problème de virus? Résolu

Question

Bonjour,

J'espère que vous pourrez m'aider. Je pense que mon ordi est infecté; Je vous poste le rapport hijackthis.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:20:09, on 27/01/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32
vsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\EoRezo\EoEngine.exe
C:\Documents and Settings\Killerx\Application Data\eoRezo\SoftwareUpdate\SoftwareUpdateHP.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\Veoh Networks\Veoh\VeohClient.exe
C:\Program Files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.BIN
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\system32egsvr32.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Documents and Settings\Killerx\Bureau\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=D4322FEE7CF74A348CB9CE970F098EF5
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.acer.com/ac/fr/FR/content/home
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://eo.st
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.acer.com/ac/fr/FR/content/home
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: mysidesearch search enhancer - {82029796-526B-8574-9A3E-2EBBA69ADFB7} - C:\WINDOWS\system32	ijikegzzw.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Popsicle - {A67B8FE1-8E6D-44D6-8D74-9C28E7BFF35C} - (no file)
O2 - BHO: cpmsky browser enhancer - {A80FDBF7-8836-C4C7-7999-80AB948501C4} - C:\WINDOWS\system32\ybdmqswfypm.dll
O2 - BHO: EoBHO - {C7B76B90-3455-4AE6-A752-EAC4D19689E5} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll
O2 - BHO: adzgalore - {c7cbf8fe-0f39-2b0d-ba40-3a06314aae13} - C:\WINDOWS\system32
sb74.dll
O2 - BHO: ShopAtHomeIEHelper - {E8DAAA30-6CAA-4b58-9603-8E54238219E2} - C:\Program Files\SelectRebates\Toolbar\ShopAtHomeToolbar.dll
O3 - Toolbar: ShopAtHome Toolbar - {98279C38-DE4B-4bcf-93C9-8EC26069D6F4} - C:\Program Files\SelectRebates\Toolbar\ShopAtHomeToolbar.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Program Files\Veoh Networks\Veoh\Pluginseg\VeohToolbar.dll
O3 - Toolbar: Veoh Web Player Video Finder - {0FBB9689-D3D7-4f7a-A2E2-585B10099BFC} - C:\Program Files\Veoh Networks\VeohWebPlayer\VeohIEToolbar.dll
O4 - HKLM\..\Run: [EoEngine] "C:\Program Files\EoRezo\EoEngine.exe"
O4 - HKLM\..\Run: [SoftwareHelper] C:\Documents and Settings\Killerx\Application Data\eoRezo\SoftwareUpdate\SoftwareUpdateHP.exe
O4 - HKLM\..\Run: [vjhgfxhrktu] C:\WINDOWS\System32egsvr32.exe /s "C:\WINDOWS\system32\ybdmqswfypm.dll"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Veoh] "C:\Program Files\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
O4 - HKCU\..\Run: [VeohPlugin] "C:\Program Files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\CCleaner.exe" /AUTO
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: OpenOffice.org 2.4.lnk = C:\Program Files\OpenOffice.org 2.4\program\quickstart.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: OpenOffice.org 2.4.lnk = C:\Program Files\OpenOffice.org 2.4\program\quickstart.exe (User 'Default user')
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Program Files\OpenOffice.org 2.4\program\quickstart.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=https://www.acer.com/ac/fr/FR/content/home
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O20 - Winlogon Notify: 284815e0515 - C:\WINDOWS\System32\kbdusr32.dll (file missing)
O20 - Winlogon Notify: __c00CA750 - C:\WINDOWS\system32\__c00CA750.dat (file missing)
O21 - SSODL: ieModule - {092EF6A6-3E89-45B7-B0BB-7AD87F4909A1} - (no file)
O21 - SSODL: InternetConnection - {E47CEF1F-D519-4DF2-A53B-49B2DE2136F3} - (no file)
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe

Destrio5 · Answer

Salut,

Ton PC est infecté.


1/

--> Démarre Spybot, clique sur Mode, coche Mode avancé.
--> A gauche, clique sur Outils, puis sur Résident.
--> Décoche la case devant Résident "TeaTimer" :
http://apu.mabul.org/up/5/apu-5-gpdx9e06cwz2dypom2q7n6nc.jpg
--> Quitte Spybot.


2/

--> Télécharge SmitfraudFix (de de S!Ri, balltrap34 et moe31) sur ton Bureau.
--> Double-clique sur SmitfraudFix.exe et choisis l'option 1 puis Entrée.
--> Un rapport sera généré, poste-le dans ta prochaine réponse.

[*] Process.exe est détecté par certains antivirus comme étant un risktool. Il ne s'agit pas d'un virus mais d'un utilitaire destiné à mettre fin à des processus.

/!\ Ne fais l'étape 2 que si on te le demande, on doit d'abord examiner le premier rapport de SmitfraudFix. /!\

anne_laure40 · Answer

voilà le rapport

SmitFraudFix v2.392

Rapport fait à 15:55:14,45, 27/01/2009
Executé à partir de C:\Documents and Settings\Killerx\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est FAT32
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32
vsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\EoRezo\EoEngine.exe
C:\Documents and Settings\Killerx\Application Data\eoRezo\SoftwareUpdate\SoftwareUpdateHP.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\Veoh Networks\Veoh\VeohClient.exe
C:\Program Files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.BIN
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\system32egsvr32.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\msiexec.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

C:\WINDOWSeged.exe PRESENT !
C:\WINDOWS\spoolsystem.exe PRESENT !
C:\WINDOWS\sys.com PRESENT !
C:\WINDOWS\syscert.exe PRESENT !
C:\WINDOWS\sysexplorer.exe PRESENT !
C:\WINDOWS\vmreg.dll PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Killerx


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Killerx\LOCALS~1\Temp


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Killerx\Application Data

C:\Documents and Settings\All Users\Application Data\Microsoft\Protect\svhost.exe PRESENT !
C:\Documents and Settings\All Users\Application Data\Microsoft\Protect	rack.sys PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\KILLERX\FAVORIS


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
 

»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Carte réseau Fast Ethernet PCI Realtek RTL8139 Family - Miniport d'ordonnancement de paquets
DNS Server Search Order: 212.27.40.240
DNS Server Search Order: 212.27.40.241

HKLM\SYSTEM\CCS\Services\Tcpip\..\{BFCB3902-5FBA-4AFA-A371-7481E2CDEDEE}: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CS1\Services\Tcpip\..\{BFCB3902-5FBA-4AFA-A371-7481E2CDEDEE}: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CS2\Services\Tcpip\..\{BFCB3902-5FBA-4AFA-A371-7481E2CDEDEE}: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.240 212.27.40.241


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

Destrio5 · Answer

- Redémarre ton ordinateur en mode sans échec :
https://blog.sosordi.net/

- Double-clique sur SmitfraudFix.exe, choisis l'option 2 et Entrée.

- Réponds O (Oui) à ces deux questions si elles te sont posées :

Voulez-vous nettoyer le registre ?
Corriger le fichier infecté ?

- Un rapport sera généré, sauvegarde-le sur le Bureau.

- Redémarre en mode normal.

- Poste le rapport SmitfraudFix.

anne_laure40 · Answer

merci de votre aide 
voici le rapport demandé

SmitFraudFix v2.392

Rapport fait à 16:22:01,29, 27/01/2009
Executé à partir de C:\Documents and Settings\Killerx\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est FAT32
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1       localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\WINDOWSeged.exe supprimé
C:\WINDOWS\spoolsystem.exe supprimé
C:\WINDOWS\sys.com supprimé
C:\WINDOWS\syscert.exe supprimé
C:\WINDOWS\sysexplorer.exe supprimé
C:\WINDOWS\vmreg.dll supprimé
C:\Documents and Settings\All Users\Application Data\Microsoft\Protect\svhost.exe supprimé
C:\Documents and Settings\All Users\Application Data\Microsoft\Protect	rack.sys supprimé

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» RK


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{BFCB3902-5FBA-4AFA-A371-7481E2CDEDEE}: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CS1\Services\Tcpip\..\{BFCB3902-5FBA-4AFA-A371-7481E2CDEDEE}: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CS2\Services\Tcpip\..\{BFCB3902-5FBA-4AFA-A371-7481E2CDEDEE}: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.240 212.27.40.241


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
 
Nettoyage terminé. 
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

Destrio5 · Answer

---> Supprime SmitfraudFix.

---> Puis fais ceci :

- Télécharge Random's System Information Tool (RSIT) (par random/random) sur ton Bureau.

- Double-clique sur RSIT.exe afin de lancer le programme.

- Clique sur Continue à l'écran Disclaimer.

- Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

- Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (c'est celui qui apparaît à l'écran) ainsi que de info.txt (que tu verras dans la barre des tâches).

