popup

Question

Bonjour

popup, souris clavier fonctionne tres mal
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:16:16, on 2008-12-25
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Bell\Gestionnaire de securite\Fws.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\CA\PPRT\bin\ITMRTSVC.exe
C:\Program Files\Raxco\PerfectDisk\PDAgent.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Personal Vault\VaultClientUpgrade.exe
C:\WINDOWS\system32\dllhost.exe
C:\Program Files\Raxco\PerfectDisk\PDEngine.exe
C:\Program Files\Bell\Gestionnaire de securite\rpsupdaterR.exe
C:\Program Files\Bell\Gestionnaire de securite\RpsSecurityAware.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\QuickTime\QTTask.exe
C:\Program Files\Bell\Sympatico Security Advisor\SSA.exe
C:\Program Files\Bell\Gestionnaire de securite\Rps.exe
C:\Program Files\Java\jre1.6.0_04\bin\jusched.exe
C:\WINDOWS\system32\VTTimer.exe
C:\Program Files\VIA\RAID\raid_tool.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\fxstaller.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Bell\Sympatico Security Advisor\SSAComHandler.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe
C:\Program Files\Java\jre1.6.0_04\bin\jucheck.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\Fichiers communs\Authentium\AntiVirus\dvpapi.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Windows Live\Toolbar\wltuser.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ie/defaults/sb/msgr8/*http://www.yahoo.com/ext/search/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://us.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*https://fr.yahoo.com/?p=us
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://fr.yahoo.com/?p=us
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://us.rd.yahoo.com/customize/ie/defaults/su/msgr8/*https://fr.yahoo.com/?p=us
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ie/defaults/sb/msgr8/*http://www.yahoo.com/ext/search/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://us.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*https://fr.yahoo.com/?p=us
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/?p=us
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://us.rd.yahoo.com/customize/ie/defaults/su/msgr8/*https://fr.yahoo.com/?p=us
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! IE Services Button - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Program Files\Yahoo!\Common\yiesrvc.dll
O2 - BHO: (no name) - {63B41505-A893-49B7-A69E-9E5BFB5F85BB} - C:\WINDOWS\system32\ssqNExvw.dll
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\fccdARkH.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: {30df14a3-463b-02c9-23f4-e7fb7430b3ad} - {da3b0347-bf7e-4f32-9c20-b3643a41fd03} - C:\WINDOWS\system32\lztwka.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SSA.exe] "C:\Program Files\Bell\Sympatico Security Advisor\SSA.exe" /AUTORUN
O4 - HKLM\..\Run: [Gestionnaire de sécurité Sympatico] "C:\Program Files\Bell\Gestionnaire de securite\Rps.exe"
O4 - HKLM\..\Run: [-FreedomNeedsReboot] "C:\Program Files\Bell\Gestionnaire de securite\ZkRunOnceR.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_04\bin\jusched.exe"
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [RaidTool] C:\Program Files\VIA\RAID\raid_tool.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Windows UDP Control Center] fxstaller.exe
O4 - HKLM\..\Run: [c45ac261] rundll32.exe "C:\WINDOWS\system32\jirqkgmr.dll",b
O4 - HKLM\..\RunOnce: [IndexCleaner] "C:\Program Files\Bell\Gestionnaire de securite\IdxClnR.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet
O4 - HKCU\..\RunOnce: [IndexCleaner] "C:\Program Files\Bell\Gestionnaire de securite\IdxClnR.exe"
O4 - HKUS\S-1-5-21-2496024160-1874433877-4032300777-500\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background (User 'Administrateur')
O4 - HKUS\S-1-5-21-2496024160-1874433877-4032300777-500\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (User 'Administrateur')
O4 - HKUS\S-1-5-21-2496024160-1874433877-4032300777-500\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User 'Administrateur')
O4 - HKUS\S-1-5-21-2496024160-1874433877-4032300777-500\..\RunOnce: [IndexCleaner] "C:\Program Files\Bell\Gestionnaire de securite\IdxClnR.exe" (User 'Administrateur')
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Yahoo! Services - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Program Files\Yahoo!\Common\yiesrvc.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {2357B3CF-7F8D-4451-8D81-FD6097610AEE} (CamfrogWEB Advanced Unicode Control) - http://activex.camfrogweb.com/advanced/2.0.2.23/cfweb_activex.camfrogweb.com-advanced-2.0.2.23_instmodule.exe
O16 - DPF: {48DF87EE-F2DE-11D8-BE7F-302050C10812} (FlyLoader Class) - http://www.flysuite.com/flycalc/loadercalc_win_fr.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-CA/a-UNO1/GAME_UNO1.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game10.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O20 - AppInit_DLLs: lztwka.dll
O20 - Winlogon Notify: fccdARkH - C:\WINDOWS\SYSTEM32\fccdARkH.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: DvpApi (dvpapi) - Authentium, Inc. - C:\Program Files\Fichiers communs\Authentium\AntiVirus\dvpapi.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: CA Pest Patrol Realtime Protection Service (ITMRTSVC) - CA, Inc. - C:\Program Files\CA\PPRT\bin\ITMRTSVC.exe
O23 - Service: PDAgent - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDAgent.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: Gestionnaire de sécurité Sympatico (Radialpoint Security Services) - Radialpoint Inc. - C:\Program Files\Bell\Gestionnaire de securite\RpsSecurityAware.exe
O23 - Service: Service de mise-à-jour pour le Gestionnaire de sécurité Sympatico (RPSUpdaterR) - Radialpoint Inc. - C:\Program Files\Bell\Gestionnaire de securite\rpsupdaterR.exe
O23 - Service: Gestionnaire de sécurité Sympatico Coupe-feu (RP_FWS) - Bell Sympatico - C:\Program Files\Bell\Gestionnaire de securite\Fws.exe
O23 - Service: Personal Vault Upgrade Service (VaultClientUpgrade) - BELL - C:\Program Files\Personal Vault\VaultClientUpgrade.exe

eZula · Answer

Bonjour,

télécharge GenProc http://www.alt-shift-return.org/Info/Fichiers/GenProc.zip sur ton bureau

dézippe le dossier, double-clique sur GenProc.bat [img]http://forum.telecharger.01net.com/forum/[/img] et poste le contenu du rapport qui s'ouvre

Aide en images : http://www.alt-shift-return.org/Info/GenProc-HowTo.html

carpat · Answer

________________________________________________________________________________

 GenProc     ***           narco4 ~ jean chretien1           ***       [2.314]

________________________________________________________________________________




  ÉÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍ»
  º                                                                          º
  º                                                                          º
  º   ÚÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ¿    º
  º   ³ Veuillez patienter pendant que GenProc teste diverses infections³    º
  º   ³    Ceci peut durer de 30 secondes a 1 minute trente environ     ³    º
  º   ÀÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÙ    º
  º                                                                          º
  º                                                                          º
  ÈÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍÍ¼




! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Lanconfig
    LAN REG_SZ  UP
merci de votre aide

eZula · Answer

non ce n'est pas l'écran DOS qu'il faut copier, mais le rapport texte qui s'ouvre lorsque c'est terminé

carpat · Answer

Rapport GenProc 2.314 [2] - 2008-12-25 - Windows XP 
 
# Etape 1/ Télécharge :
 
- Navilog1 http://il.mafioso.pagesperso-orange.fr/Navifix/Navilog1.exe (IL-MAFIOSO) sur ton Bureau.
Double clique sur navilog1.exe pour lancer l'installation. Une fois l'installation terminée, le fix s'exécutera automatiquement
(si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau). Laisse-toi guider. Au menu principal, choisis 1 et valide.
Patiente jusqu'au message " Analyse Termine le .....". Appuie sur une touche comme demandé, le blocnote va s'ouvrir, poste-le maintenant et passe à la suite.

- Toolbar-S&D https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cqJWPphpudyTqv7TRo5RQ3nm_Sx8JluVMO59X5E9cyE3j3LqKlmStIqiDqJdIgMJLi7MXn2nKVajQfoWuVvZZ2wIx_vkqO4k4P0K9jh-ra9jaKPXdZcoaVF2UqJZNH8ubL_42uIwh6f35xJ2GJMuzddVj2Qth1DgZ839lxEIFGkgWz3TdfvNMy-YtxfA3gqBUrj4U4LFeAPiWr3ClmjIP0t_Xs5PQ%3D%3D&attredirects=2 (Team IDN) sur ton Bureau.

- ComboFix http://download.bleepingcomputer.com/sUBs/ComboFix.exe (sUBs) sur ton Bureau.
Désactive ton antivirus, ton pare-feu et ferme tes programmes en cours. Lance combofix.exe et accepte les termes en cliquant sur OUI. Patiente. Au message "ComboFix a détecté que la 'console de récupération Windows' n'existe pas sur ce PC", clique sur oui puis sur OK, puis patiente. Valide le CLUF Microsoft. Au message "La console de récupération a été installée avec succès", clique impérativement sur NON pour quitter le programme (ferme également le rapport CF-RC.txt qui s'est ouvert)

- MSNFix http://sosvirus.changelog.fr/MSNFix.zip (!aur3n7) et décompresse-le sur le Bureau.


 Redémarre en mode sans échec comme indiqué ici https://www.wekyo.com/demarrer-le-pc-en-mode-sans-echec-windows-7-et-8/ ; pour retrouver le rapport, clique sur le raccourci "GenProc" sur ton bureau. Choisis ta session courante *** xplio ***  

 
# Etape 2/ 
 
 Double clique sur le raccourci Navilog1, choisis l'option 2 et valide, patiente jusqu'au message : *** Nettoyage Termine le ..... ***
 le blocnote va s'ouvrir ; sauvegarde le rapport de manière à le retrouver, referme le blocnote. Ton bureau va réapparaitre 

# Etape 3/ 
 
 Lance Toolbar-S&D situé sur le Bureau.
 Tape sur "2" puis valide en appuyant sur "Entrée". Ne ferme pas la fenêtre lors de la suppression.

