Virus MSN

Ok tien j'ai refait un msn fix et dis moi ce que tu en penses



MSNFix 1.654



C:\Documents and Settings\Bureau\MSNFix

Fix exécuté le 28/03/2008 - 11:22:26,85

mode sans échec



************************ Recherche les fichiers présents



... C:\Documents and Settings\??????.exe



************************ Recherche les dossiers présents



Aucun dossier trouvé









************************ Suppression des fichiers



.. OK ... C:\Documents and Settings\??????.exe







************************ Nettoyage du registre







************************ Fichiers suspects



/!\ ces fichiers nécessitent un avis expérimenté avant toute intervention



[C:\Documents and Settings\trial_setup.exe] 94A736D798E5A0D34E38E5871C8FF40F



[color=#FF0000]==>[/color] SVP merci d'envoyer le fichier C:\DOCUME~1\Bureau\Upload_Me.zip sur http://upload.changelog.fr







Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 28032008_11233334.zip





Information ...... Information ...... Information ......



/!\ /!\ MSNFix n'est pas affilié a livekill CleanMessenger /!\ /!\



Ce pseudo antivirus copie les bases de MSNFix pour se tenir a jour





/!\ /!\ MSNFix is not affiliated with Livekill CleanMessenger /!\ /!\



------------------------------------------------------------------------

Auteur : !aur3n7 Contact: http://changelog.fr

------------------------------------------------------------------------



--------------------------------------------- END ---------------------------------------------







Ajout du 28-03-2008 à 11:35:

Et voila rapport avec hijackthis



Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 11:33:58, on 28/03/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\PROGRA~1\Wanadoo\TaskBarIcon.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe

C:\Program Files\Eset\nod32kui.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Program Files\Fichiers communs\Teleca Shared\CapabilityManager.exe

C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Program Files\Bonjour\mDNSResponder.exe

C:\PROGRA~1\Wanadoo\ComComp.exe

C:\WINDOWS\System32\FTRTSVC.exe

C:\Program Files\Eset\nod32krn.exe

C:\PROGRA~1\Wanadoo\Toaster.exe

C:\PROGRA~1\Wanadoo\Inactivity.exe

C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindService.exe

C:\PROGRA~1\Wanadoo\PollingModule.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE

C:\Program Files\Fichiers communs\Teleca Shared\Generic.exe

C:\PROGRA~1\Wanadoo\Watch.exe

C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe

C:\WINDOWS\system32\wuauclt.exe

C:\PROGRA~1\MOZILL~1\FIREFOX.EXE

C:\DOCUMENTS AND SETTINGS\JESSICA\MES DOCUMENTS\Mes téléchargements\HiJackThis.exe



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.msn.fr/spbasic.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: (no name) - {BE89472C-B803-4D1D-9A9A-0A63660E0FE3} - (no file)

R3 - URLSearchHook: (no name) - {20929603-21DB-477C-BA6F-0B8E70B3C8A0} - (no file)

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\^^^^^.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: Alcohol Toolbar Helper - {52D06F97-5511-43FA-8FDA-C481864FD26E} - C:\Program Files\Alcohol Toolbar\v3.2.0.0\Alcohol_Toolbar.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O3 - Toolbar: Alcohol Toolbar - {4C4E7CDB-5BFC-4D74-83E2-8AE659B7EDA2} - C:\Program Files\Alcohol Toolbar\v3.2.0.0\Alcohol_Toolbar.dll

O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"

O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\Run: [Flash Media] C:\WINDOWS\system32\^^^^^.exe

O4 - HKCU\..\Run: [WOOKIT] C:\Program Files\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html

O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.orange.fr (file missing) (HKCU)

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/pr02/resources/MSNPUpld.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe

O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\PROSetWired\NCS\Sync\NetSvc.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindService.exe