Note : Les rapports sont sauvegardés dans le dossier C:\rsit.

anne_laure40 · Answer

voilà les rapport


Logfile of random's system information tool 1.05 (written by random/random)
Run by Killerx at 2009-01-27 16:32:38
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 12 GB (39%) free of 30 GB
Total RAM: 1023 MB (64% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:32:43, on 27/01/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32
vsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\EoRezo\EoEngine.exe
C:\Documents and Settings\Killerx\Application Data\eoRezo\SoftwareUpdate\SoftwareUpdateHP.exe
C:\WINDOWS\System32egsvr32.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\Veoh Networks\Veoh\VeohClient.exe
C:\Program Files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\OpenOffice.org 2.4\program\soffice.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.BIN
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Documents and Settings\Killerx\Bureau\RSIT.exe
C:\Documents and Settings\Killerx\Bureau\Killerx.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.acer.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: mysidesearch search enhancer - {82029796-526B-8574-9A3E-2EBBA69ADFB7} - C:\WINDOWS\system32	ijikegzzw.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Popsicle - {A67B8FE1-8E6D-44D6-8D74-9C28E7BFF35C} - (no file)
O2 - BHO: cpmsky browser enhancer - {A80FDBF7-8836-C4C7-7999-80AB948501C4} - C:\WINDOWS\system32\ybdmqswfypm.dll
O2 - BHO: EoBHO - {C7B76B90-3455-4AE6-A752-EAC4D19689E5} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll
O2 - BHO: adzgalore - {c7cbf8fe-0f39-2b0d-ba40-3a06314aae13} - C:\WINDOWS\system32
sb74.dll
O2 - BHO: ShopAtHomeIEHelper - {E8DAAA30-6CAA-4b58-9603-8E54238219E2} - C:\Program Files\SelectRebates\Toolbar\ShopAtHomeToolbar.dll
O3 - Toolbar: ShopAtHome Toolbar - {98279C38-DE4B-4bcf-93C9-8EC26069D6F4} - C:\Program Files\SelectRebates\Toolbar\ShopAtHomeToolbar.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Program Files\Veoh Networks\Veoh\Pluginseg\VeohToolbar.dll
O3 - Toolbar: Veoh Web Player Video Finder - {0FBB9689-D3D7-4f7a-A2E2-585B10099BFC} - C:\Program Files\Veoh Networks\VeohWebPlayer\VeohIEToolbar.dll
O4 - HKLM\..\Run: [EoEngine] "C:\Program Files\EoRezo\EoEngine.exe"
O4 - HKLM\..\Run: [SoftwareHelper] C:\Documents and Settings\Killerx\Application Data\eoRezo\SoftwareUpdate\SoftwareUpdateHP.exe
O4 - HKLM\..\Run: [vjhgfxhrktu] C:\WINDOWS\System32egsvr32.exe /s "C:\WINDOWS\system32\ybdmqswfypm.dll"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Veoh] "C:\Program Files\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
O4 - HKCU\..\Run: [VeohPlugin] "C:\Program Files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe"
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\CCleaner.exe" /AUTO
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: OpenOffice.org 2.4.lnk = C:\Program Files\OpenOffice.org 2.4\program\quickstart.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: OpenOffice.org 2.4.lnk = C:\Program Files\OpenOffice.org 2.4\program\quickstart.exe (User 'Default user')
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Program Files\OpenOffice.org 2.4\program\quickstart.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.acer.com
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O20 - Winlogon Notify: 284815e0515 - C:\WINDOWS\System32\kbdusr32.dll (file missing)
O20 - Winlogon Notify: __c00CA750 - C:\WINDOWS\system32\__c00CA750.dat (file missing)
O21 - SSODL: ieModule - {092EF6A6-3E89-45B7-B0BB-7AD87F4909A1} - (no file)
O21 - SSODL: InternetConnection - {E47CEF1F-D519-4DF2-A53B-49B2DE2136F3} - (no file)
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe

Destrio5 · Answer

---> Désinstalle EoEngine.

/!\ Désactive tes protections résidentes (Antivirus, etc...) /!\

--> Télécharge ComboFix (de sUBs) sur ton Bureau.
--> Double-clique sur ComboFix.exe (le .exe n'est pas forcément visible) afin de le lancer.
--> Il va te demander d'installer la console de récupération : accepte.
--> Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

