

Ce guide permet de suivre les étapes de Combofix.

/!\ Par la suite, il est possible que ton antivirus fasse une détection sur ce fichier >>nircmd.com<<, clique sur Ignorer
--- puis valide par OK. Ce fichier appartient à ComboFix, ce n'est pas un malware!

Bonsoir !

Je voulais savoir pourquoi faut-il télécharger Combofix uniquement sur le bureau ? Car je n'ai pas internet en mode sans échec (a moins que je ne puisse l'allumer en mode sans échec avec prise en charge réseau ?) donc je voulais mettre tout ca sur mon disque dur externe pr le transférer après sur le bureau de l'ordi infecté ... c'est possible ?

bonsoir,

oui bien sûr. Tu le télécharges et via dd externe ou clé usb, tu viens le mettre sur le bureau du pc infecté

Alors j'ai mis Combofix sur le bureau, ainsi que la consol de récupération (car je n'ai pas cd windows), mais je ne sais pas si Combofix a installé la console : je n'ai eu aucun message comme quoi la console était bien installée ou non.

Du coup, j'ai refait glisser la console de récupération sur Combofix comme indiqué sur le tuto, et la une fenetre apparait : Combofix has detected the presence of rootkit activity and needs to reboot the machine

Que faire ?

re

je voudrais que tu fasses ceci et que tu postes le rapport de combo stp

/!\ Désactive ton antivirus / antispyware résident / TeaTimer de Spybot (s'ils fonctionnent encore! )
Désactiver les protections résidentes - Tutoriel

• Assure-toi que tous les programmes sont fermés avant de lancer le fix.
• Double clique sur "combofix.exe" et suis les invites.
• Clique sur "Oui" au message de "Limitation de Garantie" qui s'affiche.
• Il est possible que ton parefeu te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sure: accepte!

/!\ Ne ferme pas la fenêtre qui vient de s'ouvrir, tu te retrouverais avec un bureau vide!

• Lorsque le scan sera complété, un rapport apparaîtra.
• Copie/colle ce rapport dans ta prochaine réponse.
  

Note: Le rapport se trouve également dans -> C:\ComboFix.txt

Mais justement, le problème est que je ne peux pas utiliser Combofix. Quand je le lance, j'ai une fenetre qui me demande "exécuter" ou "annuler", et ensuite la mini fenetre de chargement de Combofix, et ensuite plus rien. Si je clique a nouveau pour lancer Combofix, ca fait la meme chose, et après j'obtiens a chaque fois le message Combofix has detected the presence of rootkit activity and needs to reboot the machine.

Je précise que je suis tjs en mode sans échec, au cas ou ca aurait une incidence sur le fonctionnement de ComboFix

ok je n'avais pas compris, on va essayer en renommant combo

supprime le de ce pc infecté

retourne le renommer sur ton support externe (combo-fix.exe------en mettant un tiret entre combo et fix) de cette manière

http://forum.pcastuces.com/combofix___renommer_au_telechargement-f31s22.htm

et re essaye

J'ai supprimé ComboFix du pc infecté, et meme du disque dur ext. J'ai re-téléchargé sur le disque dur en mettant un tiret dans Combo-Fix. J'ai remis ComboFix sur le pc infecté, et tjs rien .... Le programme ne se lance pas. Lorsque je clique dessus, j'ai encore la fenetre "exécuter" ou "annuler", puis la petite fenetre de chargement. Alors effectivement je n'ai plus la fenetre qui dit que ComboFix a détécté un rootkit et qu'il doit rebooter l'ordi, mais je n'ai pas non plus ouverture de Combofix ...

bonjour,

ok, laisse tomber

* Télécharge DiagHelp.zip sur ton bureau(Merci Malekal)

Tuto : http://www.malekal.com/DiagHelp/DiagHelp.php

* Ne double-clique pas dessus !! Fais un clic droit sur le fichier et extraire tout.
* Un nouveau dossier chercher va être créé.
* Ouvre le et double-clic sur go.cmd(le .cmd peut ne pas apparaître)
* Une fenêtre va s'ouvrir, choisis l'option 1
* L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande.
* Pendant l'analyse après le rapport CATCHME sur l'écran rouge, tu dois appuyer sue entrée pour que l'outil continue ses recherches. Suis les consignes écrites.