O24 - Desktop Component 1: (no name) - http://by116fd.bay116.hotmail.msn.com/cgi-bin/getmsg?msg=08F9F300-9433-464D-81E4-5E029DBDB584&start=0&len=2669&imgsafe=y&curmbox=00000000%2d0000%2d0000%2d0000%2d000000000001&a=5e6713d7ffb6cac9d3aea069bcb370b5d540adcbea6275c4c036cd7793e66eb4&curmbox=00000000%2d0000%2d0000%2d0000%2d000000000001&a=5e6713d7ffb6cac9d3aea069bcb370b5d540adcbea6275c4c036cd7793e66eb4



--

End of file - 7981 bytes

il faudrait participer avec un minimum de rigueur

je t'envoie au premier message vers un lien afin de faire des manips
tu me mets un rapport MSNFIx ==>je te demande

c'est une version de MSNFIX que tu viens de télécharger ou c'est une ancienne déjà sur ton PC?
je ne vois pas le n° de la version

pas de réponse , mais je vois que dons ton dernier rapport mSNFIX tu as une version périmée

donc => tu supprimes MSNFIX et ses rapports
tu vas sur le lien et tu télécharges MSNFIX à jour
et tu fais un rapport

Voila mon nouveau rapport avec MSNFix

MSNFix 1.692

C:\Documents and Settings\Bureau\MSNFix
Fix exécuté le 28/03/2008 - 11:47:54,03 By Jessica
mode sans échec

************************ Recherche les fichiers présents

Aucun Fichier trouvé

************************ Recherche les dossiers présents

Aucun dossier trouvé


Aucun Fichier trouvé



************************ Fichiers suspects

Aucun Fichier trouvé


Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 28032008_11492571.zip

************************ HKLM\...\Winlogon\Userinit

Userinit = C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\^^.exe


------------------------------------------------------------------------
Auteur : !aur3n7 Contact: http://changelog.fr
------------------------------------------------------------------------

--------------------------------------------- END ---------------------------------------------

relancer hijack
"Do A System Scan Only"

cocher ces lignes et clic ensuite sur FIX CHECKED

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\^^^^^.exe

-------------

Dans hijack
= Open the misc tools section
= Delete a file on reboot
= coller dans la case ce texte qui est en gras :

C:\WINDOWS\system32\^^^^^.exe

=Clic ouvrir
( au message : « voulez.vous redémarrer « clic : OUI)
= ok
= redémarrer
============

Démarrer==> Exécuter ==> Ecrire :regedit

clic sur les + afin de suivre ce chemin

HKEY_LOCAL_MACHINE =>system =>currentcontrolset =>services =>sharedaccess
=> parameters =>firewallpolicy =>standardprofile =>authorizedapplications
clic sur => list
dans le tableaude droite
clic sur
"C:\WINDOWS\system32\^^^^^.exe "=" ici il doit y avoir un texte qui est variable

et supprimer

Quand je regarde le disque local C je vais dans windows et syteme 32 et j'ai encore ce foutu fichier ^^^^ dedans

(Modifié par jess68 le 28-03-2008 à 12:20)

tu as fait l'intégralité de la manip ?

et faire

Télécharger et enregistrer sur le bureau
Combofix

=Double-clic sur Combofix
= Presser 1 si demandé
= Attendre la fermeture de l’outil ( 5 -10 mn ou plus si infection importante)
=Copier/coller le rapport dans la réponse
Un rapport dans C:\Combofix.txt à mettre dans la réponse

Voila le rapport avec COMBOFIX

ComboFix 08-03-26.3 - 2008-03-28 12:27:14.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.208 [GMT 1:00]
Endroit: C:\Documents and Settings\Bureau\ComboFix.exe
* Création d'un nouveau point de restauration
* Resident AV is active


[color=red]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/color]
.
-- Script messages for sUBs --
C:\WINDOWS\system32\CF4606.exe /S /D /c" 1>>d-delA.dat 2>nul ( Findstr -MIRF:/ "This.program.cannot.be.run.in.DOS.mode zhengtu.dat appinit_dlls" )"
Findstr -MIRF:/ "This.program.cannot.be.run.in.DOS.mode zhengtu.dat appinit_dlls"

((((((((((((((((((((((((((((( Fichiers créés 2008-02-28 to 2008-03-28 ))))))))))))))))))))))))))))))))))))
.