# Etape 4/ 
 
Lance le fichier MSNFix.bat qui se trouve dans le dossier MSNfix, sur le bureau.
- Exécute l'option R.
- Si l'infection est détectée, exécute l'option N.
- Sauvegarde ce rapport sur ton bureau.


# Etape 5/ 
 
 Double clique sur combofix.exe et suis les instructions. Attention de ne pas utiliser ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne au risque de figer l'ordinateur.

# Etape 6/ 
 
 Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.
 
# Etape 7/ 
 
 Redémarre normalement et poste, dans la même réponse : 
 
- Le contenu du rapport situé dans C:\Combofix.txt; 
- Le contenu du fichier cleannavi.txt qui se trouve dans Poste de travail > Disque C:\  
- Le contenu du rapport MSNfix situé sur le Bureau ; 
- Le contenu du rapport C:\TB.txt ; 
- Un nouveau rapport HijackThis http://forum.telecharger.01net.com/forum/high-tech/PRODUITS/Questions-techniques/hijackthis-version-install-sujet_199100_1.htm ; 

 Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.
 
____________________________________________________________________________________________________________
 
Sites officiels GenProc : www.alt-shift-return.org et www.genproc.com

eZula · Answer

fais la procédure, en entier

carpat · Answer

Search Navipromo version 3.7.0 commencé le 2008-12-26 à 10:40:26,09

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files
avilog1

Mise à jour le 10.12.2008 à 21h00 par IL-MAFIOSO

Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 3
X86-based PC ( Multiprocessor Free :               Intel(R) Pentium(R) 4 CPU 2.93GHz )
BIOS : Phoenix - AwardBIOS v6.00PG
USER : xplio ( Administrator )
BOOT : Normal boot

Antivirus : Gestionnaire de sécurité Sympatico Antivirus 6.0.2 (Activated)
Firewall  : Gestionnaire de sécurité Sympatico Coupe-feu 6.0.2 (Activated)

C:\ (Local Disk) - NTFS - Total:228 Go (Free:208 Go)
D:\ (CD or DVD)
E:\ (USB)
F:\ (USB)
G:\ (USB)
H:\ (USB)


Recherche executé en mode normal

*** Recherche Programmes installés ***


*** Recherche dossiers dans "C:\WINDOWS" ***


*** Recherche dossiers dans "C:\Program Files" ***


*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***


*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\xplio\applic~1" *** 

...\MessengerSkinner trouvé !

*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\applic~1" *** 


*** Recherche dossiers dans "C:\Documents and Settings\xplio\locals~1\applic~1" *** 


*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *** 


*** Recherche dossiers dans "C:\Documents and Settings\xplio\menudm~1\progra~1" *** 

...\MessengerSkinner trouvé !

*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\menudm~1\progra~1" *** 


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\WINDOWS\system32" *

* Recherche dans "C:\Documents and Settings\xplio\locals~1\applic~1" * 

* Recherche dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" * 



*** Recherche fichiers *** 



*** Recherche clés spécifiques dans le Registre ***
!! Les clés trouvées ne sont pas forcément infectées !!

HKEY_CURRENT_USER\Software\Lanconfig trouvé ! 

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans "C:\WINDOWS\system32" :

eiqfbd_navps.dat trouvé !

* Dans "C:\Documents and Settings\xplio\locals~1\applic~1" : 


* Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" : 


3)Recherche Certificats :

Certificat Egroup trouvé !
Certificat Electronic-Group absent !
Certificat Montorgueil absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche autres dossiers et fichiers connus :

C:\WINDOWS\system32\CcdMnUtv.ini2 trouvé ! Infection Vundo possible non traitée par cet outil !
C:\WINDOWS\system32\KlUDLRqr.ini2 trouvé ! Infection Vundo possible non traitée par cet outil !
C:\WINDOWS\system32\Lmlllnmp.ini2 trouvé ! Infection Vundo possible non traitée par cet outil !
C:\WINDOWS\system32\vDcbHRqr.ini2 trouvé ! Infection Vundo possible non traitée par cet outil !
C:\WINDOWS\system32\wvxENqss.ini2 trouvé ! Infection Vundo possible non traitée par cet outil !
C:\WINDOWS\system32\xycdd.ini2 trouvé ! Infection Vundo possible non traitée par cet outil !
C:\WINDOWS\system32\ybeeg.ini2 trouvé ! Infection Vundo possible non traitée par cet outil !
C:\WINDOWS\system32\xycdd.bak1 trouvé ! Infection Vundo possible non traitée par cet outil !
C:\WINDOWS\system32\xycdd.bak2 trouvé ! Infection Vundo possible non traitée par cet outil !


*** Analyse terminée le 2008-12-26 à 10:53:15,74 ***

carpat · Answer

Clean Navipromo version 3.7.0 commencé le 2008-12-26 à 11:25:10,46

Outil exécuté depuis C:\Program Files\navilog1

Mise à jour le 10.12.2008 à 21h00 par IL-MAFIOSO

Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 3
X86-based PC ( Multiprocessor Free : Intel(R) Pentium(R) 4 CPU 2.93GHz )
BIOS : Phoenix - AwardBIOS v6.00PG
USER : xplio ( Administrator )
BOOT : Fail-safe boot

Antivirus : Gestionnaire de sécurité Sympatico Antivirus 6.0.2 (Not Activated)
Firewall : Gestionnaire de sécurité Sympatico Coupe-feu 6.0.2 (Not Activated)

C:\ (Local Disk) - NTFS - Total:228 Go (Free:208 Go)
D:\ (CD or DVD)
E:\ (USB)
F:\ (USB)
G:\ (USB)
H:\ (USB)

Mode suppression automatique
avec prise en charge résultats Catchme et GNS

Nettoyage executé en mode sans échec

*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)

*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans "C:\WINDOWS\System32" *

* Suppression dans "C:\Documents and Settings\xplio\locals~1\applic~1" *

* Suppression dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *

*** Suppression dossiers dans "C:\WINDOWS" ***

*** Suppression dossiers dans "C:\Program Files" ***

*** Suppression dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***

*** Suppression dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***

*** Suppression dossiers dans "c:\docume~1\alluse~1\applic~1" ***

*** Suppression dossiers dans "C:\Documents and Settings\xplio\applic~1" ***

...\MessengerSkinner ...suppression...
...\MessengerSkinner supprimé !

*** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1\applic~1" ***

*** Suppression dossiers dans "C:\Documents and Settings\xplio\locals~1\applic~1" ***

*** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" ***

*** Suppression dossiers dans "C:\Documents and Settings\xplio\menudm~1\progra~1" ***

...\MessengerSkinner ...suppression...
...\MessengerSkinner supprimé !

*** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1\menudm~1\progra~1" ***

*** Suppression fichiers ***

*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\xplio\locals~1\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

2)Recherche, création sauvegardes et suppression Heuristique :

* Dans "C:\WINDOWS\system32" *

eiqfbd_navps.dat trouvé !
Copie eiqfbd_navps.dat réalisée avec succès !
eiqfbd_navps.dat supprimé !

* Dans "C:\Documents and Settings\xplio\locals~1\applic~1" *

* Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *

*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok

*** Certificats ***

Certificat Egroup supprimé !
Certificat Electronic-Group absent !
Certificat Montorgueil absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltdt absent !

*** Recherche autres dossiers et fichiers connus ***

C:\WINDOWS\system32\CcdMnUtv.ini2 trouvé ! Infection Vundo possible non traitée par cet outil !
C:\WINDOWS\system32\KlUDLRqr.ini2 trouvé ! Infection Vundo possible non traitée par cet outil !
C:\WINDOWS\system32\Lmlllnmp.ini2 trouvé ! Infection Vundo possible non traitée par cet outil !
C:\WINDOWS\system32\vDcbHRqr.ini2 trouvé ! Infection Vundo possible non traitée par cet outil !
C:\WINDOWS\system32\wvxENqss.ini2 trouvé ! Infection Vundo possible non traitée par cet outil !
C:\WINDOWS\system32\xycdd.ini2 trouvé ! Infection Vundo possible non traitée par cet outil !
C:\WINDOWS\system32\ybeeg.ini2 trouvé ! Infection Vundo possible non traitée par cet outil !
C:\WINDOWS\system32\xycdd.bak1 trouvé ! Infection Vundo possible non traitée par cet outil !
C:\WINDOWS\system32\xycdd.bak2 trouvé ! Infection Vundo possible non traitée par cet outil !