* Une fenêtre avec le rapport s'ouvre alors. Copie/colle son contenu. (Il se trouve aussi ici : c:\resultat.txt)
* Double-clique sur ce fichier, Fais CTRL+A puis CTRL+C.
* Dans ta prochaine réponse, colle le rapport en faisant CTRL+V.

Comme je n'ai pas mis le mode sans échec avec prise en charge réseau, je n'avais pas internet quand j'ai fait l'analyse avec DiagHelp. Du coup j'ai mis le fichier upload_moi_XXXX.zip sur disque dur ext pour envoyer a upload.malekal.com, j'espère que ca fait du mal nulle part ce fichier zip

Bon finalement ca upload pas donc j'ai laissé tomber et je l'ai supprimé du disque dur.

Pour ce qui est du rapport, je vous le poste :

DiagHelp version v1.4 - http://www.malekal.com
excute le 01/09/2008 à 20:42:03,98


Liste des derniers fichies modifies/crees dans windir\system32 et prefetch
C:\WINDOWS\prefetch\WUAUCLT.EXE-1360D60A.pf -->31/08/2008 23:22:15
C:\WINDOWS\prefetch\WLLOGINPROXY.EXE-090074F0.pf -->31/08/2008 23:22:15
C:\WINDOWS\prefetch\VERCLSID.EXE-28F52AD2.pf -->31/08/2008 23:22:15
C:\WINDOWS\prefetch\SHMGRATE.EXE-2DD3E4D8.pf -->31/08/2008 23:22:15
C:\WINDOWS\prefetch\SETUP50.EXE-2911CBB9.pf -->31/08/2008 23:22:15
C:\WINDOWS\prefetch\RUNDLL32.EXE-6ACD0C83.pf -->31/08/2008 23:22:15
C:\WINDOWS\prefetch\REGSVR32.EXE-396DEA2C.pf -->31/08/2008 23:22:15
C:\WINDOWS\prefetch\READER_SL.EXE-2FCCA463.pf -->31/08/2008 23:22:15
C:\WINDOWS\prefetch\PDVDSERV.EXE-04AF0E9D.pf -->31/08/2008 23:22:15
C:\WINDOWS\prefetch\NTOSBOOT-B00DFAAD.pf -->31/08/2008 23:22:15

C:\WINDOWS\System32\drivers\mbamcatchme.sys -->07/07/2008 17:35:36
C:\WINDOWS\System32\drivers\mbam.sys -->07/07/2008 17:35:30
C:\WINDOWS\System32\drivers\tcpip.sys -->20/06/2008 13:51:12
C:\WINDOWS\System32\drivers\afd.sys -->20/06/2008 13:40:08
C:\WINDOWS\System32\drivers\tcpip6.sys -->20/06/2008 13:08:27
C:\WINDOWS\System32\drivers\bthport.sys -->14/06/2008 19:33:37
C:\WINDOWS\System32\drivers\rmcast.sys -->08/05/2008 16:02:52

C:\WINDOWS\System32\eRLog.ini -->31/08/2008 23:21:56
C:\WINDOWS\System32\nvapps.xml -->31/08/2008 23:21:50
C:\WINDOWS\System32\wpa.dbl -->31/08/2008 23:21:23
C:\WINDOWS\System32\perfh00C.dat -->26/08/2008 12:59:49
C:\WINDOWS\System32\perfh009.dat -->26/08/2008 12:59:49
C:\WINDOWS\System32\perfc00C.dat -->26/08/2008 12:59:49
C:\WINDOWS\System32\perfc009.dat -->26/08/2008 12:59:49
C:\WINDOWS\System32\PerfStringBackup.INI -->26/08/2008 12:59:48
C:\WINDOWS\System32\spupdwxp.log -->26/08/2008 12:57:19
C:\WINDOWS\System32\FNTCACHE.DAT -->26/08/2008 12:56:30
C:\WINDOWS\System32\TZLog.log -->14/08/2008 12:05:12
C:\WINDOWS\System32\MRT.exe -->05/08/2008 20:11:01
C:\WINDOWS\System32\jupdate-1.6.0_07-b06.log -->04/08/2008 15:24:42
C:\WINDOWS\System32\cdm.dll -->18/07/2008 22:10:48
C:\WINDOWS\System32\wuauclt.exe -->18/07/2008 22:10:42
C:\WINDOWS\System32\wups2.dll -->18/07/2008 22:10:40
C:\WINDOWS\System32\wucltui.dll.mui -->18/07/2008 22:10:36
C:\WINDOWS\System32\wups.dll -->18/07/2008 22:10:20
C:\WINDOWS\System32\wuaucpl.cpl.mui -->18/07/2008 22:09:56
C:\WINDOWS\System32\wucltui.dll -->18/07/2008 22:09:46
C:\WINDOWS\System32\wuaucpl.cpl -->18/07/2008 22:09:46
C:\WINDOWS\System32\wuweb.dll -->18/07/2008 22:09:44
C:\WINDOWS\System32\wuapi.dll -->18/07/2008 22:09:44
C:\WINDOWS\System32\wuaueng.dll -->18/07/2008 22:09:42
C:\WINDOWS\System32\wuapi.dll.mui -->18/07/2008 22:09:14