2008-03-27 18:25 . 2008-03-27 18:25 827 --a------ C:\WINDOWS\system32\nqykmc.exe
2008-03-27 18:20 . 2008-03-27 18:20 <REP> d-------- C:\SDFix
2008-03-27 14:34 . 2008-03-27 14:34 <REP> d-------- C:\Documents and Settings\Jessica\Application Data\Grisoft
2008-03-26 11:55 . 2008-03-26 11:55 244 --ah----- C:\sqmnoopt01.sqm
2008-03-26 11:55 . 2008-03-26 11:55 232 --ah----- C:\sqmdata01.sqm
2008-03-26 10:25 . 2008-03-26 10:24 512,096 --a------ C:\WINDOWS\system32\drivers\amon.sys
2008-03-26 10:25 . 2008-03-26 10:24 298,104 --a------ C:\WINDOWS\system32\_mon.d00
2008-03-26 10:25 . 2008-03-26 10:24 15,424 --a------ C:\WINDOWS\system32\drivers\nod32drv.sys
2008-03-26 10:18 . 2008-03-26 10:18 244 --ah----- C:\sqmnoopt00.sqm
2008-03-26 10:18 . 2008-03-26 10:18 232 --ah----- C:\sqmdata00.sqm
2008-03-26 09:00 . 2008-03-26 08:58 298,104 --a------ C:\WINDOWS\system32\imon.dll
2008-03-26 08:58 . 2008-03-26 10:40 <REP> d-------- C:\Program Files\Eset
2008-03-25 22:05 . 2008-03-25 22:05 899 --a------ C:\WINDOWS\system32\eoybkf.exe
2008-03-25 21:12 . 2008-03-25 21:12 <REP> d--h----- C:\kleaner.tmp
2008-03-25 21:10 . 2008-03-25 21:10 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Kaspersky Lab Setup Files
2008-03-25 17:50 . 2008-03-25 17:50 64,156 --a------ C:\WINDOWS\system32\^^^^^.exe
2008-03-25 17:50 . 2008-03-25 17:50 4,030 --a------ C:\WINDOWS\image.jpg
2008-03-23 16:24 . 2008-03-26 17:08 <REP> d-------- C:\Program Files\La Quatrième Prophétie2
2008-03-21 21:51 . 2008-03-21 21:51 <REP> d--hs---- C:\found.000
2008-03-21 10:27 . 2008-03-21 10:32 <REP> d-------- C:\Documents and Settings\Jessica\Application Data\Ventrilo
2008-03-11 10:33 . 2008-03-26 15:37 <REP> d-------- C:\Program Files\Lyberia - La Quatrieme Prophetie