*** Nettoyage terminé le 2008-12-26 à 11:27:37,95 ***

ComboFix 08-12-25.04 - xplio 2008-12-26 11:44:42.1 - NTFSx86 MINIMAL
Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.958.730 [GMT -5:00]
Lancé depuis: c:\documents and settings\xplio\Bureau\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat
c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat
c:\recycler\RB3.tmp
c:\windows\system32\adllqtjg.ini
c:\windows\system32\adsdocgg.ini
c:\windows\system32\aemgdwax.ini
c:\windows\system32\agkisliy.ini
c:\windows\system32\ahsahnld.ini
c:\windows\system32\aifryrte.ini
c:\windows\system32\ailvbany.ini
c:\windows\system32\akleevfo.ini
c:\windows\system32\amxtpqis.ini
c:\windows\system32\apnykpsy.ini
c:\windows\system32\aqgsijpi.ini
c:\windows\system32\askmscbx.ini
c:\windows\system32\awtqoLfg.dll
c:\windows\system32\awtqrppm.dll
c:\windows\system32\awtrRLEW.dll
c:\windows\system32\awtsPFVL.dll
c:\windows\system32\awtsQIYQ.dll
c:\windows\system32\awttqrQH.dll
c:\windows\system32\awtUonoo.dll
c:\windows\system32\awtutqRj.dll
c:\windows\system32\bftkqmqr.ini
c:\windows\system32\bgwnpnqe.ini
c:\windows\system32\bjuarctp.ini
c:\windows\system32\bnwubgry.ini
c:\windows\system32\byXNeBsQ.dll
c:\windows\system32\byXOgdEW.dll
c:\windows\system32\byXPGYQi.dll
c:\windows\system32\byXPHaWN.dll
c:\windows\system32\byXPHwWO.dll
c:\windows\system32\byXPJAtS.dll
c:\windows\system32\byXRjifF.dll
c:\windows\system32\cbajospa.ini
c:\windows\system32\cbiptixc.dll
c:\windows\system32\cbXNFxxv.dll
c:\windows\system32\cbXOEvvW.dll
c:\windows\system32\cbXOEwXO.dll
c:\windows\system32\cbXPhefG.dll
c:\windows\system32\cbXQkhef.dll
c:\windows\system32\CcdMnUtv.ini
c:\windows\system32\CcdMnUtv.ini2
c:\windows\system32\chdfadip.ini
c:\windows\system32\chiuqvgc.ini
c:\windows\system32\cjuxvyqp.ini
c:\windows\system32\cllirisv.ini
c:\windows\system32\dafoaxbt.ini
c:\windows\system32\dbmsxycl.ini
c:\windows\system32\ddcAqPHW.dll
c:\windows\system32\ddcCRJax.dll
c:\windows\system32\ddcCRLEV.dll
c:\windows\system32\ddcCSJdB.dll
c:\windows\system32\ddcCUmND.dll
c:\windows\system32\ddcCVNHy.dll
c:\windows\system32\dgclfbet.ini
c:\windows\system32\dgsemunf.ini
c:\windows\system32\dlkajdjd.ini
c:\windows\system32\dlxbxatw.ini
c:\windows\system32\dmilwcfm.ini
c:\windows\system32\dssxvfak.ini
c:\windows\system32\efcAPjgG.dll
c:\windows\system32\efcARlif.dll
c:\windows\system32\efcBqnkl.dll
c:\windows\system32\efcDSIBU.dll
c:\windows\system32\efcDSKBQ.dll
c:\windows\system32\efcDVolk.dll
c:\windows\system32\efcYOgFu.dll
c:\windows\system32\efcYRKEU.dll
c:\windows\system32\efcYSmnN.dll
c:\windows\system32\emfjetgj.ini
c:\windows\system32\emomjurt.ini
c:\windows\system32\ervnmulk.ini
c:\windows\system32\esgpqhft.dll
c:\windows\system32\fccaAtSj.dll
c:\windows\system32\fcccdbYQ.dll
c:\windows\system32\fcccyVnk.dll
c:\windows\system32\fcccyWml.dll
c:\windows\system32\fccdARkH.dll
c:\windows\system32\fccdbYSL.dll
c:\windows\system32\fccdcCtT.dll
c:\windows\system32\fccyvUND.dll
c:\windows\system32\fccyvVPj.dll
c:\windows\system32\fccywxut.dll
c:\windows\system32\fccyxyVp.dll
c:\windows\system32\fccyyVPh.dll
c:\windows\system32\fccyyYqo.dll
c:\windows\system32\fdigocev.dll
c:\windows\system32\fgydicgx.ini
c:\windows\system32\fhxgmbog.ini
c:\windows\system32\flyonwnf.ini
c:\windows\system32\fmrqshhh.ini
c:\windows\system32\fnfbpurf.ini
c:\windows\system32\fqfhvjqd.ini
c:\windows\system32\fqlwxrvs.ini
c:\windows\system32\fwyrldck.ini
c:\windows\system32\fykgnehu.ini
c:\windows\system32\geBrrSjK.dll
c:\windows\system32\geBsttRk.dll
c:\windows\system32\geBtRihI.dll
c:\windows\system32\geBtSJaw.dll
c:\windows\system32\geBuTkjJ.dll
c:\windows\system32\gitvusos.ini
c:\windows\system32\gkqhap.dll
c:\windows\system32\gxhdsuxm.ini
c:\windows\system32\hekhcaen.ini
c:\windows\system32\hgGawVLE.dll
c:\windows\system32\hgGaxwwx.dll
c:\windows\system32\hgGayyvt.dll
c:\windows\system32\hgGvuTLD.dll
c:\windows\system32\hgGvvusT.dll
c:\windows\system32\hgGxXonN.dll
c:\windows\system32\hgGxYPGX.dll
c:\windows\system32\hgGywWqN.dll
c:\windows\system32\hmowksfb.ini
c:\windows\system32\houghcnq.ini
c:\windows\system32\ibxliqhr.dll
c:\windows\system32\ichsrlju.ini
c:\windows\system32\iifcBsss.dll
c:\windows\system32\iifcDWno.dll
c:\windows\system32\iifcYRIb.dll
c:\windows\system32\iifdcyXp.dll
c:\windows\system32\iifecdaa.dll
c:\windows\system32\iifEtQhF.dll
c:\windows\system32\iiffFxVP.dll
c:\windows\system32\iiffGXrS.dll
c:\windows\system32\iifgFWpQ.dll
c:\windows\system32\iifgHabX.dll
c:\windows\system32\ivyhjuvf.ini
c:\windows\system32\jbuwsdwb.ini
c:\windows\system32\jkkIXpmK.dll
c:\windows\system32\jkkIYoOe.dll
c:\windows\system32\jkkJyVND.dll
c:\windows\system32\jkkKaxyw.dll
c:\windows\system32\jkkKcDvt.dll
c:\windows\system32\jkkLCtQi.dll
c:\windows\system32\jkklJccB.dll
c:\windows\system32\jrgvem.dll
c:\windows\system32\jtbbucde.ini
c:\windows\system32\kcdlrywf.dll
c:\windows\system32\kdbluunm.ini
c:\windows\system32\keqxmril.dll
c:\windows\system32\kfugceqm.ini
c:\windows\system32\khfCsqOf.dll
c:\windows\system32\khfCtutt.dll
c:\windows\system32\khfDvwUn.dll
c:\windows\system32\khfEWPGy.dll
c:\windows\system32\khfFWmLB.dll
c:\windows\system32\khfGwVpq.dll
c:\windows\system32\kijjocjd.ini
c:\windows\system32\KlUDLRqr.ini
c:\windows\system32\KlUDLRqr.ini2
c:\windows\system32\koepipjo.ini
c:\windows\system32\lduulytu.ini
c:\windows\system32\linldqul.ini
c:\windows\system32\ljJAPHab.dll
c:\windows\system32\ljJASjJc.dll
c:\windows\system32\ljJBtqRJ.dll
c:\windows\system32\ljJCsrPg.dll
c:\windows\system32\ljJDVoLf.dll
c:\windows\system32\ljJDVpOh.dll
c:\windows\system32\Lmlllnmp.ini
c:\windows\system32\Lmlllnmp.ini2
c:\windows\system32\lrooniif.ini
c:\windows\system32\ltdlxjgg.ini
c:\windows\system32\lxusuprs.ini
c:\windows\system32\lztwka.dll
c:\windows\system32\mbndmlaa.ini
c:\windows\system32\mkkkcagv.ini
c:\windows\system32\mkulnypq.ini
c:\windows\system32\mlJBSjgd.dll
c:\windows\system32\mlJBTkKc.dll
c:\windows\system32\mlJBUNGv.dll
c:\windows\system32\mlJCTLdC.dll
c:\windows\system32\mlJCTLec.dll
c:\windows\system32\mlJCTNhi.dll
c:\windows\system32\mlJDtrPg.dll
c:\windows\system32\mvanohiy.ini
c:\windows\system32\ndbsvlhh.ini
c:\windows\system32\neajjjvs.dll
c:\windows\system32\neodedrs.ini
c:\windows\system32\nhaumicq.ini
c:\windows\system32\nihfgpgj.ini
c:\windows\system32\njldjuil.dll
c:\windows\system32\nllvtbcv.ini
c:\windows\system32\nnnKExVN.dll
c:\windows\system32\nnnkHaXn.dll
c:\windows\system32\nnnlkjjH.dll
c:\windows\system32\nnnMfebx.dll
c:\windows\system32\nnnmlLEw.dll
c:\windows\system32\nnnmlMdD.dll
c:\windows\system32\nnnnNEtR.dll
c:\windows\system32\nockfirj.ini
c:\windows\system32\nzmzqt.dll
c:\windows\system32\ocxcwsyv.ini
c:\windows\system32\ohefldkw.dll
c:\windows\system32\olhnugow.ini
c:\windows\system32\opnkhfEt.dll
c:\windows\system32\opnkiICs.dll
c:\windows\system32\opnlKBsP.dll
c:\windows\system32\opnmLdcA.dll
c:\windows\system32\opnnlKCU.dll
c:\windows\system32\opnnonKa.dll
c:\windows\system32\opnnopnl.dll
c:\windows\system32\opnomlMD.dll
c:\windows\system32\pgojentk.ini
c:\windows\system32\pibpeuvd.ini
c:\windows\system32\pmnkKbya.dll
c:\windows\system32\pmnkLBRi.dll
c:\windows\system32\pmnkLCTK.dll
c:\windows\system32\pmnlijjK.dll
c:\windows\system32\pmnllkHy.dll
c:\windows\system32\pmnlllmL.dll
c:\windows\system32\pmnmjGyV.dll
c:\windows\system32\pmnnOFUo.dll
c:\windows\system32\pmnoLecC.dll
c:\windows\system32\pmnoNFyv.dll
c:\windows\system32\ppsrjqvv.ini
c:\windows\system32\qbpqqncv.dll
c:\windows\system32\qejqdelc.ini
c:\windows\system32\qhpwks.dll
c:\windows\system32\qixifcns.ini
c:\windows\system32\qkergusu.ini
c:\windows\system32\qnqfwpje.ini
c:\windows\system32\qoMccASJ.dll
c:\windows\system32\qoMdAPhg.dll
c:\windows\system32\qoMeBtRj.dll
c:\windows\system32\qtupsice.ini
c:\windows\system32\reqhipmr.ini
c:\windows\system32\rfavnrhy.ini
c:\windows\system32\rfcltndk.ini
c:\windows\system32\rhqilxbi.ini
c:\windows\system32\rhvqlevd.ini
c:\windows\system32\rmgkqrij.ini
c:\windows\system32\rqqpswaw.ini
c:\windows\system32\rqRHaXOG.dll
c:\windows\system32\rqRHbcDv.dll
c:\windows\system32\rqRHxywt.dll
c:\windows\system32\rqRIaXNE.dll
c:\windows\system32\rqRIbaaY.dll
c:\windows\system32\rqRJAppN.dll
c:\windows\system32\rqRJYqom.dll
c:\windows\system32\rqRLbbBu.dll
c:\windows\system32\rqRLcDUL.dll
c:\windows\system32\rqRLDUlK.dll
c:\windows\system32\rtbuvvfe.ini
c:\windows\system32\sfpngyet.dll
c:\windows\system32\sjeqwebo.ini
c:\windows\system32\sjitig.dll
c:\windows\system32\smhdiqaj.ini
c:\windows\system32\sncfixiq.dll
c:\windows\system32\ssqNExvw.dll
c:\windows\system32\ssqOGxWq.dll
c:\windows\system32\ssqPfged.dll
c:\windows\system32\ssqPfgEv.dll
c:\windows\system32\ssqPhHaw.dll
c:\windows\system32\ssqQkIXP.dll
c:\windows\system32\ssqQkLEw.dll
c:\windows\system32\susnitpm.ini
c:\windows\system32\svlghrls.ini
c:\windows\system32\svswoiwi.ini
c:\windows\system32\tatpokxb.ini
c:\windows\system32\tglcjcjo.ini
c:\windows\system32\tmgjdq.dll
c:\windows\system32\tqmict.dll
c:\windows\system32\tuvSliGy.dll
c:\windows\system32\tuvTllij.dll
c:\windows\system32\tuvTnOeD.dll
c:\windows\system32\tuvUNecB.dll
c:\windows\system32\tuvUNgFU.dll
c:\windows\system32\tuvVLdbA.dll
c:\windows\system32\tuvWnopm.dll
c:\windows\system32\udqmpj.dll
c:\windows\system32\ujuggtio.ini
c:\windows\system32\uknqdtmo.ini
c:\windows\system32\ukoqyxwh.ini
c:\windows\system32\uopqwcxk.ini
c:\windows\system32\uqgrcwhd.ini
c:\windows\system32\urqNFvur.dll
c:\windows\system32\urqQgdbc.dll
c:\windows\system32\urqRJDtU.dll
c:\windows\system32\urqRKATK.dll
c:\windows\system32\uxkrmrnx.ini
c:\windows\system32\vcljeowi.ini
c:\windows\system32\vcvpgojs.ini
c:\windows\system32\vDcbHRqr.ini
c:\windows\system32\vDcbHRqr.ini2
c:\windows\system32\vecogidf.ini
c:\windows\system32\vhphfg.dll
c:\windows\system32\vphglcpy.dll
c:\windows\system32\vrccxklb.ini
c:\windows\system32\vsdrdblw.ini
c:\windows\system32\vtUkkhFX.dll
c:\windows\system32\vtUmKayv.dll
c:\windows\system32\vtUmLbyA.dll
c:\windows\system32\vtUnkjKE.dll
c:\windows\system32\vtUnMdcC.dll
c:\windows\system32\vvctakxh.ini
c:\windows\system32\vyjwercp.ini
c:\windows\system32\wcufvruc.ini
c:\windows\system32\wpvbcnnc.ini
c:\windows\system32\wqjnoliy.ini
c:\windows\system32\wvUkHXPJ.dll
c:\windows\system32\wvUkLETK.dll
c:\windows\system32\wvUlihiJ.dll
c:\windows\system32\wvUlmjij.dll
c:\windows\system32\wvUmnNFX.dll
c:\windows\system32\wvUoPhEW.dll
c:\windows\system32\wvxENqss.ini
c:\windows\system32\wvxENqss.ini2
c:\windows\system32\xdknppyg.dll
c:\windows\system32\xpescefy.dll
c:\windows\system32\xsnasybx.ini
c:\windows\system32\xvsvclab.ini
c:\windows\system32\xwydlfpd.ini
c:\windows\system32\xxhfabcy.ini
c:\windows\system32\xxyaaxWN.dll
c:\windows\system32\xxyawtqQ.dll
c:\windows\system32\xxyaxXPJ.dll
c:\windows\system32\xxyxXQKb.dll
c:\windows\system32\xxyyaXPF.dll
c:\windows\system32\xycdd.bak1
c:\windows\system32\xycdd.bak2
c:\windows\system32\xycdd.ini
c:\windows\system32\xycdd.ini2
c:\windows\system32\xycdd.tmp
c:\windows\system32\yayvUOFy.dll
c:\windows\system32\yayvWmkj.dll
c:\windows\system32\yaywuvst.dll
c:\windows\system32\yayxvUll.dll
c:\windows\system32\yayyWqRl.dll
c:\windows\system32\ybeeg.ini2
c:\windows\system32\ybeeg.tmp
c:\windows\system32\ybeeg.tmp2
c:\windows\system32\ydaawvff.ini
c:\windows\system32\yfqviytl.ini
c:\windows\system32\yhbvmloy.ini
c:\windows\system32\yhpbrnri.ini
c:\windows\system32\yijkepmy.dll
c:\windows\system32\ympekjiy.ini
c:\windows\system32\yrebrmwy.ini
c:\windows\system32\yrtbdkiq.ini
c:\windows\system32\ysphtbpo.ini
c:\windows\system32\ytnvhyjf.ini
c:\windows\system32\yucpsymg.ini
c:\windows\system32\yxsyibxd.ini