C:\WINDOWS\ntbtlog.txt -->01/09/2008 20:39:32
C:\WINDOWS\bootstat.dat -->01/09/2008 20:37:59
C:\WINDOWS\WindowsUpdate.log -->01/09/2008 13:54:20
C:\WINDOWS\wiaservc.log -->31/08/2008 23:22:15
C:\WINDOWS\wiadebug.log -->31/08/2008 23:22:15
C:\WINDOWS\SchedLgU.Txt -->31/08/2008 23:22:15
C:\WINDOWS\OEWABLog.txt -->31/08/2008 23:21:40
C:\WINDOWS\0.log -->31/08/2008 23:21:17
C:\WINDOWS\Sti_Trace.log -->29/08/2008 10:36:41
C:\WINDOWS\win.ini -->28/08/2008 19:24:18
C:\WINDOWS\randseed.rnd -->28/08/2008 17:37:32
C:\WINDOWS\WLXPGSS.SCR -->18/07/2008 20:39:16
C:\WINDOWS\winhlp32.exe -->14/04/2008 04:34:27
C:\WINDOWS\slrundll.exe -->14/04/2008 04:34:22
C:\WINDOWS\regedit.exe -->14/04/2008 04:34:19

winlogon.exe
Verified: Signed
svchost.exe
Verified: Signed
ws2_32.dll
Verified: Signed
user32.dll
Verified: Signed
tcpip.sys
Verified: Signed
ndis.sys
Verified: Signed
null.sys
Verified: Signed

ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - www.sysinternals.com

------------------------------------------------------------------------------
explorer.exe pid: 856
Command line: C:\WINDOWS\Explorer.EXE

Base Size Version Path
0x77be0000 0x58000 7.00.2600.5512 C:\WINDOWS\system32\msvcrt.dll
0x779e0000 0x97000 5.131.2600.5512 C:\WINDOWS\system32\CRYPT32.dll
0x76610000 0x84000 5.131.2600.5512 C:\WINDOWS\system32\CRYPTUI.dll
0x44080000 0xd0000 7.00.6000.16705 C:\WINDOWS\system32\WININET.dll
0x00400000 0x9000 6.00.5441.0000 C:\WINDOWS\system32\Normaliz.dll
0x43e00000 0x45000 7.00.6000.16705 C:\WINDOWS\system32\iertutil.dll
0x76be0000 0x2e000 5.131.2600.5512 C:\WINDOWS\system32\WINTRUST.dll
0x753c0000 0x6b000 1.420.2600.5512 C:\WINDOWS\system32\USP10.dll
0x58b50000 0x9a000 5.82.2900.5512 C:\WINDOWS\system32\comctl32.dll
0x76f80000 0x7f000 2001.12.4414.0700 C:\WINDOWS\system32\CLBCATQ.DLL
0x77000000 0xd4000 2001.12.4414.0700 C:\WINDOWS\system32\COMRes.dll
0x13420000 0x1a000 11.00.5721.5145 C:\PROGRA~1\WINDOW~2\wmpband.dll
0x76ac0000 0x11000 3.05.2284.0001 C:\WINDOWS\system32\ATL.DLL
0x44360000 0x5cd000 7.00.6000.16705 C:\WINDOWS\system32\ieframe.dll
0x76010000 0x65000 6.02.3104.0000 C:\WINDOWS\system32\MSVCP60.dll
0x7d200000 0x2bc000 3.01.4001.5512 C:\WINDOWS\system32\msi.dll
0x44160000 0x127000 7.00.6000.16705 C:\WINDOWS\system32\urlmon.dll
0x015c0000 0x1c000 7.00.0000.0000 C:\Program Files\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll
0x015e0000 0x8000 1.00.0000.0000 C:\Program Files\Malwarebytes' Anti-Malware\mbamext.dll
0x023d0000 0x2c000 C:\Program Files\WinRAR\rarext.dll
0x183b0000 0x7000 8.00.0000.0912 C:\Program Files\Network Associates\VirusScan\shext.dll
0x192f0000 0x3000 8.00.0000.0912 C:\Program Files\Network Associates\VirusScan\RES0c\ShExtRes.dll
0x02950000 0x78000 C:\PROGRA~1\PACKAR~1\DSRClick.dll
0x02400000 0x2a000 7.05.0001.0036 C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\context.dll
0x02bf0000 0x13000 7.05.0001.0036 C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\shellexecutehook.dll
0x10930000 0x49000 5.02.5721.5145 C:\WINDOWS\system32\PortableDeviceApi.dll
0x74730000 0x3d000 3.525.1132.0000 C:\WINDOWS\system32\ODBC32.dll
0x1f840000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll
0x4eb80000 0x1a6000 5.01.3102.5512 C:\WINDOWS\WinSxS\x86_Microsoft.Windows.GdiPlus_6595b64144ccf1df_1.0.2600.5512_x-ww_dfb54e0c\gdiplus.dll

ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - www.sysinternals.com

------------------------------------------------------------------------------
winlogon.exe pid: 192
Command line: winlogon.exe

Base Size Version Path
0x01000000 0x82000 \??\C:\WINDOWS\system32\winlogon.exe
0x77be0000 0x58000 7.00.2600.5512 C:\WINDOWS\system32\msvcrt.dll
0x779e0000 0x97000 5.131.2600.5512 C:\WINDOWS\system32\CRYPT32.dll
0x76be0000 0x2e000 5.131.2600.5512 C:\WINDOWS\system32\WINTRUST.dll
0x753c0000 0x6b000 1.420.2600.5512 C:\WINDOWS\system32\USP10.dll
0x58b50000 0x9a000 5.82.2900.5512 C:\WINDOWS\system32\COMCTL32.dll
0x74730000 0x3d000 3.525.1132.0000 C:\WINDOWS\system32\ODBC32.dll
0x1f840000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll
0x010d0000 0x3b000 1.07.0018.0005 C:\WINDOWS\system32\WgaLogon.dll
0x76f80000 0x7f000 2001.12.4414.0700 C:\WINDOWS\system32\CLBCATQ.DLL
0x77000000 0xd4000 2001.12.4414.0700 C:\WINDOWS\system32\COMRes.dll


Le volume dans le lecteur C s'appelle ACER
Le numéro de série du volume est 8CCF-5630

Répertoire de C:\WINDOWS\system

25/12/1998 09:15 345 983 RCDSETUP.EXE
1 fichier(s) 345 983 octets
0 Rép(s) 66 296 950 784 octets libres
Le volume dans le lecteur C s'appelle ACER
Le numéro de série du volume est 8CCF-5630

Répertoire de C:\WINDOWS\system32

14/04/2008 04:33 6 144 csrss.exe
1 fichier(s) 6 144 octets
0 Rép(s) 66 296 950 784 octets libres

Contenu de Downloaded Program Files
Le volume dans le lecteur C s'appelle ACER
Le numéro de série du volume est 8CCF-5630