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-28 11:12 --------- d-----w C:\Program Files\Wanadoo
2008-03-27 12:58 --------- d-----w C:\Program Files\Windows Live
2008-03-27 12:52 --------- d-----w C:\Documents and Settings\All Users\Application Data\WLInstaller
2008-03-26 09:22 --------- d-----w C:\Program Files\eMule
2008-03-25 20:12 --------- d-----w C:\Program Files\Alwil Software
2008-03-25 16:50 64,156 ----a-w C:\WINDOWS\system32\^^^^^.exe
2008-03-22 10:42 --------- d-----w C:\Program Files\Java
2008-03-10 18:12 377 ----a-w C:\WINDOWS\Fonts\INSTALL.LOG
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WOOKIT"="C:\Program Files\Wanadoo\Shell.exe" [2004-08-23 14:50 122880]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sony Ericsson PC Suite"="C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2005-10-26 17:17 159744]
"WOOWATCH"="C:\PROGRA~1\Wanadoo\Watch.exe" [2004-08-23 14:49 20480]
"WOOTASKBARICON"="C:\PROGRA~1\Wanadoo\GestMaj.exe" [2004-10-14 16:55 32768]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2007-04-27 08:04 185896]
"igfxtray"="C:\WINDOWS\system32\igfxtray.exe" [2005-09-20 08:35 94208]
"igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2005-09-20 08:32 77824]
"igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [2005-09-20 08:36 114688]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"nod32kui"="C:\Program Files\Eset\nod32kui.exe" [2008-03-26 10:24 949376]
"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 10:25 6731312]
"Flash Media"="C:\WINDOWS\system32\^^^^^.exe" [2008-03-25 17:50 64156]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 12:00 15360]
"msnmsgr"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 11:34 5724184]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\WINDOWS\\system32\\sessmgr.exe"=
"C:\\Program Files\\eMule\\emule.exe"=
"C:\\Program Files\\The All-Seeing Eye\\eye.exe"=
"C:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"C:\\WINDOWS\\explorer.exe"=
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE"=
"C:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"C:\\Documents and Settings\\Jessica\\Bureau\\T4C 1.6\\prophexy.exe"=
"C:\\Program Files\\La Quatrième Prophétie2\\WebPatch.exe"=
"C:\\Documents and Settings\\All Users\\Application Data\\Kaspersky Lab Setup Files\\Kaspersky Internet Security 7.0.1.325\\French\\setup.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"C:\\WINDOWS\\system32\\^^^^^.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:*:Disabled:@xpsp2res.dll,-22009
"80:TCP"= 80:TCP:WWW
"5503:TCP"= 5503:TCP:WWW
"53:UDP"= 53:UDP:DNS
"25:UDP"= 25:UDP:SMTP
"6045:TCP"= 6045:TCP:WWW
"9186:TCP"= 9186:TCP:WWW
"2635:TCP"= 2635:TCP:WWW
"2124:TCP"= 2124:TCP:WWW
"1948:TCP"= 1948:TCP:WWW
"3808:TCP"= 3808:TCP:WWW
"1523:TCP"= 1523:TCP:WWW
"9381:TCP"= 9381:TCP:WWW
"5252:TCP"= 5252:TCP:WWW
"2989:TCP"= 2989:TCP:WWW
"6546:TCP"= 6546:TCP:WWW
"4496:TCP"= 4496:TCP:WWW
"4485:TCP"= 4485:TCP:WWW
"9985:TCP"= 9985:TCP:WWW
"6517:TCP"= 6517:TCP:WWW
"5105:TCP"= 5105:TCP:WWW
"7659:TCP"= 7659:TCP:WWW
"6009:TCP"= 6009:TCP:WWW
"2186:TCP"= 2186:TCP:WWW
"8011:TCP"= 8011:TCP:WWW
"8401:TCP"= 8401:TCP:WWW
"7239:TCP"= 7239:TCP:WWW
"4090:TCP"= 4090:TCP:WWW
"3499:TCP"= 3499:TCP:WWW
"9342:TCP"= 9342:TCP:WWW
"9564:TCP"= 9564:TCP:WWW
"7097:TCP"= 7097:TCP:WWW
"8696:TCP"= 8696:TCP:WWW
"7992:TCP"= 7992:TCP:WWW
"2269:TCP"= 2269:TCP:WWW
"1963:TCP"= 1963:TCP:WWW
"4680:TCP"= 4680:TCP:WWW
"5728:TCP"= 5728:TCP:WWW
"6017:TCP"= 6017:TCP:WWW
"7026:TCP"= 7026:TCP:WWW
"2969:TCP"= 2969:TCP:WWW
"2990:TCP"= 2990:TCP:WWW
"4859:TCP"= 4859:TCP:WWW
"6444:TCP"= 6444:TCP:WWW
"2958:TCP"= 2958:TCP:WWW
"5348:TCP"= 5348:TCP:WWW
"2133:TCP"= 2133:TCP:WWW
"19237:TCP"= 19237:TCP:BitComet 19237 TCP
"19237:UDP"= 19237:UDP:BitComet 19237 UDP