Pour t'aider : Un guide et un tutoriel sur l'utilisation de ComboFix

anne_laure40 · Answer

voilà le rapport ComboFix 09-01-21.04 - Killerx 2009-01-27 16:51:49.1 - [color=red][b]FAT32[/b][/color]x86 Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.1023.711 [GMT 1:00] Lancé depuis: c:\documents and settings\Killerx\Bureau\ComboFix.exe AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Updated) AV: BitDefender Antivirus *On-access scanning disabled* (Updated) FW: Pare-feu BitDefender *disabled* * Un nouveau point de restauration a été créé . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . c:\documents and settings\All Users\Application Data\Microsoft\Internet Explorer\DLLs\c.cgm c:\documents and settings\Killerx\Application Data\[u]0[/u]2000000ffd28ef2515C.manifest c:\documents and settings\Killerx\Application Data\[u]0[/u]2000000ffd28ef2515O.manifest c:\documents and settings\Killerx\Application Data\[u]0[/u]2000000ffd28ef2515P.manifest c:\documents and settings\Killerx\Application Data\[u]0[/u]2000000ffd28ef2515S.manifest c:\documents and settings\Killerx\Menu Démarrer\Programmes\Adzgalore Games Collection c:\documents and settings\Killerx\Menu Démarrer\Programmes\Adzgalore Games Collection\Bob and Bill adventures - Wild Hunting.lnk c:\documents and settings\Killerx\Menu Démarrer\Programmes\Adzgalore Games Collection\Crazy Blocks.lnk c:\documents and settings\Killerx\Menu Démarrer\Programmes\Adzgalore Games Collection\Lines.lnk c:\documents and settings\Killerx\Menu Démarrer\Programmes\Adzgalore Games Collection\The Battles Of Helicopters.lnk c:\documents and settings\Killerx\Menu Démarrer\Programmes\Adzgalore Games Collection\Video Pool.lnk c:\documents and settings\Killerx\Menu Démarrer\Programmes\PlayMP3z c:\documents and settings\Killerx\Menu Démarrer\Programmes\PlayMP3z\Run PlayMP3z.lnk c:\documents and settings\Killerx\Menu Démarrer\Programmes\Spyware Guard 2009 c:\documents and settings\Killerx\Menu Démarrer\Programmes\Spyware Guard 2009\Spyware Guard 2009.lnk c:\documents and settings\maman\Menu Démarrer\Programmes\Spyware Guard 2009 c:\documents and settings\maman\Menu Démarrer\Programmes\Spyware Guard 2009\Spyware Guard 2009.lnk c:\program files\Adzgalore Games Collection c:\program files\Adzgalore Games Collection\BattlesOfHelicopters.exe c:\program files\Adzgalore Games Collection\BobAndBill.exe c:\program files\Adzgalore Games Collection\CrazyBlocks.exe c:\program files\Adzgalore Games Collection\Lines.exe c:\program files\Adzgalore Games Collection\uninstall.exe c:\program files\Adzgalore Games Collection\VideoPool.exe c:\program files\Mozilla Firefox\components\nsadzgalore.dll c:\program files\Mozilla Firefox\components\nsBrowserGal.dll c:\program files\Mozilla Firefox\components\tijikegzzw.dll c:\program files\PlayMP3z c:\program files\PlayMP3z\uninstall.exe c:\program files\SelectRebates c:\program files\SelectRebates\FFToolbar.txt c:\program files\SelectRebates\FFToolbar\chrome.manifest c:\program files\SelectRebates\FFToolbar\chrome\content\options.js c:\program files\SelectRebates\FFToolbar\chrome\content\options.xul c:\program files\SelectRebates\FFToolbar\chrome\content\sahtoolbar.js c:\program files\SelectRebates\FFToolbar\chrome\content\sahtoolbar.xul c:\program files\SelectRebates\FFToolbar\chrome\locale\en-US\contents.rdf c:\program files\SelectRebates\FFToolbar\chrome\locale\en-US\sahtoolbar.dtd c:\program files\SelectRebates\FFToolbar\chrome\locale\en-US\sahtoolbar.dtd.skin c:\program files\SelectRebates\FFToolbar\chrome\locale\en-US\sahtoolbar.properties c:\program files\SelectRebates\FFToolbar\chrome\skin\3rdParty.png c:\program files\SelectRebates\FFToolbar\chrome\skin\add-folderplus.png c:\program files\SelectRebates\FFToolbar\chrome\skin\add-plussign.png c:\program files\SelectRebates\FFToolbar\chrome\skin\alert-blue.png c:\program files\SelectRebates\FFToolbar\chrome\skin\alert-red.png c:\program files\SelectRebates\FFToolbar\chrome\skin\bluebar.png c:\program files\SelectRebates\FFToolbar\chrome\skin\dollarsign.png c:\program files\SelectRebates\FFToolbar\chrome\skin\FindWords.png c:\program files\SelectRebates\FFToolbar\chrome\skin\gripper.png c:\program files\SelectRebates\FFToolbar\chrome\skin\icon-magnifying.png c:\program files\SelectRebates\FFToolbar\chrome\skin\invite.png c:\program files\SelectRebates\FFToolbar\chrome\skin\invite2.png c:\program files\SelectRebates\FFToolbar\chrome\skin\my-blue.png c:\program files\SelectRebates\FFToolbar\chrome\skin\my-gray.png c:\program files\SelectRebates\FFToolbar\chrome\skin\my-green.png c:\program files\SelectRebates\FFToolbar\chrome\skin\my-red.png c:\program files\SelectRebates\FFToolbar\chrome\skin\Options.png c:\program files\SelectRebates\FFToolbar\chrome\skin\S.png c:\program files\SelectRebates\FFToolbar\chrome\skin\SAH-LogoHotSpots.png c:\program files\SelectRebates\FFToolbar\chrome\skin\SAH-logotext.png c:\program files\SelectRebates\FFToolbar\chrome\skin\SAH-mainlogo-v1.png c:\program files\SelectRebates\FFToolbar\chrome\skin\SAH-mainlogo-v2.png c:\program files\SelectRebates\FFToolbar\chrome\skin\sahtoolbar.css c:\program files\SelectRebates\FFToolbar\chrome\skin\Scissors.png c:\program files\SelectRebates\FFToolbar\chrome\skin\Search.png c:\program files\SelectRebates\FFToolbar\chrome\skin\shoppingcart.png c:\program files\SelectRebates\FFToolbar\chrome\skin\singleperson.png c:\program files\SelectRebates\FFToolbar\chrome\skin\star.png c:\program files\SelectRebates\FFToolbar\chrome\skin\thumb2.png c:\program files\SelectRebates\FFToolbar\chrome\skin\Thumbs.db c:\program files\SelectRebates\FFToolbar\chrome\skin\toolbar-images-ALL.png c:\program files\SelectRebates\FFToolbar\chrome\skin\Toolbar_HelpAndFeedback.png c:\program files\SelectRebates\FFToolbar\chrome\skin\Wrench.png c:\program files\SelectRebates\FFToolbar\defaults\preferences\sahtoolbar.js c:\program files\SelectRebates\FFToolbar\install.rdf c:\program files\SelectRebates\SahImages\bg-gradient.gif c:\program files\SelectRebates\SahImages\button-close.gif c:\program files\SelectRebates\SahImages\button-finish.gif c:\program files\SelectRebates\SahImages\icon-desktop.gif c:\program files\SelectRebates\SahImages\sah-logopoplg.gif c:\program files\SelectRebates\SelectAlerts.dat c:\program files\SelectRebates\SelectRebates.dll c:\program files\SelectRebates\SelectRebates.ini c:\program files\SelectRebates\SelectRebatesA.dat c:\program files\SelectRebates\SelectRebatesApi.exe c:\program files\SelectRebates\SelectRebatesApi.ini c:\program files\SelectRebates\SelectRebatesB.dat c:\program files\SelectRebates\SelectRebatesBT.dat c:\program files\SelectRebates\SelectRebatesUninstall.exe c:\program files\SelectRebates\SelectRebatesUninstall.ini c:\program files\SelectRebates\Toolbar\Add.bmp c:\program files\SelectRebates\Toolbar\AdvancedOptions.html c:\program files\SelectRebates\Toolbar\basis.xml c:\program files\SelectRebates\Toolbar\Basis.xml.dym c:\program files\SelectRebates\Toolbar\Blank.bmp c:\program files\SelectRebates\Toolbar\button-CloseWindow.gif c:\program files\SelectRebates\Toolbar\i_clipboard.bmp c:\program files\SelectRebates\Toolbar\i_help.bmp c:\program files\SelectRebates\Toolbar\i_magnifying.bmp c:\program files\SelectRebates\Toolbar\icons.bmp c:\program files\SelectRebates\Toolbar\Invite.bmp c:\program files\SelectRebates\Toolbar\logo.bmp c:\program files\SelectRebates\Toolbar\logo_24.bmp c:\program files\SelectRebates\Toolbar\logo_HotSpots.bmp c:\program files\SelectRebates\Toolbar\MyNew.bmp c:\program files\SelectRebates\Toolbar\MyNone.bmp c:\program files\SelectRebates\Toolbar\MyPage.bmp c:\program files\SelectRebates\Toolbar\Rate.bmp c:\program files\SelectRebates\Toolbar\RightControls.dym c:\program files\SelectRebates\Toolbar\sah_logo_bars.gif c:\program files\SelectRebates\Toolbar\Scissors.bmp c:\program files\SelectRebates\Toolbar\ShopAtHomeToolbar.dll c:\program files\SelectRebates\Toolbar\Tools.bmp c:\program files\SelectRebates\Toolbar\Tools2.bmp c:\program files\Spyware Guard 2009 c:\program files\Spyware Guard 2009\conf.cfg c:\program files\Spyware Guard 2009\mbase.vdb c:\program files\Spyware Guard 2009\quarantine.vdb c:\program files\Spyware Guard 2009\queue.vdb c:\program files\Spyware Guard 2009\vbase.vdb c:\windows\system32\404Fix.exe c:\windows\system32\adzgalore-remove.exe c:\windows\system32\Agent.OMZ.Fix.exe c:\windows\system32\cont_adzgalore-remove.exe c:\windows\system32\dumphive.exe c:\windows\system32\IEDFix.C.exe c:\windows\system32\IEDFix.exe c:\windows\system32\nsz9.dll c:\windows\system32\o4Patch.exe c:\windows\system32\Process.exe c:\windows\system32\SrchSTS.exe c:\windows\system32\tijikegzzw.dll c:\windows\system32\tmp.reg c:\windows\system32\VACFix.exe c:\windows\system32\VCCLSID.exe c:\windows\system32\WS2Fix.exe c:\windows\system32\ybdmqswfypm.dll C:\xcrashdump.dat . ((((((((((((((((((((((((((((( Fichiers créés du 2008-12-27 au 2009-01-27 )))))))))))))))))))))))))))))))))))) . 2009-01-27 16:32 . 2009-01-27 16:32 d-------- C:\rsit 2009-01-27 15:51 . 2009-01-27 15:51 d-------- c:\documents and settings\All Users\Application Data\WinZip 2009-01-27 15:15 . 2009-01-27 15:15 d-------- c:\program files\Avira 2009-01-27 15:15 . 2009-01-27 15:15 d-------- c:\documents and settings\All Users\Application Data\Avira 2009-01-27 15:10 . 2009-01-27 15:10 d-------- c:\windows\SxsCaPendDel 2009-01-27 14:53 . 2009-01-27 14:53 d-------- c:\program files\CCleaner 2009-01-21 19:33 . 2009-01-27 14:45 85,662 --a------ c:\windows\system32\63828c25-15ab-c29b-17a7-20abefc3c6e1.exe 2009-01-21 16:52 . 2009-01-21 16:52 666,624 --a------ c:\windows\system32\nsk1B.dll 2009-01-21 16:52 . 2009-01-21 16:52 666,624 --a------ c:\windows\system32\nsb74.dll 2009-01-19 22:08 . 2009-01-19 22:08 850 --a------ c:\windows\system32\ProductTweaks.xml 2009-01-19 22:08 . 2009-01-19 22:08 385 --a------ c:\windows\system32\user_gensett.xml 2009-01-19 11:27 . 2009-01-19 11:27 d-------- c:\program files\BitDefender 2009-01-19 11:25 . 2009-01-19 11:25 d-------- c:\program files\Fichiers communs\BitDefender 2009-01-15 17:46 . 2009-01-15 17:46 285 --a------ c:\windows\system32\MRT.INI 2009-01-05 17:30 . 2009-01-05 17:30 683,008 --a------ c:\windows\system32\nsz19.dll 2009-01-05 17:30 . 2009-01-05 17:30 683,008 --a------ c:\windows\system32\nso14.dll 2009-01-05 17:30 . 2009-01-05 17:30 683,008 --a------ c:\windows\system32\nsi10.dll 2009-01-05 17:30 . 2009-01-05 17:30 683,008 --a------ c:\windows\system32\nsg15.dll 2009-01-05 17:30 . 2009-01-05 17:30 683,008 --a------ c:\windows\system32\nse13.dll . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2009-01-27 14:12 48,260 ----a-w c:\windows\system32\iaiajuhmfdv.exe 2009-01-27 14:08 81,984 ----a-w c:\windows\system32\bdod.bin 2009-01-16 17:43 69,007 ----a-w c:\windows\system32\tijikegzzw.dll-uninst.exe 2008-12-21 19:23 --------- d-----w c:\documents and settings\maman\Application Data\EoRezo 2008-12-21 18:44 --------- d-----w c:\program files\Ubisoft 2008-12-12 17:02 3,088,896 ------w c:\windows\system32\dllcache\mshtml.dll 2008-12-11 10:57 333,952 ----a-w c:\windows\system32\drivers\srv.sys 2008-12-11 10:57 333,952 ------w c:\windows\system32\dllcache\srv.sys 2008-12-01 14:23 675,840 ----a-w c:\windows\system32\nsl13.dll 2008-12-01 14:20 673,280 ----a-w c:\windows\system32\nsu12.dll 2008-12-01 14:11 672,256 ----a-w c:\windows\system32\nsg13.dll 2008-12-01 14:05 674,816 ----a-w c:\windows\system32\nsw15.dll 2008-12-01 13:57 675,840 ----a-w c:\windows\system32\nsb9.dll 2008-12-01 13:55 672,256 ----a-w c:\windows\system32\nsuC.dll 2008-12-01 13:48 675,840 ----a-w c:\windows\system32\nse21.dll 2008-12-01 13:32 673,792 ----a-w c:\windows\system32\nsu10.dll 2008-12-17 23:04 67,688 ----a-w c:\program files\mozilla firefox\components\jar50.dll 2008-12-17 23:04 54,368 ----a-w c:\program files\mozilla firefox\components\jsd3250.dll 2008-12-17 23:04 34,944 ----a-w c:\program files\mozilla firefox\components\myspell.dll 2008-12-17 23:04 46,712 ----a-w c:\program files\mozilla firefox\components\spellchk.dll 2008-12-17 23:04 172,136 ----a-w c:\program files\mozilla firefox\components\xpinstal.dll 2009-01-21 15:52 675,840 ----a-w c:\program files\mozilla firefox\components\5b9a60a8-0837-64c9-ffb4-e63ab9b7fede.dll . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{c7cbf8fe-0f39-2b0d-ba40-3a06314aae13}] 2009-01-21 16:52 666624 --a------ c:\windows\system32\nsb74.dll [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] "MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184] "Veoh"="c:\program files\Veoh Networks\Veoh\VeohClient.exe" [2008-09-26 3660848] "VeohPlugin"="c:\program files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe" [2008-12-16 3528440] "ccleaner"="c:\program files\CCleaner\CCleaner.exe" [2009-01-20 1451248] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SoftwareHelper"="c:\documents and settings\Killerx\Application Data\eoRezo\SoftwareUpdate\SoftwareUpdateHP.exe" [2008-12-09 368224] "avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360] "NvMediaCenter"="c:\windows\System32\NVMCTRAY.DLL" [2003-07-28 49152] c:\documents and settings\Killerx\Menu D‚marrer\Programmes\D‚marrage\ OpenOffice.org 2.4.lnk - c:\program files\OpenOffice.org 2.4\program\quickstart.exe [2008-01-21 393216] c:\documents and settings\Killerx\Menu D‚marrer\Programmes\D‚marrage\ OpenOffice.org 2.4.lnk - c:\program files\OpenOffice.org 2.4\program\quickstart.exe [2008-01-21 393216] c:\documents and settings\Killerx\Menu D‚marrer\Programmes\D‚marrage\ OpenOffice.org 2.4.lnk - c:\program files\OpenOffice.org 2.4\program\quickstart.exe [2008-01-21 393216] c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\ WinZip Quick Pick.lnk - c:\program files\WinZip\WZQKPICK.EXE [2009-01-20 525664] [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"="0x00000000" "UpdatesDisableNotify"="0x00000000" [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "c:\Program Files\Messenger\msmsgs.exe"= "c:\Program Files\LimeWire\LimeWire.exe"= "%windir%\Network Diagnostic\xpnetdiag.exe"= "c:\Program Files\Windows Live\Messenger\msnmsgr.exe"= "c:\Program Files\Windows Live\Messenger\livecall.exe"= "c:\Program Files\Veoh Networks\Veoh\VeohClient.exe"= "c:\Program Files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe"= R1 o2adj;o2adj;c:\windows\system32\drivers\o2adj.sys [2003-06-23 10248] S4 BDVEDISK;BDVEDISK;\??\c:\program files\BitDefender\BitDefender 2009\BDVEDISK.sys --> c:\program files\BitDefender\BitDefender 2009\BDVEDISK.sys [?] --- Autres Services/Pilotes en mémoire --- *NewlyCreated* - SSMDRV . - - - - ORPHELINS SUPPRIMES - - - - BHO-{82029796-526B-8574-9A3E-2EBBA69ADFB7} - c:\windows\system32\tijikegzzw.dll BHO-{A80FDBF7-8836-C4C7-7999-80AB948501C4} - c:\windows\system32\ybdmqswfypm.dll HKLM-Run-EoEngine - (no file) Notify-284815e0515 - c:\windows\System32\kbdusr32.dll Notify-__c00CA750 - c:\windows\system32\__c00CA750.dat . ------- Examen supplémentaire ------- . uInternet Connection Wizard,ShellNext = hxxp://www.acer.com/ FF - ProfilePath - c:\documents and settings\Killerx\Application Data\Mozilla\Firefox\Profiles\s48cxeva.default\ FF - prefs.js: browser.search.defaulturl - hxxp://www3.yoog.com/search.php?q= FF - prefs.js: browser.search.selectedEngine - Yoog Search FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/ FF - prefs.js: keyword.URL - hxxp://www3.yoog.com/search.php?q= FF - component: c:\program files\Mozilla Firefox\components\5b9a60a8-0837-64c9-ffb4-e63ab9b7fede.dll FF - component: c:\program files\Mozilla Firefox\components\xpinstal.dll FF - plugin: c:\documents and settings\All Users\Application Data\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll FF - plugin: c:\program files\Mozilla Firefox\plugins\npzylomgamesplayer.dll FF - plugin: c:\program files\Veoh Networks\Veoh\Plugins\noreg\NPVeohVersion.dll FF - plugin: c:\program files\Veoh Networks\VeohWebPlayer\NPVeohTVPlugin.dll FF - plugin: c:\program files\Veoh Networks\VeohWebPlayer\npWebPlayerVideoPluginATL.dll ---- PARAMETRES FIREFOX ---- FF - user.js: google.toolbar.linkdoctor.enabled - false FF - user.js: browser.search.defaultenginename - Yoog Search FF - user.js: browser.search.defaulturl - hxxp://www3.yoog.com/search.php?q= FF - user.js: browser.search.selectedEngine - Yoog Search FF - user.js: keyword.URL - hxxp://www3.yoog.com/search.php?q= FF - user.js: keyword.enabled - true . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-01-27 16:53:17 Windows 5.1.2600 Service Pack 3 FAT NTAPI Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: 0 ************************************************************************** . Heure de fin: 2009-01-27 16:54:14 ComboFix-quarantined-files.txt 2009-01-27 15:54:14 Avant-CF: 12 118 425 600 octets libres Après-CF: 12,728,320,000 octets libres WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /fastdetect /NoExecute=OptIn 292 --- E O F --- 2009-01-15 16:47:46