Répertoire de C:\WINDOWS\Downloaded Program Files

19/07/2008 18:18 <REP> .
19/07/2008 18:18 <REP> ..
24/08/2006 09:28 141 424 asinst.dll
22/08/2006 10:06 537 asinst.inf
07/12/2004 17:07 32 bdcore.dll
25/05/2006 01:21 118 784 bdupd.dll
03/11/2007 21:22 <REP> CONFLICT.1
23/06/2005 23:00 65 desktop.ini
26/07/2007 16:03 214 DivXPlugin.inf
25/07/2002 19:13 24 576 dwusplay.dll
25/07/2002 19:13 196 608 dwusplay.exe
11/04/2007 14:55 1 292 erma.inf
23/11/2006 00:22 372 736 GAME_UNO1.dll
22/11/2006 21:50 316 GAME_UNO1.INF
25/05/2006 01:21 53 248 ipsupd.dll
31/01/2008 15:17 324 IPSUploader4.inf
31/01/2008 15:17 2 573 712 IPSUploader4.ocx
16/06/2004 07:02 323 584 isusweb.dll
10/11/2005 15:05 876 jinstall-1_5_0_06.inf
10/07/2007 17:12 2 151 872 JordanApplet.dll
10/07/2007 11:20 324 jordanapplet.inf
08/08/2006 11:45 576 kavwebscan.inf
16/03/2005 12:34 7 407 lang.ini
07/12/2004 17:07 32 libfn.dll
14/03/2005 14:38 126 live.ini
29/05/2003 15:00 160 864 messengerstatsclient.dll
23/02/2007 00:41 304 544 MessengerStatsPAClient.dll
29/05/2003 15:00 84 064 minesweeper.dll
30/06/2005 16:19 227 MSNMessengerSetupDownloader.inf
14/08/2005 01:26 113 664 MSNMessengerSetupDownloader.ocx
20/06/2006 16:44 379 704 MSNPUpld.dll
19/06/2006 15:40 393 MSNPUpld.inf
25/04/2007 09:14 1 461 MusicManager.inf
25/06/2007 11:53 91 464 MusicManagerInstaller.dll
25/06/2007 11:53 501 064 MusicManagerLib.dll
25/06/2007 11:53 263 496 MusicManagerPlaylist.dll
25/06/2007 11:53 1 099 184 MusicManagerPlugin.ocx
18/05/2007 12:41 157 000 OD2hpb.dll
28/02/2007 20:24 361 OGAControl.inf
01/06/2006 02:57 1 331 oscan8.inf
01/06/2006 02:54 471 040 oscan8.ocx
31/05/2006 04:15 10 oscan81.ocx_x
20/06/2006 16:44 117 560 PURen-us.dll
09/01/2007 09:30 110 592 PURfr-fr.dll
14/03/2005 14:58 7 073 scanoptions.tsi
14/02/2007 16:30 144 setup.inf
15/07/1998 16:32 316 SVIDEO30.INF
17/07/1998 13:20 272 944 SVIDEO30.ocx
09/11/2006 15:36 5 019 swflash.inf
29/04/2005 17:24 155 648 zylomgamesplayer.dll
47 fichier(s) 10 267 832 octets

Répertoire de C:\WINDOWS\Downloaded Program Files\CONFLICT.1

03/11/2007 21:22 <REP> .
03/11/2007 21:22 <REP> ..
29/08/2006 15:17 161 976 zylomgamesplayer.dll
15/09/2006 11:53 244 ZylomGamesPlayer.inf
2 fichier(s) 162 220 octets

Total des fichiers listés :
49 fichier(s) 10 430 052 octets
5 Rép(s) 66 296 946 688 octets libres

Recherche de rootkit! (Merci S!Ri)

Recherche d'infections connues

Export des clefs sensibles..


Liste des fichiers en exception sur le pare-feu XP SP2

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\acer\\Acer eConsole\\MediaSync.exe"="C:\\Program Files\\acer\\Acer eConsole\\MediaSync.exe:LocalSubNet:Enabled:Media Synchoronizer"
"C:\\Program Files\\acer\\Acer eConsole\\eConsole.exe"="C:\\Program Files\\acer\\Acer eConsole\\eConsole.exe:LocalSubNet:Enabled:eConsole"
"C:\\Program Files\\acer\\Acer eConsole\\MediaServerService.exe"="C:\\Program Files\\acer\\Acer eConsole\\MediaServerService.exe:LocalSubNet:Enabled:Acer Media Server"
"C:\\Program Files\\eMule\\emule.exe"="C:\\Program Files\\eMule\\emule.exe:*:Enabled:eMule"
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe:*:Enabled:hpqste08.exe"
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe:*:Enabled:hpofxm08.exe"
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe:*:Enabled:hposfx08.exe"
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe:*:Enabled:hposid01.exe"
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe:*:Enabled:hpqscnvw.exe"
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe:*:Enabled:hpqkygrp.exe"
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqCopy.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqCopy.exe:*:Enabled:hpqcopy.exe"
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpfccopy.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpfccopy.exe:*:Enabled:hpfccopy.exe"
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe:*:Enabled:hpzwiz01.exe"
"C:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"="C:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe:*:Enabled:hpqphunl.exe"
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe:*:Enabled:hpoews01.exe"
"C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\\Program Files\\Tiscali_Triway_WiFi\\Wizard\\CTD_FirmwareUpgrader.exe"="C:\\Program Files\\Tiscali_Triway_WiFi\\Wizard\\CTD_FirmwareUpgrader.exe:*:Enabled:CTD_FirmwareUpgrader"
"C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE"="C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE:*:Disabled:Internet Explorer"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\\WINDOWS\\system32\\drivers\\svchost.exe"="C:\\WINDOWS\\system32\\drivers\\svchost.exe:*:Disabled:svchost"