R3 phil2vid;Appareil photo VGA USB Philips PCVC690;C:\WINDOWS\system32\DRIVERS\philcam2.sys [2001-08-17 21:04]
S3 w300bus;Sony Ericsson W300 Driver driver (WDM);C:\WINDOWS\system32\DRIVERS\w300bus.sys [2006-03-13 16:49]
S3 w300mdfl;Sony Ericsson W300 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\w300mdfl.sys [2006-03-13 16:50]
S3 w300mdm;Sony Ericsson W300 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\w300mdm.sys [2006-03-13 16:50]
S3 w300mgmt;Sony Ericsson W300 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\w300mgmt.sys [2006-03-13 16:50]
S3 w300obex;Sony Ericsson W300 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\w300obex.sys [2006-03-13 16:50]

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-28 12:30:49
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

? [1448]

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs a chargé sous des processus courants ---------------------

PROCESS: C:\WINDOWS\system32\lsass.exe
-> C:\Program Files\Eset\pr_imon.dll
.
Temps d'accomplissement: 2008-03-28 12:32:11
ComboFix-quarantined-files.txt 2008-03-28 11:31:31
Pre-Run: 39,119,339,520 octets libres
Post-Run: 39,107,055,616 octets libres
.
2008-03-20 06:29:38 --- E O F ---

= Copier ce texte qui est en gras


File::
C:\WINDOWS\system32\nqykmc.exe
C:\WINDOWS\system32\eoybkf.exe
C:\kleaner.tmp
C:\WINDOWS\system32\^^^^^.exe
C:\WINDOWS\image.jpg

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Flash Media"=-
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\WINDOWS\\system32\\^^^^^.exe"=-



------------------------------

= Ouvrir le Bloc-Notes
= Clic-droit ==> coller
= Faire ==> fichier ==> enregistrer sous ==> choisir Bureau
= Le nommer CFScript.txt
= Fermer le bloc-note
= prendre ce Bloc-note qui est sur le bureau par un clic-gauche continu
= L'amener dans Combofix et relacher le clic
= Combofix se relance seul
= mettre le rapport dans la réponse

Voila le rapport


ComboFix 08-03-26.3 - 2008-03-28 12:58:38.2 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.272 [GMT 1:00]
Endroit: C:\Documents and Settings\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\Jessica\Bureau\CFScript.txt
* Création d'un nouveau point de restauration
* Resident AV is active


[color=red]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/color]

FILE ::
C:\kleaner.tmp
C:\WINDOWS\image.jpg
C:\WINDOWS\system32\^^^^^.exe
C:\WINDOWS\system32\eoybkf.exe
C:\WINDOWS\system32\nqykmc.exe
.
-- Script messages for sUBs --
Findstr -MIF:/ sursen

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\image.jpg
C:\WINDOWS\system32\^^^^^.exe
C:\WINDOWS\system32\eoybkf.exe
C:\WINDOWS\system32\nqykmc.exe

.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-02-28 to 2008-03-28 ))))))))))))))))))))))))))))))))))))
.