Destrio5 · Answer

---> Fais analyser ce fichier : c:\windows\system32
sg15.dll 

---> Sur VirusTotal et poste le lien de l'analyse :
https://www.virustotal.com/gui/

anne_laure40 · Answer

http://www.virustotal.com/vt/fr/recepcion?12d009eb5cc9dda467d2c80e200862cf

je crois que j'ai du faire une erreur quelque part???

Destrio5 · Answer

Le lien n'est pas bon.

anne_laure40 · Answer

je ne trouve pas ce que tu m'a demandé de faire analyser
ca se trouve où? ou je recopie?

Destrio5 · Answer

---> Télécharge Malwarebytes' Anti-Malware (MBAM) sur ton Bureau.
---> Double-clique sur le fichier téléchargé pour lancer le processus d'installation.
---> Dans l'onglet Mise à jour, clique sur le bouton Recherche de mise à jour : si le pare-feu demande l'autorisation à MBAM de se connecter à Internet, accepte.
---> Une fois la mise à jour terminée, rends-toi dans l'onglet Recherche.
---> Sélectionne Exécuter un examen rapide.
---> Clique sur Rechercher. L'analyse démarre.

A la fin de l'analyse, un message s'affiche :

L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.

---> Clique sur OK pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
---> Ferme tes navigateurs.
Si des malwares ont été détectés, clique sur Afficher les résultats.
---> Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre infectés et en mettre une copie dans la quarantaine.
---> MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport dans ta prochaine réponse.

anne_laure40 · Answer

Malwarebytes' Anti-Malware 1.33
Version de la base de données: 1698
Windows 5.1.2600 Service Pack 3

27/01/2009 17:25:11
mbam-log-2009-01-27 (17-25-11).txt

Type de recherche: Examen rapide
Eléments examinés: 51128
Temps écoulé: 3 minute(s), 34 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 5
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\Interface\{cd796033-04ae-4b69-8cb2-92bd6c2aaa27} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{be2ce3a1-0e47-4f12-a243-8fccced94209} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\{f7759abc-b7d8-437c-adc4-b35f2e1692cc} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{c7cbf8fe-0f39-2b0d-ba40-3a06314aae13} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{c7cbf8fe-0f39-2b0d-ba40-3a06314aae13} (Adware.BHO) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Program Files\EoRezo (Rogue.Eorezo) -> Delete on reboot.
C:\WINDOWS\system32
sb74.dll (Adware.BHO) -> Quarantined and deleted successfully.





voilà le rapport

Destrio5 · Answer

---> Relance MBAM, va dans Quarantaine et supprime tout.

- Fais un scan en ligne ici https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr (Avec Internet Explorer).

- En bas à droite, clique sur Démarrer Online-scanner.

- Dans la nouvelle fenêtre qui s'affiche, clique sur J'accepte.

- Accepte les Contrôles ActiveX.

- Choisis Poste de travail pour le scan.

- Celui-ci terminé, sauvegarde (Choisis fichier texte) et poste le rapport.

- Pour t'aider à utiliser le scan en ligne :
https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId291566

NOTE : Si tu reçois le message La licence de Kaspersky On-line Scanner est périmée, va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte-toi sur le site de Kaspersky pour retenter le scan en ligne.

anne_laure40 · Answer

je vais devoir arrêter pour le moment.
je reviendrais ce soir ou demain matin
merci de ton aide

Destrio5 · Answer

Ok ;)

anne_laure40 · Answer

bonjour

me revoilà, voici le rapport. Ca a mis près de 5h. Et tous du long, j'ai reçu des messages d'alerte d'antivir

-------------------------------------------------------------------------------
 KASPERSKY ON-LINE SCANNER REPORT
 Wednesday, January 28, 2009 11:44:39 AM
 Système d'exploitation : Microsoft Windows XP Home Edition, Service Pack 3 (Build 2600)
 Kaspersky On-line Scanner version : 5.0.84.2
 Dernière mise à jour de la base antivirus Kaspersky : 28/01/2009
 Enregistrements dans la base antivirus Kaspersky : 1546357
-------------------------------------------------------------------------------

Paramètres d'analyse:
	Analyser avec la base antivirus suivante: standard
	Analyser les archives: vrai
	Analyser les bases de messagerie: vrai

Cible de l'analyse - Poste de travail:
	A:\
	C:\
	E:\
	F:\
	G:\
	H:\

Statistiques de l'analyse:
	Total d'objets analysés: 47269
	Nombre de virus trouvés: 0
	Nombre d'objets infectés: 0 / 0
	Nombre d'objets suspects: 0
	Durée de l'analyse: 04:33:56