----- BITS: Il y a peut-être des sites infectés -----

hxxp://childhe.com
.
((((((((((((((((((((((((((((( Fichiers créés du 2008-11-26 au 2008-12-26 ))))))))))))))))))))))))))))))))))))
.

2008-12-26 10:55 . 2008-12-26 11:34 <REP> d-------- C:\ToolBar SD
2008-12-25 09:29 . 2008-12-25 09:29 203,264 --a------ C:\3 Formulaire sécurité verso exemple concours f.ppt
2008-12-25 09:29 . 2008-12-25 09:29 147,968 --a------ C:\3 Formulaire Sécurité recto exemple concours f.ppt
2008-12-25 09:29 . 2008-12-25 09:29 90,405 --a------ C:\3 Formulaire Sécurité 330-23f.pdf
2008-12-25 09:29 . 2008-12-25 09:29 88,064 --a------ C:\Adresses supp.doc
2008-12-25 09:29 . 2008-12-25 09:29 49,664 --a------ C:\2 Fiche renseignements personnels.doc
2008-12-25 09:29 . 2008-12-25 09:29 33,792 --a------ C:\directives-330-23.DOC
2008-12-24 09:57 . 2008-12-24 09:57 48,640 --------- C:\fii.exe
2008-12-23 10:40 . 2008-12-23 10:40 45,056 --a------ c:\windows\system32\rqRJApOh.dll
2008-12-23 09:51 . 2008-12-23 04:41 52,786 --a------ c:\windows\fxstaller.MSNFix
2008-12-22 16:36 . 2008-12-22 16:36 <REP> d-------- c:\documents and settings\All Users\Application Data\Playrix Entertainment
2008-12-20 04:59 . 2008-12-20 04:59 280 --a------ c:\windows\system32\PDBootState
2008-12-20 03:17 . 2008-12-26 11:54 <REP> d-------- c:\documents and settings\Administrateur\Tracing
2008-12-19 22:27 . 2008-12-26 11:06 <REP> d-------- c:\documents and settings\xplio\Tracing
2008-12-19 22:26 . 2008-12-19 22:26 <REP> d-------- c:\program files\Microsoft Office Outlook Connector
2008-12-19 22:26 . 2008-09-04 22:03 56,344 --a------ c:\windows\system32\drivers\fssfltr.sys
2008-12-19 22:20 . 2008-12-19 22:20 <REP> d-------- c:\program files\Microsoft SQL Server Compact Edition
2008-12-19 22:20 . 2008-12-19 22:20 20 --a------ c:\windows\ÿÿ
2008-12-19 22:07 . 2008-12-19 22:07 2,402,832 --a------ C:\Msn.MSNFix
2008-12-19 05:16 . 2008-12-19 05:16 <REP> d-------- c:\program files\Microsoft Sync Framework
2008-12-19 05:15 . 2008-12-19 05:15 <REP> d-------- c:\program files\Microsoft
2008-12-19 05:14 . 2008-12-19 05:14 <REP> d-------- c:\program files\Windows Live SkyDrive
2008-12-19 05:09 . 2008-12-19 05:09 <REP> d-------- c:\program files\Fichiers communs\Windows Live
2008-12-02 22:37 . 2008-12-02 22:37 49,480 --a------ c:\windows\system32\sirenacm.dll
2008-11-26 11:50 . 2008-11-26 11:50 <REP> d-------- c:\documents and settings\xplio\Application Data\Gamelab
2008-11-26 11:50 . 2008-11-26 11:50 <REP> d-------- c:\documents and settings\All Users\Application Data\Gogii