2008-03-27 18:20 . 2008-03-27 18:20 <REP> d-------- C:\SDFix
2008-03-27 14:34 . 2008-03-27 14:34 <REP> d-------- C:\Documents and Settings\Application Data\Grisoft
2008-03-26 11:55 . 2008-03-26 11:55 244 --ah----- C:\sqmnoopt01.sqm
2008-03-26 11:55 . 2008-03-26 11:55 232 --ah----- C:\sqmdata01.sqm
2008-03-26 10:25 . 2008-03-26 10:24 512,096 --a------ C:\WINDOWS\system32\drivers\amon.sys
2008-03-26 10:25 . 2008-03-26 10:24 298,104 --a------ C:\WINDOWS\system32\_mon.d00
2008-03-26 10:25 . 2008-03-26 10:24 15,424 --a------ C:\WINDOWS\system32\drivers\nod32drv.sys
2008-03-26 10:18 . 2008-03-26 10:18 244 --ah----- C:\sqmnoopt00.sqm
2008-03-26 10:18 . 2008-03-26 10:18 232 --ah----- C:\sqmdata00.sqm
2008-03-26 09:00 . 2008-03-26 08:58 298,104 --a------ C:\WINDOWS\system32\imon.dll
2008-03-26 08:58 . 2008-03-26 10:40 <REP> d-------- C:\Program Files\Eset
2008-03-25 21:12 . 2008-03-25 21:12 <REP> d--h----- C:\kleaner.tmp
2008-03-25 21:10 . 2008-03-25 21:10 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Kaspersky Lab Setup Files
2008-03-23 16:24 . 2008-03-26 17:08 <REP> d-------- C:\Program Files\La QuatriŠme Proph‚tie2
2008-03-21 21:51 . 2008-03-21 21:51 <REP> d--hs---- C:\found.000
2008-03-21 10:27 . 2008-03-21 10:32 <REP> d-------- C:\Documents and Settings\Application Data\Ventrilo
2008-03-11 10:33 . 2008-03-26 15:37 <REP> d-------- C:\Program Files\Lyberia - La Quatrieme Prophetie

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-28 12:05 --------- d-----w C:\Program Files\Wanadoo
2008-03-27 12:58 --------- d-----w C:\Program Files\Windows Live
2008-03-27 12:52 --------- d-----w C:\Documents and Settings\All Users\Application Data\WLInstaller
2008-03-26 16:08 --------- d-----w C:\Program Files\La Quatrième Prophétie2
2008-03-26 09:22 --------- d-----w C:\Program Files\eMule
2008-03-25 20:12 --------- d-----w C:\Program Files\Alwil Software
2008-03-22 10:42 --------- d-----w C:\Program Files\Java
2008-03-10 18:12 377 ----a-w C:\WINDOWS\Fonts\INSTALL.LOG
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WOOKIT"="C:\Program Files\Wanadoo\Shell.exe" [2004-08-23 14:50 122880]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sony Ericsson PC Suite"="C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2005-10-26 17:17 159744]
"WOOWATCH"="C:\PROGRA~1\Wanadoo\Watch.exe" [2004-08-23 14:49 20480]
"WOOTASKBARICON"="C:\PROGRA~1\Wanadoo\GestMaj.exe" [2004-10-14 16:55 32768]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2007-04-27 08:04 185896]
"igfxtray"="C:\WINDOWS\system32\igfxtray.exe" [2005-09-20 08:35 94208]
"igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2005-09-20 08:32 77824]
"igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [2005-09-20 08:36 114688]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"nod32kui"="C:\Program Files\Eset\nod32kui.exe" [2008-03-26 10:24 949376]
"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 10:25 6731312]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 12:00 15360]
"msnmsgr"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 11:34 5724184]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\WINDOWS\\system32\\sessmgr.exe"=
"C:\\Program Files\\eMule\\emule.exe"=
"C:\\Program Files\\The All-Seeing Eye\\eye.exe"=
"C:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"C:\\WINDOWS\\explorer.exe"=
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE"=
"C:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"C:\\Documents and Settings\\Jessica\\Bureau\\T4C 1.6\\prophexy.exe"=
"C:\\Documents and Settings\\All Users\\Application Data\\Kaspersky Lab Setup Files\\Kaspersky Internet Security 7.0.1.325\\French\\setup.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:*:Disabled:@xpsp2res.dll,-22009
"80:TCP"= 80:TCP:WWW
"5503:TCP"= 5503:TCP:WWW
"53:UDP"= 53:UDP:DNS
"25:UDP"= 25:UDP:SMTP
"6045:TCP"= 6045:TCP:WWW
"9186:TCP"= 9186:TCP:WWW
"2635:TCP"= 2635:TCP:WWW
"2124:TCP"= 2124:TCP:WWW
"1948:TCP"= 1948:TCP:WWW
"3808:TCP"= 3808:TCP:WWW
"1523:TCP"= 1523:TCP:WWW
"9381:TCP"= 9381:TCP:WWW
"5252:TCP"= 5252:TCP:WWW
"2989:TCP"= 2989:TCP:WWW
"6546:TCP"= 6546:TCP:WWW
"4496:TCP"= 4496:TCP:WWW
"4485:TCP"= 4485:TCP:WWW
"9985:TCP"= 9985:TCP:WWW
"6517:TCP"= 6517:TCP:WWW
"5105:TCP"= 5105:TCP:WWW
"7659:TCP"= 7659:TCP:WWW
"6009:TCP"= 6009:TCP:WWW
"2186:TCP"= 2186:TCP:WWW
"8011:TCP"= 8011:TCP:WWW
"8401:TCP"= 8401:TCP:WWW
"7239:TCP"= 7239:TCP:WWW
"4090:TCP"= 4090:TCP:WWW
"3499:TCP"= 3499:TCP:WWW
"9342:TCP"= 9342:TCP:WWW
"9564:TCP"= 9564:TCP:WWW
"7097:TCP"= 7097:TCP:WWW
"8696:TCP"= 8696:TCP:WWW
"7992:TCP"= 7992:TCP:WWW
"2269:TCP"= 2269:TCP:WWW
"1963:TCP"= 1963:TCP:WWW
"4680:TCP"= 4680:TCP:WWW
"5728:TCP"= 5728:TCP:WWW
"6017:TCP"= 6017:TCP:WWW
"7026:TCP"= 7026:TCP:WWW
"2969:TCP"= 2969:TCP:WWW
"2990:TCP"= 2990:TCP:WWW
"4859:TCP"= 4859:TCP:WWW
"6444:TCP"= 6444:TCP:WWW
"2958:TCP"= 2958:TCP:WWW
"5348:TCP"= 5348:TCP:WWW
"2133:TCP"= 2133:TCP:WWW
"19237:TCP"= 19237:TCP:BitComet 19237 TCP
"19237:UDP"= 19237:UDP:BitComet 19237 UDP