Nom de l'objet infecté / Nom du virus / Dernière action
C:\WINDOWS\system32\config\system.LOG	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\software.LOG	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\default.LOG	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\SECURITY	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\SAM	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\SAM.LOG	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\SECURITY.LOG	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\SYSTEM	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\SOFTWARE	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\DEFAULT	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\SysEvent.Evt	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\AppEvent.Evt	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\SecEvent.Evt	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER	L'objet est verrouillé	ignoré
C:\WINDOWS\system32
si10.dll	L'objet est verrouillé	ignoré
C:\WINDOWS\system32
so14.dll	L'objet est verrouillé	ignoré
C:\WINDOWS\system32
sz19.dll	L'objet est verrouillé	ignoré
C:\WINDOWS\system32
se13.dll	L'objet est verrouillé	ignoré
C:\WINDOWS\system32
sg15.dll	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\CatRoot2	mp.edb	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\CatRoot2\edb.log	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\h323log.txt	L'objet est verrouillé	ignoré
C:\WINDOWS\Debug\PASSWD.LOG	L'objet est verrouillé	ignoré
C:\WINDOWS\SchedLgU.Txt	L'objet est verrouillé	ignoré
C:\WINDOWS\WindowsUpdate.log	L'objet est verrouillé	ignoré
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log	L'objet est verrouillé	ignoré
C:\WINDOWS\SoftwareDistribution\DataStore\Logs	mp.edb	L'objet est verrouillé	ignoré
C:\WINDOWS\SoftwareDistribution\DataStore\Logs\edb.log	L'objet est verrouillé	ignoré
C:\WINDOWS\SoftwareDistribution\DataStore\DataStore.edb	L'objet est verrouillé	ignoré
C:\Documents and Settings\NetworkService\NTUSER.DAT	L'objet est verrouillé	ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG	L'objet est verrouillé	ignoré
C:\Documents and Settings\NetworkService
tuser.dat.LOG	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService\NTUSER.DAT	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService\Cookies\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService
tuser.dat.LOG	L'objet est verrouillé	ignoré
C:\Documents and Settings\Killerx\NTUSER.DAT	L'objet est verrouillé	ignoré
C:\Documents and Settings\Killerx\NTUSER.DAT.LOG	L'objet est verrouillé	ignoré
C:\Documents and Settings\Killerx\Local Settings\Temp\~DF4007.tmp	L'objet est verrouillé	ignoré
C:\Documents and Settings\Killerx\Local Settings\Temp\Perflib_Perfdata_1f4.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\Killerx\Local Settings\Temp\Perflib_Perfdata_1ec.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\Killerx\Local Settings\Historique\History.IE5\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\Killerx\Local Settings\Historique\History.IE5\MSHist012009012820090129\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\Killerx\Local Settings\Temporary Internet Files\Content.IE5\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\Killerx\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\Killerx\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG	L'objet est verrouillé	ignoré
C:\Documents and Settings\Killerx\Mes documents\NOD32_v3_FiX_1.1-TemDono\NOD32_v3_FiX_1.1-TemDono.exe	L'objet est verrouillé	ignoré
C:\Documents and Settings\Killerx\Mes documents\Mes vidéos\Veoh\player\client.log	L'objet est verrouillé	ignoré
C:\Documents and Settings\Killerx\Mes documents\Mes vidéos\Veoh\player\upload.log	L'objet est verrouillé	ignoré
C:\Documents and Settings\Killerx\Cookies\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\maman\Bureau\install_LimeWire Basic_.exe	L'objet est verrouillé	ignoré
C:\Program Files\ESET\ESET Smart Security\NOD32_v3_FiX_1.1-TemDono.exe	L'objet est verrouillé	ignoré
C:\Program Files\Veoh Networks\Veoh\upload.log	L'objet est verrouillé	ignoré
C:\Program Files\Veoh Networks\Veoh\client.log	L'objet est verrouillé	ignoré
C:\Program Files\Sunbelt Software\Personal Firewall\Logs\SbFw.etl	L'objet est verrouillé	ignoré
C:\Program Files\Sunbelt Software\Personal Firewall\Logs\debug.log	L'objet est verrouillé	ignoré
C:\Program Files\Sunbelt Software\Personal Firewall\Logs\debug.log.idx	L'objet est verrouillé	ignoré
C:\Program Files\Sunbelt Software\Personal Firewall\Logs\error.log	L'objet est verrouillé	ignoré
C:\Program Files\Sunbelt Software\Personal Firewall\Logs\error.log.idx	L'objet est verrouillé	ignoré
C:\Program Files\Sunbelt Software\Personal Firewall\Logs\hips.log	L'objet est verrouillé	ignoré
C:\Program Files\Sunbelt Software\Personal Firewall\Logs\hips.log.idx	L'objet est verrouillé	ignoré
C:\Program Files\Sunbelt Software\Personal Firewall\Logs\ids.log	L'objet est verrouillé	ignoré
C:\Program Files\Sunbelt Software\Personal Firewall\Logs\ids.log.idx	L'objet est verrouillé	ignoré
C:\Program Files\Sunbelt Software\Personal Firewall\Logs
etwork.log	L'objet est verrouillé	ignoré
C:\Program Files\Sunbelt Software\Personal Firewall\Logs
etwork.log.idx	L'objet est verrouillé	ignoré
C:\Program Files\Sunbelt Software\Personal Firewall\Logs\system.log	L'objet est verrouillé	ignoré
C:\Program Files\Sunbelt Software\Personal Firewall\Logs\SbFwIm.etl	L'objet est verrouillé	ignoré
C:\Program Files\Sunbelt Software\Personal Firewall\Logs\system.log.idx	L'objet est verrouillé	ignoré
C:\Program Files\Sunbelt Software\Personal Firewall\Logs\warning.log	L'objet est verrouillé	ignoré
C:\Program Files\Sunbelt Software\Personal Firewall\Logs\warning.log.idx	L'objet est verrouillé	ignoré
C:\Program Files\Sunbelt Software\Personal Firewall\Logs\web.log	L'objet est verrouillé	ignoré
C:\Program Files\Sunbelt Software\Personal Firewall\Logs\web.log.idx	L'objet est verrouillé	ignoré
C:\System Volume Information\_restore{BDEC2AB6-D930-4ED2-9A77-E7D0455111F1}\RP118\A0025613.dll	L'objet est verrouillé	ignoré
C:\System Volume Information\_restore{BDEC2AB6-D930-4ED2-9A77-E7D0455111F1}\RP119\A0025781.dll	L'objet est verrouillé	ignoré
C:\System Volume Information\_restore{BDEC2AB6-D930-4ED2-9A77-E7D0455111F1}\RP120\A0025786.dll	L'objet est verrouillé	ignoré
C:\System Volume Information\_restore{BDEC2AB6-D930-4ED2-9A77-E7D0455111F1}\RP120\A0025822.dll	L'objet est verrouillé	ignoré
C:\System Volume Information\_restore{BDEC2AB6-D930-4ED2-9A77-E7D0455111F1}\RP121\A0025829.dll	L'objet est verrouillé	ignoré
C:\System Volume Information\_restore{BDEC2AB6-D930-4ED2-9A77-E7D0455111F1}\RP121\A0025837.dll	L'objet est verrouillé	ignoré
C:\System Volume Information\_restore{BDEC2AB6-D930-4ED2-9A77-E7D0455111F1}\RP121\A0025859.dll	L'objet est verrouillé	ignoré
C:\System Volume Information\_restore{BDEC2AB6-D930-4ED2-9A77-E7D0455111F1}\RP121\A0025874.dll	L'objet est verrouillé	ignoré
C:\System Volume Information\_restore{BDEC2AB6-D930-4ED2-9A77-E7D0455111F1}\RP121\A0025885.dll	L'objet est verrouillé	ignoré
C:\System Volume Information\_restore{BDEC2AB6-D930-4ED2-9A77-E7D0455111F1}\RP123\A0025957.dll	L'objet est verrouillé	ignoré
C:\System Volume Information\_restore{BDEC2AB6-D930-4ED2-9A77-E7D0455111F1}\RP123\A0025973.dll	L'objet est verrouillé	ignoré
C:\System Volume Information\_restore{BDEC2AB6-D930-4ED2-9A77-E7D0455111F1}\RP123\A0025981.dll	L'objet est verrouillé	ignoré
C:\System Volume Information\_restore{BDEC2AB6-D930-4ED2-9A77-E7D0455111F1}\RP124\A0025986.dll	L'objet est verrouillé	ignoré
C:\System Volume Information\_restore{BDEC2AB6-D930-4ED2-9A77-E7D0455111F1}\RP124\A0025993.dll	L'objet est verrouillé	ignoré
C:\System Volume Information\_restore{BDEC2AB6-D930-4ED2-9A77-E7D0455111F1}\RP124\A0026006.dll	L'objet est verrouillé	ignoré
C:\System Volume Information\_restore{BDEC2AB6-D930-4ED2-9A77-E7D0455111F1}\RP125\A0026073.dll	L'objet est verrouillé	ignoré
C:\System Volume Information\_restore{BDEC2AB6-D930-4ED2-9A77-E7D0455111F1}\RP125\A0026097.dll	L'objet est verrouillé	ignoré
C:\System Volume Information\_restore{BDEC2AB6-D930-4ED2-9A77-E7D0455111F1}\RP126\A0026861.dll	L'objet est verrouillé	ignoré
C:\System Volume Information\_restore{BDEC2AB6-D930-4ED2-9A77-E7D0455111F1}\RP126\A0026901.dll	L'objet est verrouillé	ignoré
C:\System Volume Information\_restore{BDEC2AB6-D930-4ED2-9A77-E7D0455111F1}\RP127\A0026966.dll	L'objet est verrouillé	ignoré
C:\System Volume Information\_restore{BDEC2AB6-D930-4ED2-9A77-E7D0455111F1}\RP127\A0026981.dll	L'objet est verrouillé	ignoré
C:\System Volume Information\_restore{BDEC2AB6-D930-4ED2-9A77-E7D0455111F1}\RP127\A0027054.dll	L'objet est verrouillé	ignoré
C:\System Volume Information\_restore{BDEC2AB6-D930-4ED2-9A77-E7D0455111F1}\RP127\A0027094.dll	L'objet est verrouillé	ignoré
C:\System Volume Information\_restore{BDEC2AB6-D930-4ED2-9A77-E7D0455111F1}\RP130\A0027558.dll	L'objet est verrouillé	ignoré
C:\System Volume Information\_restore{BDEC2AB6-D930-4ED2-9A77-E7D0455111F1}\RP130\A0027577.dll	L'objet est verrouillé	ignoré
C:\System Volume Information\_restore{BDEC2AB6-D930-4ED2-9A77-E7D0455111F1}\RP130\A0028571.dll	L'objet est verrouillé	ignoré
C:\System Volume Information\_restore{BDEC2AB6-D930-4ED2-9A77-E7D0455111F1}\RP130\A0028659.dll	L'objet est verrouillé	ignoré
C:\System Volume Information\_restore{BDEC2AB6-D930-4ED2-9A77-E7D0455111F1}\RP130\A0028711.dll	L'objet est verrouillé	ignoré
C:\System Volume Information\_restore{BDEC2AB6-D930-4ED2-9A77-E7D0455111F1}\RP130\A0028744.dll	L'objet est verrouillé	ignoré
C:\System Volume Information\_restore{BDEC2AB6-D930-4ED2-9A77-E7D0455111F1}\RP131\A0028784.dll	L'objet est verrouillé	ignoré
C:\System Volume Information\_restore{BDEC2AB6-D930-4ED2-9A77-E7D0455111F1}\RP134\A0031102.dll	L'objet est verrouillé	ignoré
C:\System Volume Information\_restore{BDEC2AB6-D930-4ED2-9A77-E7D0455111F1}\RP136\A0031160.exe	L'objet est verrouillé	ignoré
C:\System Volume Information\_restore{BDEC2AB6-D930-4ED2-9A77-E7D0455111F1}\RP137\A0031285.dll	L'objet est verrouillé	ignoré
C:\System Volume Information\_restore{BDEC2AB6-D930-4ED2-9A77-E7D0455111F1}\RP137\A0031306.dll	L'objet est verrouillé	ignoré
C:\System Volume Information\_restore{BDEC2AB6-D930-4ED2-9A77-E7D0455111F1}\RP138\change.log	L'objet est verrouillé	ignoré
C:\Qoobox\Quarantine\C\WINDOWS\system32
sz9.dll.vir	L'objet est verrouillé	ignoré
C:\Qoobox\Quarantine\C\WINDOWS\system32	ijikegzzw.dll.vir	L'objet est verrouillé	ignoré

Analyse terminée.