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-26 16:27 --------- d-----w c:\program files\Navilog1
2008-12-25 16:33 --------- d-----w c:\program files\Zylom Games
2008-12-22 21:36 --------- d-----w c:\documents and settings\xplio\Application Data\Zylom
2008-12-21 20:34 --------- d-----w c:\program files\LimeWire
2008-12-20 08:17 --------- d-----w c:\program files\Windows Live Toolbar
2008-12-20 03:26 --------- d-----w c:\program files\Windows Live
2008-11-25 20:08 --------- d-----w c:\documents and settings\xplio\Application Data\Ancient Quest of Saqqarah__gamehouse
2008-11-15 18:19 --------- d-----w c:\program files\Ares MP3
2008-11-15 17:44 --------- d-----w c:\documents and settings\All Users\Application Data\Lavasoft
2008-11-14 16:47 --------- d-----w c:\documents and settings\All Users\Application Data\Sandlot Games
2008-11-14 16:41 --------- d-----w c:\documents and settings\xplio\Application Data\funkitron
2008-11-13 16:06 --------- d-----w c:\documents and settings\All Users\Application Data\FreshGames
2008-11-10 16:14 --------- d-----w c:\documents and settings\xplio\Application Data\Gaijin Ent
2008-11-04 20:33 --------- d-----w c:\program files\CA
2008-11-03 21:33 --------- d-----w c:\documents and settings\All Users\Application Data\Farm Frenzy
2008-11-03 18:35 --------- d-----w c:\documents and settings\All Users\Application Data\GameHouse
2008-10-23 12:36 286,720 ----a-w c:\windows\system32\gdi32.dll
2008-10-16 20:18 826,368 ----a-w c:\windows\system32\wininet.dll
2008-10-16 19:13 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 19:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 19:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 19:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 19:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 19:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 19:09 43,544 ----a-w c:\windows\system32\wups2.dll
2008-10-16 19:08 34,328 ----a-w c:\windows\system32\wups.dll
2008-10-16 19:06 268,648 ----a-w c:\windows\system32\mucltui.dll
2008-10-16 19:06 208,744 ----a-w c:\windows\system32\muweb.dll
2008-10-03 10:03 247,326 ----a-w c:\windows\system32\strmdll.dll
2008-09-30 21:43 1,286,152 ----a-w c:\windows\system32\msxml4.dll
2008-05-23 19:10 1,725,000 -c--a-w c:\program files\mirc631.exe
2008-02-15 01:11 32 -c--a-w c:\documents and settings\All Users\Application Data\ezsid.dat
2003-07-14 00:48 200,704 ----a-w c:\program files\kb_2k.exe
2003-03-22 09:15 28,672 -c--a-w c:\program files\SCKBD.DLL
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2008-12-02 3882312]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-01 68856]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-13 15360]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"IndexCleaner"="c:\program files\Bell\Gestionnaire de securite\IdxClnR.exe" [2008-03-10 61168]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2007-12-11 286720]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"SSA.exe"="c:\program files\Bell\Sympatico Security Advisor\SSA.exe" [2007-03-27 2061816]
"Gestionnaire de sécurité Sympatico"="c:\program files\Bell\Gestionnaire de securite\Rps.exe" [2008-03-10 311024]
"-FreedomNeedsReboot"="c:\program files\Bell\Gestionnaire de securite\ZkRunOnceR.exe" [2008-03-10 13552]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_04\bin\jusched.exe" [2007-12-14 144784]
"RaidTool"="c:\program files\VIA\RAID\raid_tool.exe" [2004-10-11 589824]
"VTTimer"="VTTimer.exe" [2004-10-22 c:\windows\system32\VTTimer.exe]
"SoundMan"="SOUNDMAN.EXE" [2005-01-27 c:\windows\SOUNDMAN.EXE]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"IndexCleaner"="c:\program files\Bell\Gestionnaire de securite\IdxClnR.exe" [2008-03-10 61168]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"AresChatServer"=3 (0x3)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Documents and Settings\\xplio\\Mes documents\\utorrent.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\LimeWire\\LimeWire.exe"=
"c:\\music\\LimeWire\\LimeWire.exe"=
"c:\\Program Files\\Outlook Express\\msimn.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\Yahoo!\\Messenger\\YServer.exe"=
"c:\\Program Files\\Yahoo!\\Messenger\\YahooMessenger.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R2 fssfltr;FssFltr;c:\windows\system32\DRIVERS\fssfltr.sys [2008-12-19 56344]
R2 SeaPort;SeaPort;"c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe" [2008-12-04 226640]
R2 VaultClientUpgrade;Personal Vault Upgrade Service;c:\program files\Personal Vault\VaultClientUpgrade.exe [2008-03-07 53248]
S3 fsssvc;Windows Live Contrôle parental;"c:\program files\Windows Live\Family Safety\fsssvc.exe" [2008-09-04 512536]
S3 Radialpoint Security Services;Gestionnaire de sécurité Sympatico;"c:\program files\Bell\Gestionnaire de securite\RpsSecurityAware.exe" [2008-03-10 67824]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\Z]
\Shell\AutoRun\command - Z:\Info.exe folder.htt 480 480
.
Contenu du dossier 'Tâches planifiées'

2008-12-25 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

2008-12-26 c:\windows\Tasks\gfexeywc.job
- c:\windows\system32\rundll32.exe [2008-04-13 21:34]
.
- - - - ORPHELINS SUPPRIMES - - - -

BHO-{77AB5974-55A3-4737-9FD5-B93C64307F78} - c:\windows\system32\vphglcpy.dll
BHO-{DBF38EF8-2864-485F-9493-1F0A3E3F4114} - c:\windows\system32\ssqNExvw.dll
WebBrowser-{07B18EA9-A523-4961-B6BB-170DE4475CCA} - (no file)
ShellExecuteHooks-{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - (no file)

.
------- Examen supplémentaire -------
.
uSearchMigratedDefaultURL = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
mSearch Bar = hxxp://us.rd.yahoo.com/customize/ie/defaults/sb/msgr8/*http://www.yahoo.com/ext/search/search.html
mWindow Title =
uInternet Settings,ProxyOverride = localhost
uSearchURL,(Default) = hxxp://g.fr.msn.ca/0SEFRCA/SAOS01?FORM=TOOLBR
IE: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZJxdm037YYCA
IE: &Windows Live Search - c:\program files\Windows Live Toolbar\msntb.dll/search.htm

O16 -: {2357B3CF-7F8D-4451-8D81-FD6097610AEE} - hxxp://activex.camfrogweb.com/advanced/2.0.2.23/cfweb_activex.camfrogweb.com-advanced-2.0.2.23_instmodule.exe

c:\windows\Downloaded Program Files\FlyLoader.dll - O16 -: {48DF87EE-F2DE-11D8-BE7F-302050C10812}
hxxp://www.flysuite.com/flycalc/loadercalc_win_fr.cab

O16 -: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} - hxxp://game10.zylom.com/activex/zylomgamesplayer.cab
c:\windows\Downloaded Program Files\ZylomGamesPlayer.inf
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-26 11:53:52
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

c:\docume~1\ADMINI~1\LOCALS~1\Temp\ZKS1B.tmp 0 bytes

Scan terminé avec succès
Fichiers cachés: 1

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(768)
c:\program files\CA\PPRT\bin\CACheck.dll
c:\program files\CA\PPRT\bin\CAHook.dll
c:\program files\CA\PPRT\bin\CAServer.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Bell\Gestionnaire de securite\Fws.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Fichiers communs\Authentium\AntiVirus\dvpapi.exe
c:\windows\ehome\ehRecvr.exe
c:\windows\ehome\ehSched.exe
c:\program files\CA\PPRT\bin\ITMRTSVC.exe
c:\program files\Raxco\PerfectDisk\PDAgent.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\dllhost.exe
c:\program files\Raxco\PerfectDisk\PDEngine.exe
c:\program files\Bell\Gestionnaire de securite\rpsupdaterR.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Heure de fin: 2008-12-26 11:55:50 - La machine a redémarré [Administrateur]
ComboFix-quarantined-files.txt 2008-12-26 16:55:47

Avant-CF: 224 312 152 064 octets libres
Après-CF: 223,489,126,400 octets libres

537 --- E O F --- 2008-12-20 08:10:36

-----------\\ ToolBar S&D 1.2.8 XP/Vista

Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 3
X86-based PC ( Multiprocessor Free : Intel(R) Pentium(R) 4 CPU 2.93GHz )
BIOS : Phoenix - AwardBIOS v6.00PG
USER : xplio ( Administrator )
BOOT : Fail-safe boot
Antivirus : Gestionnaire de sécurité Sympatico Antivirus 6.0.2 (Not Activated)
Firewall : Gestionnaire de sécurité Sympatico Coupe-feu 6.0.2 (Not Activated)
C:\ (Local Disk) - NTFS - Total:228 Go (Free:208 Go)
D:\ (CD or DVD)
E:\ (USB)
F:\ (USB)
G:\ (USB)
H:\ (USB)

"C:\ToolBar SD" ( MAJ : 21-12-2008|20:47 )
Option : [2] ( 2008-12-26|11:31 )

-----------\\ SUPPRESSION

Supprime! - C:\DOCUME~1\xplio\APPLIC~1\FunWebProducts\Data
Supprime! - C:\DOCUME~1\xplio\APPLIC~1\FunWebProducts

-----------\\ Recherche de Fichiers / Dossiers ...