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

Export de la clef SharedTaskScheduler

[SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

exports des policies
REGEDIT4

[system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

Export des clefs sensibles..
Rechercher adresses sensibles dans le fichier HOSTS...
catchme 0.3.1351 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-01 20:43:34
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden services & system hive ...

disk error: C:\WINDOWS\system32\config\system, 0
scanning hidden registry entries ...

disk error: C:\WINDOWS\system32\config\software, 0
disk error: C:\Documents and Settings\Enfants\ntuser.dat, 0
scanning hidden files ...

disk error: C:\

please note that you need administrator rights to perform deep scan

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Error loading kernel support driver!
Make sure you are running this as Administrator.

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Error loading kernel support driver!
Make sure you are running this as Administrator.

Liste des programmes installes

1400
1400_Help
1400Trb
Acer eConsole
Acer eMode Management
Ad-Aware SE Personal
Adobe Flash Player ActiveX
Adobe Reader 7.0
Adobe Shockwave Player
AiO_Scan
AiOSoftware
Archiveur WinRAR
ArcSoft Camera Suite 1.3
Assistant de connexion Windows Live
Athlon 64 Processor Driver
Audacity 1.2.6
AVG Anti-Spyware 7.5
BufferChm
CCleaner (remove only)
Correctif pour Lecteur Windows Media 11 (KB939683)
Correctif pour Windows Internet Explorer 7 (KB947864)
Correctif pour Windows XP (KB952287)
CP_Package_Variety1
CP_Package_Variety2
CP_Package_Variety3
Destinations
DeviceManagementQFolder
DivX Content Uploader
DivX Web Player
DocProc
eMule
eSupportQFolder
Fax
Galerie de photos Windows Live
GdiplusUpgrade
Google Earth
Google Toolbar for Internet Explorer
Hotfix for Windows Media Format 11 SDK (KB929399)
HP Imaging Device Functions 5.3
HP Photosmart Essential
HP PSC & OfficeJet 5.3.B
HP Software Update
HP Solution Center & Imaging Support Tools 5.3
HPProductAssistant
J2SE Runtime Environment 5.0 Update 10
J2SE Runtime Environment 5.0 Update 11
J2SE Runtime Environment 5.0 Update 2
J2SE Runtime Environment 5.0 Update 6
Java(TM) 6 Update 2
Java(TM) 6 Update 3
Java(TM) 6 Update 5
Java(TM) 6 Update 7
Java(TM) SE Runtime Environment 6 Update 1
Kaspersky Online Scanner
Kit de Connexion Alice ADSL
Language pack for Ad-aware SE
Lecteur Windows Media 11
Malwarebytes' Anti-Malware
McAfee VirusScan Enterprise
Messenger Plus! Live & Sponsor (CiD)
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 French Language Pack
Microsoft .NET Framework 1.1 Hotfix (KB928366)
Microsoft Age of Empires
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft Internationalized Domain Names Mitigation APIs
Microsoft National Language Support Downlevel APIs
Microsoft Office Professional Edition 2003
Microsoft SQL Server 2005 Compact Edition [ENU]
Microsoft User-Mode Driver Framework Feature Pack 1.0
Microsoft Works
Mise à jour de sécurité pour Lecteur Windows Media (KB911564)
Mise à jour de sécurité pour Lecteur Windows Media 10 (KB911565)
Mise à jour de sécurité pour Lecteur Windows Media 10 (KB917734)
Mise à jour de sécurité pour Lecteur Windows Media 11 (KB936782)
Mise à jour de sécurité pour Lecteur Windows Media 6.4 (KB925398)
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB928090)
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB929969)
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB931768)
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB933566)
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB937143)
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB938127)
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB939653)
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB942615)
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB944533)
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB950759)
Mise à jour de sécurité pour Windows