Destrio5 · Answer

/!\ Seul anne_laure40 peut suivre cette procédure /!\


1/

---> Ouvre le Bloc-notes.

---> Copie le texte ci-dessous par sélection puis Ctrl+C :






KillAll::

File::
c:\windows\system32\63828c25-15ab-c29b-17a7-20abefc3c6e1.exe
c:\windows\system32
sk1B.dll     
c:\windows\system32
sb74.dll   
c:\windows\system32
sz19.dll     
c:\windows\system32
so14.dll     
c:\windows\system32
si10.dll     
c:\windows\system32
sg15.dll     
c:\windows\system32
se13.dll  
c:\windows\system32\iaiajuhmfdv.exe  
c:\windows\system32	ijikegzzw.dll-uninst.exe   
c:\windows\system32
sl13.dll     
c:\windows\system32
su12.dll     
c:\windows\system32
sg13.dll     
c:\windows\system32
sw15.dll     
c:\windows\system32
sb9.dll     
c:\windows\system32
suC.dll     
c:\windows\system32
se21.dll     
c:\windows\system32
su10.dll  

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{c7cbf8fe-0f39-2b0d-ba40-3a06314aae13}]     






---> Colle la sélection dans le Bloc-notes.

---> Enregistre ce fichier sur le bureau (Impératif)

---> Nom du fichier : CFScript
---> Type du fichier : tous les fichiers
---> Clique sur Enregistrer.
---> Quitte le Bloc-notes.


2/

---> Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :
http://www.searchengines.pl/phpbb203/pliki/picasso/virus/programs/combofix/combofix_cfscript.gif

---> Une fenêtre bleue va apparaître : au message qui apparaît, tu acceptes.

---> Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal !
Ne touche à rien tant que le scan n'est pas terminé.

---> Une fois le scan achevé, un rapport va s'afficher : poste-le.

---> Si le fichier ne s'ouvre pas, il se trouve ici C:\Combofix.txt

anne_laure40 · Answer

Re voilà le rapport: ComboFix 09-01-21.04 - Killerx 2009-01-28 16:22:52.2 - [color=red][b]FAT32[/b][/color]x86 Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.1023.693 [GMT 1:00] Lancé depuis: c:\documents and settings\Killerx\Bureau\ComboFix.exe Commutateurs utilisés :: c:\documents and settings\Killerx\Bureau\CFScript.txt AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) AV: BitDefender Antivirus *On-access scanning disabled* (Updated) FW: Pare-feu BitDefender *disabled* FW: Sunbelt Personal Firewall *enabled* * Un nouveau point de restauration a été créé FILE :: c:\windows\system32\63828c25-15ab-c29b-17a7-20abefc3c6e1.exe c:\windows\system32\iaiajuhmfdv.exe c:\windows\system32 sb74.dll c:\windows\system32 sb9.dll c:\windows\system32 se13.dll c:\windows\system32 se21.dll c:\windows\system32 sg13.dll c:\windows\system32 sg15.dll c:\windows\system32 si10.dll c:\windows\system32 sk1B.dll c:\windows\system32 sl13.dll c:\windows\system32 so14.dll c:\windows\system32 su10.dll c:\windows\system32 su12.dll c:\windows\system32 suC.dll c:\windows\system32 sw15.dll c:\windows\system32 sz19.dll c:\windows\system32 ijikegzzw.dll-uninst.exe . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . c:\windows\system32\63828c25-15ab-c29b-17a7-20abefc3c6e1.exe c:\windows\system32\iaiajuhmfdv.exe c:\windows\system32 sb9.dll c:\windows\system32 se13.dll c:\windows\system32 se21.dll c:\windows\system32 sg13.dll c:\windows\system32 sg15.dll c:\windows\system32 si10.dll c:\windows\system32 sk1B.dll c:\windows\system32 sl13.dll c:\windows\system32 so14.dll c:\windows\system32 su10.dll c:\windows\system32 su12.dll c:\windows\system32 suC.dll c:\windows\system32 sw15.dll c:\windows\system32 sz19.dll c:\windows\system32 ijikegzzw.dll-uninst.exe . ((((((((((((((((((((((((((((( Fichiers créés du 2008-12-28 au 2009-01-28 )))))))))))))))))))))))))))))))))))) . 2009-01-28 07:01 . 2009-01-28 07:01 d-------- c:\program files\Sunbelt Software 2009-01-28 07:01 . 2008-10-31 07:09 270,888 -ra------ c:\windows\system32\drivers\SbFw.sys 2009-01-28 07:01 . 2008-06-21 04:54 65,576 --a------ c:\windows\system32\drivers\SbFwIm.sys 2009-01-28 06:57 . 2009-01-28 06:57 d--hs---- C:\FOUND.001 2009-01-28 04:39 . 2009-01-28 04:39 d-------- c:\documents and settings\All Users\Application Data\Blizzard 2009-01-28 04:30 . 2009-01-28 04:30 d-------- c:\program files\Fichiers communs\Blizzard Entertainment 2009-01-27 17:44 . 2009-01-27 17:44 d-------- c:\windows\system32\Kaspersky Lab 2009-01-27 17:20 . 2009-01-27 17:20 d-------- c:\program files\Malwarebytes' Anti-Malware 2009-01-27 17:20 . 2009-01-27 17:20 d-------- c:\documents and settings\Killerx\Application Data\Malwarebytes 2009-01-27 17:20 . 2009-01-27 17:20 d-------- c:\documents and settings\All Users\Application Data\Malwarebytes 2009-01-27 17:20 . 2009-01-14 16:11 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys 2009-01-27 17:20 . 2009-01-14 16:11 15,504 --a------ c:\windows\system32\drivers\mbam.sys 2009-01-27 16:32 . 2009-01-27 16:32 d-------- C: sit 2009-01-27 15:51 . 2009-01-27 15:51 d-------- c:\documents and settings\All Users\Application Data\WinZip 2009-01-27 15:15 . 2009-01-27 15:15 d-------- c:\program files\Avira 2009-01-27 15:15 . 2009-01-27 15:15 d-------- c:\documents and settings\All Users\Application Data\Avira 2009-01-27 15:10 . 2009-01-27 15:10 d-------- c:\windows\SxsCaPendDel 2009-01-27 14:53 . 2009-01-27 14:53 d-------- c:\program files\CCleaner 2009-01-19 22:08 . 2009-01-19 22:08 850 --a------ c:\windows\system32\ProductTweaks.xml 2009-01-19 22:08 . 2009-01-19 22:08 385 --a------ c:\windows\system32\user_gensett.xml 2009-01-19 11:27 . 2009-01-19 11:27 d-------- c:\program files\BitDefender 2009-01-19 11:25 . 2009-01-19 11:25 d-------- c:\program files\Fichiers communs\BitDefender 2009-01-15 17:46 . 2009-01-15 17:46 285 --a------ c:\windows\system32\MRT.INI . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2009-01-27 14:08 81,984 ----a-w c:\windows\system32\bdod.bin 2008-12-21 19:23 --------- d-----w c:\documents and settings\maman\Application Data\EoRezo 2008-12-21 18:44 --------- d-----w c:\program files\Ubisoft 2008-12-12 17:02 3,088,896 ------w c:\windows\system32\dllcache\mshtml.dll 2008-12-11 10:57 333,952 ----a-w c:\windows\system32\drivers\srv.sys 2008-12-11 10:57 333,952 ------w c:\windows\system32\dllcache\srv.sys 2008-12-17 23:04 67,688 ----a-w c:\program files\mozilla firefox\components\jar50.dll 2008-12-17 23:04 54,368 ----a-w c:\program files\mozilla firefox\components\jsd3250.dll 2008-12-17 23:04 34,944 ----a-w c:\program files\mozilla firefox\components\myspell.dll 2008-12-17 23:04 46,712 ----a-w c:\program files\mozilla firefox\components\spellchk.dll 2008-12-17 23:04 172,136 ----a-w c:\program files\mozilla firefox\components\xpinstal.dll 2009-01-21 15:52 675,840 ----a-w c:\program files\mozilla firefox\components\5b9a60a8-0837-64c9-ffb4-e63ab9b7fede.dll . ((((((((((((((((((((((((((((( snapshot@2009-01-27_16.53.32,50 ))))))))))))))))))))))))))))))))))))))))) . + 2009-01-28 06:01:38 18,718 ----a-r c:\windows\Installer\{82B1150E-9B37-49FC-83EB-D52197D900D0}\ARPPRODUCTICON.exe + 2009-01-28 06:01:38 18,718 ----a-r c:\windows\Installer\{82B1150E-9B37-49FC-83EB-D52197D900D0}\NewShortcut1_E659E0EE10E649B7869660F38D0EB174.exe + 2009-01-28 06:01:38 57,344 ----a-r c:\windows\Installer\{82B1150E-9B37-49FC-83EB-D52197D900D0}\NewShortcut4_C665E66BE8EF49DBB30B81BB5E60462C.exe + 2008-06-21 03:54:54 66,600 ----a-r c:\windows\system32\drivers\sbhips.sys + 2005-05-16 18:34:48 213,048 ----a-w c:\windows\system32\Kaspersky Lab\Kaspersky Online Scanner\kavss.dll + 2008-08-13 14:03:26 65,536 ----a-w c:\windows\system32\Kaspersky Lab\Kaspersky Online Scanner\kavuninstall.exe + 2008-08-13 14:03:26 798,720 ----a-w c:\windows\system32\Kaspersky Lab\Kaspersky Online Scanner\kavwebscan.dll . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] "MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184] "Veoh"="c:\program files\Veoh Networks\Veoh\VeohClient.exe" [2008-09-26 3660848] "VeohPlugin"="c:\program files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe" [2008-12-16 3528440] "ccleaner"="c:\program files\CCleaner\CCleaner.exe" [2009-01-20 1451248] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SoftwareHelper"="c:\documents and settings\Killerx\Application Data\eoRezo\SoftwareUpdate\SoftwareUpdateHP.exe" [2008-12-09 368224] "avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360] "NvMediaCenter"="c:\windows\System32\NVMCTRAY.DLL" [2003-07-28 49152] c:\documents and settings\Killerx\Menu D‚marrer\Programmes\D‚marrage\ OpenOffice.org 2.4.lnk - c:\program files\OpenOffice.org 2.4\program\quickstart.exe [2008-01-21 393216] c:\documents and settings\Killerx\Menu D‚marrer\Programmes\D‚marrage\ OpenOffice.org 2.4.lnk - c:\program files\OpenOffice.org 2.4\program\quickstart.exe [2008-01-21 393216] c:\documents and settings\Killerx\Menu D‚marrer\Programmes\D‚marrage\ OpenOffice.org 2.4.lnk - c:\program files\OpenOffice.org 2.4\program\quickstart.exe [2008-01-21 393216] c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\ WinZip Quick Pick.lnk - c:\program files\WinZip\WZQKPICK.EXE [2009-01-20 525664] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "c:\Program Files\Messenger\msmsgs.exe"= "c:\Program Files\LimeWire\LimeWire.exe"= "%windir%\Network Diagnostic\xpnetdiag.exe"= "c:\Program Files\Windows Live\Messenger\msnmsgr.exe"= "c:\Program Files\Windows Live\Messenger\livecall.exe"= "c:\Program Files\Veoh Networks\Veoh\VeohClient.exe"= "c:\Program Files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe"= R1 o2adj;o2adj;c:\windows\system32\drivers\o2adj.sys [2003-06-23 10248] R1 SbFw;SbFw;c:\windows\system32\drivers\SbFw.sys [2009-01-28 270888] R1 sbhips;Sunbelt HIPS Driver;c:\windows\system32\drivers\sbhips.sys [2008-06-21 66600] R3 SBFWIMCL;Sunbelt Software Firewall NDIS IM Filter Miniport;c:\windows\system32\drivers\SbFwIm.sys [2009-01-28 65576] R4 SbPF.Launcher;SbPF.Launcher;c:\program files\Sunbelt Software\Personal Firewall\SbPFLnch.exe [2008-10-31 95528] R4 SPF4;Sunbelt Personal Firewall 4;c:\program files\Sunbelt Software\Personal Firewall\SbPFSvc.exe [2008-10-31 1365288] S4 BDVEDISK;BDVEDISK;\??\c:\program files\BitDefender\BitDefender 2009\BDVEDISK.sys --> c:\program files\BitDefender\BitDefender 2009\BDVEDISK.sys [?] . . ------- Examen supplémentaire ------- . uInternet Connection Wizard,ShellNext = hxxp://www.acer.com/ FF - ProfilePath - c:\documents and settings\Killerx\Application Data\Mozilla\Firefox\Profiles\s48cxeva.default\ FF - prefs.js: browser.search.defaulturl - hxxp://www3.yoog.com/search.php?q= FF - prefs.js: browser.search.selectedEngine - Yoog Search FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/ FF - prefs.js: keyword.URL - hxxp://www3.yoog.com/search.php?q= FF - component: c:\program files\Mozilla Firefox\components\5b9a60a8-0837-64c9-ffb4-e63ab9b7fede.dll FF - component: c:\program files\Mozilla Firefox\components\xpinstal.dll ---- PARAMETRES FIREFOX ---- FF - user.js: google.toolbar.linkdoctor.enabled - false FF - user.js: browser.search.defaultenginename - Yoog Search FF - user.js: browser.search.defaulturl - hxxp://www3.yoog.com/search.php?q= FF - user.js: browser.search.selectedEngine - Yoog Search FF - user.js: keyword.URL - hxxp://www3.yoog.com/search.php?q= FF - user.js: keyword.enabled - true . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-01-28 16:29:09 Windows 5.1.2600 Service Pack 3 FAT NTAPI Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: 0 ************************************************************************** . ------------------------ Autres processus actifs ------------------------ . c:\program files\AVIRA\ANTIVIR PERSONALEDITION CLASSIC\SCHED.EXE c:\program files\AVIRA\ANTIVIR PERSONALEDITION CLASSIC\AVGUARD.EXE c:\windows\SYSTEM32\NVSVC32.EXE c:\program files\Sunbelt Software\Personal Firewall\SbPFCl.exe c:\program files\OPENOFFICE.ORG 2.4\PROGRAM\SOFFICE.EXE c:\program files\OPENOFFICE.ORG 2.4\PROGRAM\SOFFICE.BIN . ************************************************************************** . Heure de fin: 2009-01-28 16:32:44 - La machine a redémarré ComboFix-quarantined-files.txt 2009-01-28 15:32:38 ComboFix2.txt 2009-01-27 15:54:16 Avant-CF: 12 490 899 456 octets libres Après-CF: 12,472,172,544 octets libres 190 --- E O F --- 2009-01-15 16:47:46