-----------\\ [..\Internet Explorer\Main]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Local Page"="C:\\WINDOWS\\system32\\blank.htm"
"Start Page"="https://www.msn.com/fr-fr/?ocid=iehp"
"Search Page"="http://us.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*https://fr.yahoo.com/?p=us"
"Search Bar"="http://us.rd.yahoo.com/customize/ie/defaults/sb/msgr8/*http://www.yahoo.com/ext/search/search.html"
"SearchMigratedDefaultURL"="https://www.bing.com/?scope=web&mkt=fr-FR{searchTerms}&src={referrer:source?}"
"Default_Search_URL"="http://www.google.com/toolbar/ie8/sidebar.html"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Start Page"="https://www.msn.com/fr-fr/"
"Search Bar"="http://us.rd.yahoo.com/customize/ie/defaults/sb/msgr8/*http://www.yahoo.com/ext/search/search.html"
"Default_Search_Url"="http://us.rd.yahoo.com/customize/ie/defaults/su/msgr8/*https://fr.yahoo.com/?p=us"
"Search Page"="http://us.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*https://fr.yahoo.com/?p=us"
"Default_Page_URL"="https://fr.yahoo.com/?p=us"

--------------------\\ Recherche d'autres infections

C:\WINDOWS\system32\xycdd.bak1
C:\WINDOWS\system32\xycdd.bak2
C:\WINDOWS\system32\xycdd.ini
C:\WINDOWS\system32\xycdd.ini2
C:\WINDOWS\system32\xycdd.tmp
C:\WINDOWS\system32\CcdMnUtv.ini
C:\WINDOWS\system32\CcdMnUtv.ini2
C:\WINDOWS\system32\KlUDLRqr.ini
C:\WINDOWS\system32\KlUDLRqr.ini2
C:\WINDOWS\system32\Lmlllnmp.ini
C:\WINDOWS\system32\Lmlllnmp.ini2
C:\WINDOWS\system32\vDcbHRqr.ini
C:\WINDOWS\system32\vDcbHRqr.ini2
C:\WINDOWS\system32\wvxENqss.ini
C:\WINDOWS\system32\wvxENqss.ini2
C:\WINDOWS\system32\ybeeg.ini2
C:\WINDOWS\system32\ybeeg.tmp
C:\WINDOWS\system32\ybeeg.tmp2
C:\WINDOWS\system32\vtUnMdcC.dll
C:\WINDOWS\system32\rqRLDUlK.dll
C:\WINDOWS\system32\pmnlllmL.dll
C:\WINDOWS\system32\rqRHbcDv.dll
C:\WINDOWS\system32\ssqNExvw.dll
[b]==> VUNDO <==/b

--------------------\\ Cracks & Keygens ..

C:\DOCUME~1\xplio\Application Data\uTorrent\Chuzzle Deluxe v1.0+crack.rar.1.torrent
C:\DOCUME~1\xplio\Application Data\uTorrent\Chuzzle Deluxe v1.0+crack.rar.2.torrent
C:\DOCUME~1\xplio\Application Data\uTorrent\Chuzzle Deluxe v1.0+crack.rar.torrent

1 - "C:\ToolBar SD\TB_1.txt" - 2008-12-26|11:34 - Option : [2]

-----------\\ Fin du rapport a 11:34:59,96

carpat · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:03, on 2008-12-26
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Bell\Gestionnaire de securite\Fws.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Fichiers communs\Authentium\AntiVirus\dvpapi.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\CA\PPRT\bin\ITMRTSVC.exe
C:\Program Files\Raxco\PerfectDisk\PDAgent.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Personal Vault\VaultClientUpgrade.exe
C:\WINDOWS\system32\dllhost.exe
C:\Program Files\Raxco\PerfectDisk\PDEngine.exe
C:\Program Files\Bell\Gestionnaire de securite\rpsupdaterR.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\QuickTime\QTTask.exe
C:\Program Files\Bell\Sympatico Security Advisor\SSA.exe
C:\Program Files\Bell\Gestionnaire de securite\Rps.exe
C:\Program Files\Bell\Sympatico Security Advisor\SSAComHandler.exe
C:\Program Files\Java\jre1.6.0_04\bin\jusched.exe
C:\WINDOWS\system32\VTTimer.exe
C:\Program Files\VIA\RAID\raid_tool.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Windows Live\Toolbar\wltuser.exe
C:\Program Files\internet explorer\iexplore.exe
C:\Program Files\Java\jre1.6.0_04\bin\jucheck.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ie/defaults/sb/msgr8/*http://www.yahoo.com/ext/search/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://us.rd.yahoo.com/customize/ie/defaults/su/msgr8/*https://fr.yahoo.com/?p=us
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! IE Services Button - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Program Files\Yahoo!\Common\yiesrvc.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SSA.exe] "C:\Program Files\Bell\Sympatico Security Advisor\SSA.exe" /AUTORUN
O4 - HKLM\..\Run: [Gestionnaire de sécurité Sympatico] "C:\Program Files\Bell\Gestionnaire de securite\Rps.exe"
O4 - HKLM\..\Run: [-FreedomNeedsReboot] "C:\Program Files\Bell\Gestionnaire de securite\ZkRunOnceR.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_04\bin\jusched.exe"
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [RaidTool] C:\Program Files\VIA\RAID\raid_tool.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\RunOnce: [IndexCleaner] "C:\Program Files\Bell\Gestionnaire de securite\IdxClnR.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Yahoo! Services - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Program Files\Yahoo!\Common\yiesrvc.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - cmdmapping - (no file) (HKCU)
O16 - DPF: {2357B3CF-7F8D-4451-8D81-FD6097610AEE} (CamfrogWEB Advanced Unicode Control) - http://activex.camfrogweb.com/advanced/2.0.2.23/cfweb_activex.camfrogweb.com-advanced-2.0.2.23_instmodule.exe
O16 - DPF: {48DF87EE-F2DE-11D8-BE7F-302050C10812} (FlyLoader Class) - http://www.flysuite.com/flycalc/loadercalc_win_fr.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-CA/a-UNO1/GAME_UNO1.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game10.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: DvpApi (dvpapi) - Authentium, Inc. - C:\Program Files\Fichiers communs\Authentium\AntiVirus\dvpapi.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: CA Pest Patrol Realtime Protection Service (ITMRTSVC) - CA, Inc. - C:\Program Files\CA\PPRT\bin\ITMRTSVC.exe
O23 - Service: PDAgent - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDAgent.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: Gestionnaire de sécurité Sympatico (Radialpoint Security Services) - Radialpoint Inc. - C:\Program Files\Bell\Gestionnaire de securite\RpsSecurityAware.exe
O23 - Service: Service de mise-à-jour pour le Gestionnaire de sécurité Sympatico (RPSUpdaterR) - Radialpoint Inc. - C:\Program Files\Bell\Gestionnaire de securite\rpsupdaterR.exe
O23 - Service: Gestionnaire de sécurité Sympatico Coupe-feu (RP_FWS) - Bell Sympatico - C:\Program Files\Bell\Gestionnaire de securite\Fws.exe
O23 - Service: Personal Vault Upgrade Service (VaultClientUpgrade) - BELL - C:\Program Files\Personal Vault\VaultClientUpgrade.exe

carpat · Answer

il y a un programme qui ouvre et on ne sais pas c est quoi

via raid tool

merci pour tout

eZula · Answer

Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes en italique :

File::
C:\DOCUME~1\xplio\Application Data\uTorrent\Chuzzle Deluxe v1.0+crack.rar.1.torrent
C:\DOCUME~1\xplio\Application Data\uTorrent\Chuzzle Deluxe v1.0+crack.rar.2.torrent
C:\DOCUME~1\xplio\Application Data\uTorrent\Chuzzle Deluxe v1.0+crack.rar.torrent 
c:\windows\system32\rqRJApOh.dll
c:\windows\Tasks\gfexeywc.job 

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"=dword:00000001 

Enregistre ce fichier sous le nom CFScript

[*]Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture [img]http://apu.mabul.org/up/apu/2008/08/12/img-191202xzrpd.gif[/img]
[*]Une fenêtre bleue va apparaître : au message "Type 1 to continue, or 2 to abort", tape 1 puis valide.
[*]Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises : c'est normal.
Ne touche à rien tant que le scan n'est pas terminé.
[*]Une fois le scan achevé, un rapport va s'afficher : poste son contenu, ainsi que le contenu du fichier GenProc\Arguments\Argument.txt

[*]Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

carpat · Answer

ComboFix 08-12-26.01 - xplio 2008-12-26 12:40:53.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.958.595 [GMT -5:00]
Lancé depuis: c:\documents and settings\xplio\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\xplio\Bureau\CFScript.txt
AV: Gestionnaire de sécurité Sympatico Antivirus *On-access scanning disabled* (Updated)
FW: Gestionnaire de sécurité Sympatico Coupe-feu *disabled*
* Un nouveau point de restauration a été créé

FILE ::
c:\docume~1\xplio\Application Data\uTorrent\Chuzzle Deluxe v1.0+crack.rar.1.torrent
c:\docume~1\xplio\Application Data\uTorrent\Chuzzle Deluxe v1.0+crack.rar.2.torrent
c:\docume~1\xplio\Application Data\uTorrent\Chuzzle Deluxe v1.0+crack.rar.torrent
c:\windows\system32\rqRJApOh.dll
c:\windows\Tasks\gfexeywc.job
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\docume~1\xplio\Application Data\uTorrent\Chuzzle Deluxe v1.0+crack.rar.1.torrent
c:\docume~1\xplio\Application Data\uTorrent\Chuzzle Deluxe v1.0+crack.rar.2.torrent
c:\docume~1\xplio\Application Data\uTorrent\Chuzzle Deluxe v1.0+crack.rar.torrent
c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat
c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat
c:\windows\system32\rqRJApOh.dll
c:\windows\Tasks\gfexeywc.job

----- BITS: Il y a peut-être des sites infectés -----

hxxp://childhe.com
.
((((((((((((((((((((((((((((( Fichiers créés du 2008-11-26 au 2008-12-26 ))))))))))))))))))))))))))))))))))))
.