R3 phil2vid;Appareil photo VGA USB Philips PCVC690;C:\WINDOWS\system32\DRIVERS\philcam2.sys [2001-08-17 21:04]
S3 w300bus;Sony Ericsson W300 Driver driver (WDM);C:\WINDOWS\system32\DRIVERS\w300bus.sys [2006-03-13 16:49]
S3 w300mdfl;Sony Ericsson W300 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\w300mdfl.sys [2006-03-13 16:50]
S3 w300mdm;Sony Ericsson W300 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\w300mdm.sys [2006-03-13 16:50]
S3 w300mgmt;Sony Ericsson W300 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\w300mgmt.sys [2006-03-13 16:50]
S3 w300obex;Sony Ericsson W300 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\w300obex.sys [2006-03-13 16:50]

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-28 13:04:50
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************
.
--------------------- DLLs a charg‚ sous des processus courants ---------------------

PROCESS: C:\WINDOWS\system32\lsass.exe
-> C:\Program Files\Eset\pr_imon.dll
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Eset\nod32krn.exe
C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindService.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\Fichiers communs\Teleca Shared\CapabilityManager.exe
C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\Program Files\Fichiers communs\Teleca Shared\Generic.exe
C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-03-28 13:09:40 - machine was rebooted
ComboFix-quarantined-files.txt 2008-03-28 12:09:30
ComboFix2.txt 2008-03-28 11:32:12
Pre-Run: 39,086,497,792 octets libres
Post-Run: 39,084,642,304 octets libres
.
2008-03-20 06:29:38 --- E O F ---

as-tu encore des problèmes ?