Destrio5 · Answer

&#9679; Télécharge AD-Remover (de Cyrildu17 / C_XX) sur ton Bureau.

/!\ Déconnecte-toi et ferme toutes applications en cours /!\

&#9679; Double-clique sur le programme d'installation, installe-le dans son emplacement par défaut (C:\Program files).
&#9679; Double-clique sur le raccourci d'Ad-remover située sur ton Bureau.
&#9679; Au menu principal, choisis l'option "A".
&#9679; Poste le rapport qui apparaît à la fin.

(Le rapport est sauvegardé aussi sous C:\Ad-report(date).log)

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

Note :

"Process.exe", une composante de l'outil, est détectée par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, firewall...) d'où l'alerte émise par ces antivirus.

anne_laure40 · Answer

Encore une fois merci de ton aide

voici le rapport:


------- LOGFILE OF AD-REMOVER 1.0.9.3 | ONLY XP/VISTA -------

Updated by C_XX on 17/01/2009 at 12:00

Start at: 22:02:27 | Mer 28/01/2009 | Microsoft® Windows XP™  SP3 (V5.1.2600)
Boot mode: Normal
Option: SCAN | Executed from: C:\Program Files\Ad-remover\Ad-remover.bat
Pc: GUERIN | User: Killerx ( Current user is an administrator)
Drive(s): 
- C:\  (File System: FAT32)
System Drive: C:\
Windows Directory: C:\WINDOWS\
System Directory: C:\WINDOWS\System32\

--- Running Processes: 31

+--------------------| Boonty/Boonty Games Elements Found :

.
.

+--------------------| Eorezo Elements Found :

Process: "SOFTWAREUPDATEHP.EXE" [PID:~1640]
.
HKCR\Interface\{B0D071A1-36B3-4757-A126-14C89C56013A}
HKCR\Typelib\{B4C656C9-F2E9-4E77-B3F4-443DF2BD778F}
HKCU\SOFTWARE\EoRezo
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKLM\SOFTWARE\EoRezo
HKLM\SOFTWARE\Classes\CLSID\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\SOFTWAREHELPER
.
C:\Program Files\EoRezo
C:\Program Files\EoRezo\EoAdv
C:\Program Files\EoRezo\EoAdv\EoRezoBho.old
C:\Program Files\EoRezo\EoAdv\eoAdv.url
C:\Program Files\EoRezo\EoAdv\atl90.dll
C:\Program Files\EoRezo\EoAdv\mfc90.dll
C:\Program Files\EoRezo\EoAdv\msvcr90.dll
C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll
C:\Documents and Settings\Killerx\Application Data\EoRezo
C:\Documents and Settings\Killerx\Application Data\EoRezo\user.cyp
C:\Documents and Settings\Killerx\Application Data\EoRezo\host.cyp
C:\Documents and Settings\Killerx\Application Data\EoRezo\cmhost.cyp
C:\Documents and Settings\Killerx\Application Data\EoRezo\cache
C:\Documents and Settings\Killerx\Application Data\EoRezo\SoftwareUpdate
C:\Documents and Settings\Killerx\Application Data\EoRezo\db
C:\Documents and Settings\Killerx\Application Data\EoRezo\ConfMedia.cyp
C:\Documents and Settings\Killerx\Application Data\EoRezo\eoDesktop
C:\Documents and Settings\Killerx\Application Data\EoRezo\eoStats
C:\Documents and Settings\Killerx\Application Data\EoRezo\SoftwareUpdate\unins000.dat
C:\Documents and Settings\Killerx\Application Data\EoRezo\SoftwareUpdate\user_config.cyp
C:\Documents and Settings\Killerx\Application Data\EoRezo\SoftwareUpdate\SoftwareUpdate.exe
C:\Documents and Settings\Killerx\Application Data\EoRezo\SoftwareUpdate\SoftwareUpdateHP.exe
C:\Documents and Settings\Killerx\Application Data\EoRezo\SoftwareUpdate\user_profil.cyp
C:\Documents and Settings\Killerx\Application Data\EoRezo\SoftwareUpdate\unins000.exe
C:\Documents and Settings\Killerx\Application Data\EoRezo\db\cat.cyp
C:\Documents and Settings\Killerx\Application Data\EoRezo\eoDesktop\config.xml
C:\Documents and Settings\Killerx\Application Data\EoRezo\eoDesktop\userConfig.xml
C:\Documents and Settings\Killerx\Application Data\EoRezo\eoDesktop\eoDesktop.html
C:\Documents and Settings\Killerx\Application Data\EoRezo\eoStats\eoStats.txt

+--------------------| Everest Casino/Everest Poker Elements Found :

.
.