2008-12-26 10:55 . 2008-12-26 11:34 <REP> d-------- C:\ToolBar SD
2008-12-25 09:29 . 2008-12-25 09:29 203,264 --a------ C:\3 Formulaire sécurité verso exemple concours f.ppt
2008-12-25 09:29 . 2008-12-25 09:29 147,968 --a------ C:\3 Formulaire Sécurité recto exemple concours f.ppt
2008-12-25 09:29 . 2008-12-25 09:29 90,405 --a------ C:\3 Formulaire Sécurité 330-23f.pdf
2008-12-25 09:29 . 2008-12-25 09:29 88,064 --a------ C:\Adresses supp.doc
2008-12-25 09:29 . 2008-12-25 09:29 49,664 --a------ C:\2 Fiche renseignements personnels.doc
2008-12-25 09:29 . 2008-12-25 09:29 33,792 --a------ C:\directives-330-23.DOC
2008-12-24 09:57 . 2008-12-24 09:57 48,640 --------- C:\fii.exe
2008-12-23 09:51 . 2008-12-23 04:41 52,786 --a------ c:\windows\fxstaller.MSNFix
2008-12-22 16:36 . 2008-12-22 16:36 <REP> d-------- c:\documents and settings\All Users\Application Data\Playrix Entertainment
2008-12-20 04:59 . 2008-12-20 04:59 280 --a------ c:\windows\system32\PDBootState
2008-12-20 03:17 . 2008-12-26 11:54 <REP> d-------- c:\documents and settings\Administrateur\Tracing
2008-12-19 22:27 . 2008-12-26 11:56 <REP> d-------- c:\documents and settings\xplio\Tracing
2008-12-19 22:26 . 2008-12-19 22:26 <REP> d-------- c:\program files\Microsoft Office Outlook Connector
2008-12-19 22:26 . 2008-09-04 22:03 56,344 --a------ c:\windows\system32\drivers\fssfltr.sys
2008-12-19 22:20 . 2008-12-19 22:20 <REP> d-------- c:\program files\Microsoft SQL Server Compact Edition
2008-12-19 22:20 . 2008-12-19 22:20 20 --a------ c:\windows\ÿÿ
2008-12-19 22:07 . 2008-12-19 22:07 2,402,832 --a------ C:\Msn.MSNFix
2008-12-19 05:16 . 2008-12-19 05:16 <REP> d-------- c:\program files\Microsoft Sync Framework
2008-12-19 05:15 . 2008-12-19 05:15 <REP> d-------- c:\program files\Microsoft
2008-12-19 05:14 . 2008-12-19 05:14 <REP> d-------- c:\program files\Windows Live SkyDrive
2008-12-19 05:09 . 2008-12-19 05:09 <REP> d-------- c:\program files\Fichiers communs\Windows Live
2008-12-02 22:37 . 2008-12-02 22:37 49,480 --a------ c:\windows\system32\sirenacm.dll
2008-11-26 11:50 . 2008-11-26 11:50 <REP> d-------- c:\documents and settings\xplio\Application Data\Gamelab
2008-11-26 11:50 . 2008-11-26 11:50 <REP> d-------- c:\documents and settings\All Users\Application Data\Gogii

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-26 17:40 --------- d-----w c:\documents and settings\xplio\Application Data\uTorrent
2008-12-26 16:27 --------- d-----w c:\program files\Navilog1
2008-12-25 16:33 --------- d-----w c:\program files\Zylom Games
2008-12-22 21:36 --------- d-----w c:\documents and settings\xplio\Application Data\Zylom
2008-12-21 20:34 --------- d-----w c:\program files\LimeWire
2008-12-20 08:17 --------- d-----w c:\program files\Windows Live Toolbar
2008-12-20 03:26 --------- d-----w c:\program files\Windows Live
2008-11-25 20:08 --------- d-----w c:\documents and settings\xplio\Application Data\Ancient Quest of Saqqarah__gamehouse
2008-11-15 18:19 --------- d-----w c:\program files\Ares MP3
2008-11-15 17:44 --------- d-----w c:\documents and settings\All Users\Application Data\Lavasoft
2008-11-14 16:47 --------- d-----w c:\documents and settings\All Users\Application Data\Sandlot Games
2008-11-14 16:41 --------- d-----w c:\documents and settings\xplio\Application Data\funkitron
2008-11-13 16:06 --------- d-----w c:\documents and settings\All Users\Application Data\FreshGames
2008-11-10 16:14 --------- d-----w c:\documents and settings\xplio\Application Data\Gaijin Ent
2008-11-04 20:33 --------- d-----w c:\program files\CA
2008-11-03 21:33 --------- d-----w c:\documents and settings\All Users\Application Data\Farm Frenzy
2008-11-03 18:35 --------- d-----w c:\documents and settings\All Users\Application Data\GameHouse
2008-10-23 12:36 286,720 ----a-w c:\windows\system32\gdi32.dll
2008-10-16 20:18 826,368 ----a-w c:\windows\system32\wininet.dll
2008-10-16 19:13 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 19:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 19:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 19:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 19:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 19:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 19:09 43,544 ----a-w c:\windows\system32\wups2.dll
2008-10-16 19:08 34,328 ----a-w c:\windows\system32\wups.dll
2008-10-16 19:06 268,648 ----a-w c:\windows\system32\mucltui.dll
2008-10-16 19:06 208,744 ----a-w c:\windows\system32\muweb.dll
2008-10-03 10:03 247,326 ----a-w c:\windows\system32\strmdll.dll
2008-09-30 21:43 1,286,152 ----a-w c:\windows\system32\msxml4.dll
2008-05-23 19:10 1,725,000 -c--a-w c:\program files\mirc631.exe
2008-02-15 01:11 32 -c--a-w c:\documents and settings\All Users\Application Data\ezsid.dat
2003-07-14 00:48 200,704 ----a-w c:\program files\kb_2k.exe
2003-03-22 09:15 28,672 -c--a-w c:\program files\SCKBD.DLL
.

((((((((((((((((((((((((((((( snapshot@2008-12-26_11.55.23,84 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-12-25 17:00:42 16,384 -c--a-w c:\windows\system32\config\systemprofile\Cookies\index.dat
+ 2008-12-26 17:00:35 32,768 -c--a-w c:\windows\system32\config\systemprofile\Cookies\index.dat
- 2008-12-25 17:00:42 32,768 -c--a-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
+ 2008-12-26 17:00:35 32,768 -c--a-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-13 15360]
"msnmsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2008-12-02 3882312]
"Yahoo! Pager"="c:\progra~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" [2007-08-30 4670704]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2007-12-11 286720]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"SSA.exe"="c:\program files\Bell\Sympatico Security Advisor\SSA.exe" [2007-03-27 2061816]
"Gestionnaire de sécurité Sympatico"="c:\program files\Bell\Gestionnaire de securite\Rps.exe" [2008-03-10 311024]
"-FreedomNeedsReboot"="c:\program files\Bell\Gestionnaire de securite\ZkRunOnceR.exe" [2008-03-10 13552]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_04\bin\jusched.exe" [2007-12-14 144784]
"RaidTool"="c:\program files\VIA\RAID\raid_tool.exe" [2004-10-11 589824]
"VTTimer"="VTTimer.exe" [2004-10-22 c:\windows\system32\VTTimer.exe]
"SoundMan"="SOUNDMAN.EXE" [2005-01-27 c:\windows\SOUNDMAN.EXE]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"AresChatServer"=3 (0x3)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Documents and Settings\\xplio\\Mes documents\\utorrent.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\LimeWire\\LimeWire.exe"=
"c:\\music\\LimeWire\\LimeWire.exe"=
"c:\\Program Files\\Outlook Express\\msimn.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\Yahoo!\\Messenger\\YServer.exe"=
"c:\\Program Files\\Yahoo!\\Messenger\\YahooMessenger.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R2 fssfltr;FssFltr;c:\windows\system32\DRIVERS\fssfltr.sys [2008-12-19 56344]
R2 SeaPort;SeaPort;"c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe" [2008-12-04 226640]
R2 VaultClientUpgrade;Personal Vault Upgrade Service;c:\program files\Personal Vault\VaultClientUpgrade.exe [2008-03-07 53248]
S3 fsssvc;Windows Live Contrôle parental;"c:\program files\Windows Live\Family Safety\fsssvc.exe" [2008-09-04 512536]
S3 Radialpoint Security Services;Gestionnaire de sécurité Sympatico;"c:\program files\Bell\Gestionnaire de securite\RpsSecurityAware.exe" [2008-03-10 67824]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\Z]
\Shell\AutoRun\command - Z:\Info.exe folder.htt 480 480
.
Contenu du dossier 'Tâches planifiées'

2008-12-25 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
.
------- Examen supplémentaire -------
.
uSearchMigratedDefaultURL = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
uDefault_Search_URL = hxxp://www.google.com/ie
mSearch Bar = hxxp://us.rd.yahoo.com/customize/ie/defaults/sb/msgr8/*http://www.yahoo.com/ext/search/search.html
mWindow Title =
uSearchURL,(Default) = hxxp://us.rd.yahoo.com/customize/ie/defaults/su/msgr8/*https://fr.yahoo.com/?p=us
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

O16 -: {2357B3CF-7F8D-4451-8D81-FD6097610AEE} - hxxp://activex.camfrogweb.com/advanced/2.0.2.23/cfweb_activex.camfrogweb.com-advanced-2.0.2.23_instmodule.exe

c:\windows\Downloaded Program Files\FlyLoader.dll - O16 -: {48DF87EE-F2DE-11D8-BE7F-302050C10812}
hxxp://www.flysuite.com/flycalc/loadercalc_win_fr.cab

O16 -: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} - hxxp://game10.zylom.com/activex/zylomgamesplayer.cab
c:\windows\Downloaded Program Files\ZylomGamesPlayer.inf
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-26 12:42:11
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(768)
c:\program files\CA\PPRT\bin\CACheck.dll
c:\program files\CA\PPRT\bin\CAHook.dll
c:\program files\CA\PPRT\bin\CAServer.dll
.
Heure de fin: 2008-12-26 12:43:01
ComboFix-quarantined-files.txt 2008-12-26 17:42:46
ComboFix2.txt 2008-12-26 16:55:50

Avant-CF: 223,514,681,344 octets libres
Après-CF: 223,501,217,792 octets libres

185 --- E O F --- 2008-12-20 08:10:36
~~ Arguments ~~

# Détections GenProc 2.314 2008-12-25 à 11:53:31,63
Navipromo:le 2008-12-25 à 11:54:12,52 HKCU\....\Lanconfig
Toolbar:le 2008-12-25 à 11:54:13,90 "C:\Documents and Settings\xplio\Application Data\FunWebProducts"
Vundo:le 2008-12-25 à 11:54:15,08 "C:\WINDOWS\system32\*.bak1"
MSNFix:le 2008-12-25 à 11:54:55,69 "C:\msn.exe"

# Détections GenProc 2.314 2008-12-25 à 15:08:39,32
Navipromo:le 2008-12-25 à 15:09:14,57 HKCU\....\Lanconfig
Toolbar:le 2008-12-25 à 15:09:15,26 "C:\Documents and Settings\xplio\Application Data\FunWebProducts"
Vundo:le 2008-12-25 à 15:09:16,48 "C:\WINDOWS\system32\*.bak1"
MSNFix:le 2008-12-25 à 15:09:42,77 "C:\msn.exe"

eZula · Answer

Vas sur ce site https://www.virustotal.com/gui/
Colle dans la case à gauche de "parcourir" :
C:\fii.exe 
clique ensuite sur "Envoyer le fichier" puis patiente jusqu'à apparition du message "Situation actuelle: terminé " ; copie alors le rapport dans ta réponse.

carpat · Answer

Fichier fii.exe_ reçu le 2008.12.26 19:07:36 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE

Résultat: 12/39 (30.77%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: ___.
L'heure estimée de démarrage est entre ___ et ___ .
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:

Antivirus Version Dernière mise à jour Résultat
a-squared 4.0.0.73 2008.12.26 Trojan.Vundo!IK
AhnLab-V3 2008.12.25.0 2008.12.26 -
AntiVir 7.9.0.45 2008.12.25 TR/Agentbypass.48640I
Authentium 5.1.0.4 2008.12.25 -
Avast 4.8.1281.0 2008.12.26 -
AVG 8.0.0.199 2008.12.26 -
BitDefender 7.2 2008.12.26 -
CAT-QuickHeal 10.00 2008.12.26 (Suspicious) - DNAScan
ClamAV 0.94.1 2008.12.26 -
Comodo 819 2008.12.26 -
DrWeb 4.44.0.09170 2008.12.26 -
eSafe 7.0.17.0 2008.12.24 Suspicious File
eTrust-Vet 31.6.6276 2008.12.24 -
Ewido 4.0 2008.12.26 -
F-Prot 4.4.4.56 2008.12.24 W32/Virtumonde.AH.gen!Eldorado
F-Secure 8.0.14332.0 2008.12.26 -
Fortinet 3.117.0.0 2008.12.26 -
GData 19 2008.12.26 -
Ikarus T3.1.1.45.0 2008.12.26 Trojan.Vundo
K7AntiVirus 7.10.567 2008.12.26 -
Kaspersky 7.0.0.125 2008.12.26 -
McAfee 5475 2008.12.26 -
McAfee+Artemis 5475 2008.12.26 -
Microsoft 1.4205 2008.12.26 Trojan:Win32/AgentBypass.gen!I
NOD32 3718 2008.12.26 -
Norman 5.80.02 2008.12.26 -
Panda 9.0.0.4 2008.12.26 -
PCTools 4.4.2.0 2008.12.26 -
Prevx1 V2 2008.12.26 Malicious Software
Rising 21.09.42.00 2008.12.26 -
SecureWeb-Gateway 6.7.6 2008.12.25 Trojan.Agentbypass.48640I
Sophos 4.37.0 2008.12.26 -
Sunbelt 3.2.1809.2 2008.12.22 VIPRE.Suspicious
Symantec 10 2008.12.26 Trojan Horse
TheHacker 6.3.1.4.200 2008.12.26 -
TrendMicro 8.700.0.1004 2008.12.26 PAK_Generic.001
VBA32 3.12.8.10 2008.12.26 -
ViRobot 2008.12.26.1536 2008.12.26 -
VirusBuster 4.5.11.0 2008.12.26 -
Information additionnelle
File size: 48640 bytes
MD5...: f184757cc857aabeeae0195c0a8bd1ad
SHA1..: 8c8514e2aac328f257bf5852b5f04423e91f7f64
SHA256: 64f928944603e044c739b03fe1daa8a9147ef0ff3369b18dbe456c72ff0cd45b
SHA512: 9f04fa881936f8937c7ebcb283054703f3a97064abc9245f93358309d0da78f7
57e0efc9f41aad11c77f7fc8bd606c3800fb3507ad9c92eed29794b0f797d784

ssdeep: 768:EaJu2yoGF+ankJxQTbX0ndtS3zYSXiVblqzm+bJu4iM7KoXiNin0DgZYIU:v
TyoGs3QTbXqSj/SvqzgM7KoXpn0kBU

PEiD..: -
TrID..: File type identification
Win32 Executable Generic (38.4%)
Win32 Dynamic Link Library (generic) (34.2%)
Clipper DOS Executable (9.1%)
Generic Win/DOS Executable (9.0%)
DOS Executable Generic (9.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4010b0
timedatestamp.....: 0x407896fb (Sun Apr 11 00:53:15 2004)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x3000 0x2400 6.38 c98441390eb4a0e2fc5e675c1b31f4db
0x4000 0x1000 0x600 0.24 37a01bb5da555ed14d058857c9566ac1
0x5000 0x3000 0x2e00 7.98 6631197f19dc888f4248ec4179e8f659
0x8000 0x3000 0x3000 7.98 61516414dc936b460296de2773b6aa14
0xb000 0x6000 0x3200 7.71 2a57bf104433039744040f57fd3d7269

( 6 imports )
> COMCTL32.dll: InitCommonControlsEx
> KERNEL32.dll: GetModuleHandleW, ExitProcess, GetSystemInfo
> USER32.dll: TranslateMessage, LoadIconA, DispatchMessageW
> GDI32.dll: Arc, SelectClipPath
> comdlg32.dll: PrintDlgExA
> ADVAPI32.dll: RegQueryValueExW

( 0 exports )

Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=0A359231000B0DB9BEB900079AEA20004A84DA57' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=0A359231000B0DB9BEB900079AEA20004A84DA57</a>

eZula · Answer

Lance HijackThis > "Open the misc tool section" > "Delete a file on reboot"
-> dans la fenêtre qui s'ouvre, colle ce chemin :
C:\fii.exe
puis clique sur "Ouvrir"
Valide le message, l'ordinateur va redémarrer (sinon fais-le toi-même) 

ensuite tu relances GenProc et tu suis le scan en ligne qu'il va te proposer

carpat · Answer

Rapport GenProc 2.314 [3] - 2008-12-26 - Windows XP 
 
GenProc n'a détecté aucune infection caractéristique et suggère de suivre la procédure suivante : 

 
# Etape 1/ Télécharge :
ToolsCleaner! http://pc-system.fr/ (A.Rothstein & Dj QUIOU) sur ton Bureau.

# Etape 2/
- Double-clique sur ToolsCleaner2.exe pour le lancer.
- Clique sur Recherche et laisse le scan agir.
- Clique sur Suppression pour finaliser.
- Tu peux, si tu le souhaites, te servir des Options Facultatives.
- Clique sur Quitter pour obtenir le rapport C:\TCleaner.txt
- Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).

# Etape 3/
Poste un rapport NanoScan https://www.micro-astuce.com/securite/NanoScan-Panda.php


__________________________________________________________________________________________________________
 
Sites officiels GenProc : www.alt-shift-return.org et www.genproc.com

eZula · Answer

fais ;)

carpat · Answer

merci

a+++

Popup

17 réponses

Votre réponse

Discussions similaires

Newsletters