+--------------------| Funwebproducts/Myway/Mywebsearch/Myglobalsearch Elements Found :

.
.

+--------------------| It's TV Elements Found :

HKCU\SOFTWARE\ItsLabel
.
C:\Documents and Settings\Killerx\Application Data\ItsLabel
C:\Documents and Settings\Killerx\Application Data\ItsLabel\ItsTV
C:\Documents and Settings\Killerx\Application Data\ItsLabel\ItsTV\itsTV.xml

+--------------------| Sweetim Elements Found :

.
.

+--------------------| Added Scan :


+---------- SCANNING PREFS.JS ... ( # Mozilla user preferences )

..\s48cxeva.default\prefs.js :

~~~~ MOZILLA FIREFOX VERSION 2.0.0.20 ~~~~

* BROWSER SEARCH DEFAULT ENGINE:  "Yoog Search"
* BROWSER SEARCH SELECTED ENGINE:  "Google"
* BROWSER SEARCH DEFAULT URL:  "http://www3.yoog.com/search.php?q="
* BROWSER STARTUP HOMEPAGE:  "https://www.google.fr/?gws_rd=ssl"

.

+---------------------------------------------------------------------------+


~~~~ INTERNET EXPLORER VERSION 6.0.2900.5512 ~~~~

+--[HKEY_CURRENT_USER\..\INTERNET EXPLORER\MAIN]

Start page : hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

+--[HKEY_LOCAL_MACHINE\..\INTERNET EXPLORER\MAIN]

Start page : hxxp://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home

+---------------------------------------------------------------------------+

[~4565 BYTES] - "C:\AD-REPORT-SCAN-28.01.2009.LOG"

End at: 22:05:00 | 28/01/2009 - Time elapsed: 2 minutes, 32 seconds 

+---------------------------------------------------------------------------+
+------------------------------- [ E.O.F - 87 Lines ]
+---------------------------------------------------------------------------+

Destrio5 · Answer

/!\ Déconnecte-toi et ferme toutes applications en cours /!\

&#9679; Double-clique sur AD-Remover pour le lancer : au menu principal, choisis l'option B.

&#9679; Coche "A" à l'écran de sélection :
http://sd-1.archive-host.com/membres/up/16506160323759868/Capturer-ADR.JPG

&#9679; Puis choisis S, le programme va travailler.

&#9679; Poste le rapport qui apparaît à la fin.

(Le rapport est sauvegardé aussi sous C:\Ad-report.log)

/!\ Si le Bureau ne réapparaît pas, presse Ctrl + Alt + Suppr, Onglet "Fichier", "Nouvelle tâche", tape explorer.exe et valide) /!\

anne_laure40 · Answer

------- LOGFILE OF AD-REMOVER 1.0.9.3 | ONLY XP/VISTA -------

Updated by C_XX on 17/01/2009 at 12:00

*** LIMITED TO ***

Boonty/Boontygames
Eorezo
Everest casino/Everest poker
Funwebproduct/Myway/Mywebsearch
It's TV
Sweetim

******************

Start at: 22:14:03 | Mer 28/01/2009 | Microsoft® Windows XP™  SP3 (V5.1.2600)
Boot mode: Normal
Option: CLEAN | Executed from: C:\Program Files\Ad-remover\Ad-remover.bat
Pc: GUERIN | User: Killerx ( Current user is an administrator)
Drive(s): 
- C:\  (File System: FAT32)
System Drive: C:\
Windows Directory: C:\WINDOWS\
System Directory: C:\WINDOWS\System32\

--- Running Processes: 30

(!) ---- IE start pages reset

+--------------------| Boonty/Boonty Games Elements Deleted :

.
.

+--------------------| Eorezo Elements Deleted :

Process: "SOFTWAREUPDATEHP.EXE" [PID:~1640]
.
HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\SOFTWAREHELPER
HKCR\Interface\{B0D071A1-36B3-4757-A126-14C89C56013A}
HKCR\Typelib\{B4C656C9-F2E9-4E77-B3F4-443DF2BD778F}
HKCU\SOFTWARE\EoRezo
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKLM\SOFTWARE\EoRezo
HKLM\SOFTWARE\Classes\CLSID\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{64F56FC1-1272-44CD-BA6E-39723696E350}
.
C:\Program Files\EoRezo
C:\Documents and Settings\Killerx\Application Data\EoRezo

+--------------------| Everest Casino/Everest Poker Elements Deleted :

.
.

+--------------------| Funwebproducts/Myway/Mywebsearch/Myglobalsearch Elements Deleted :

.
.

+--------------------| It's TV Elements Deleted :

HKCU\SOFTWARE\ItsLabel
.
C:\Documents and Settings\Killerx\Application Data\ItsLabel

+--------------------| Sweetim Elements Deleted :

.
.

(!) ---- Temp files deleted.
(!) ---- Recycle bin emptied in all drives.


+--------------------| Added Scan :


+---------- SCANNING PREFS.JS ... ( # MOZILLA USER PREFERENCES )

..\s48cxeva.default\prefs.js :

~~~~ MOZILLA FIREFOX VERSION 2.0.0.20 ~~~~

* BROWSER SEARCH DEFAULT ENGINE:  "Yoog Search"
* BROWSER SEARCH SELECTED ENGINE:  "Google"
* BROWSER SEARCH DEFAULT URL:  "http://www3.yoog.com/search.php?q="
* BROWSER STARTUP HOMEPAGE:  "https://www.google.fr/?gws_rd=ssl"

.

+---------------------------------------------------------------------------+


~~~~ INTERNET EXPLORER VERSION 6.0.2900.5512 ~~~~

+--[HKEY_CURRENT_USER\..\INTERNET EXPLORER\MAIN]

Start page : hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

+--[HKEY_LOCAL_MACHINE\..\INTERNET EXPLORER\MAIN]

Start page : hxxp://fr.msn.com/

+---------------------------------------------------------------------------+

[~4906 BYTES] - "C:\AD-REPORT-SCAN-28.01.2009.LOG"
[~2833 BYTES] - "C:\AD-REPORT-CLEAN-28.01.2009.LOG"

End at: 22:16:58 | 28/01/2009 - Time elapsed: 2 minutes, 55 seconds 

+---------------------------------------------------------------------------+
+------------------------------- [ E.O.F - 69 Lines ]
+---------------------------------------------------------------------------+

Destrio5 · Answer

---> Désinstalle AD-Remover.

---> Menu Démarrer > Exécuter > Tape combofix /u et valide.

---> Télécharge JavaRa.zip (de Paul 'Prm753' McLain et Fred de Vries) sur ton Bureau.
* Décompresse le fichier sur le Bureau (Clic droit > Extraire tout).
* Double-clique sur le répertoire JavaRa.
* Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher).
* Choisis Français puis clique sur Select.
* Clique sur Recherche de mises à jour.
* Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher.
* Autorise le processus à se connecter s'il le demande, clique sur Installer et suis les instructions d'installation qui prennent quelques minutes.
* L'installation est terminée, reviens à l'écran de JavaRa et clique sur Effacer les anciennes versions.
* Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK.
* Un rapport va s'ouvrir. Poste-le dans ta prochaine réponse.
* Ferme l'application.

Note : le rapport se trouve aussi dans C:\ sous le nom JavaRa.log.

anne_laure40 · Answer

JavaRa 1.13 Removal Log.

Report follows after line.

------------------------------------

The JavaRa removal process was started on Wed Jan 28 22:49:15 2009

Found and removed: C:\Program Files\Java\jre1.6.0_07

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0003-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0004-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0005-ABCDEFFEDCBA}

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_02

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_03

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_04

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.2

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.2.0_01

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0000-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0001-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0001-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0002-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0002-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0003-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0003-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0004-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0004-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0005-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0005-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0006-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0006-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0007-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0007-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0008-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0008-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0009-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0009-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0010-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0010-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0011-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0011-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0012-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0012-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0013-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0013-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0014-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0014-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0015-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0015-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0016-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0016-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0017-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0017-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0018-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0018-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0019-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0019-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0020-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0020-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0021-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0021-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0022-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0022-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0023-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0023-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0024-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0024-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0025-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0025-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0026-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0026-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0027-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0027-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0028-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0028-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0029-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0029-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0030-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0030-ABCDEFFEDCBB}

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders\C:\Program Files\Java\jre1.6.0_07\bin\

------------------------------------

Finished reporting.

Destrio5 · Answer

1/

---> Supprime JavaRa.

---> Télécharge ToolsCleaner2 sur ton Bureau.
* Double-clique sur ToolsCleaner2.exe pour le lancer.
* Clique sur Recherche et laisse le scan agir.
* Clique sur Suppression pour finaliser. 
* Tu peux, si tu le souhaites, te servir des Options Facultatives.
* Clique sur Quitter pour obtenir le rapport. 
* Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).


2/

- Télécharge Random's System Information Tool (RSIT) (par random/random) sur ton Bureau.

- Double-clique sur RSIT.exe afin de lancer le programme.

- Clique sur Continue à l'écran Disclaimer.

- Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

- Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (c'est celui qui apparaît à l'écran) ainsi que de info.txt (que tu verras dans la barre des tâches).

Note : Les rapports sont sauvegardés dans le dossier C:\rsit.

anne_laure40 · Answer

[ Rapport ToolsCleaner version 2.3.0 (par A.Rothstein & dj QUIOU) ]

-->- Recherche: 

C:\Combofix.txt: trouvé !
C:\Qoobox: trouvé !
C:\Rsit: trouvé !
C:\Documents and Settings\Killerx\Bureau\ComboFix.exe: trouvé !
C:\Documents and Settings\Killerx\Bureau\HijackThis.exe: trouvé !
C:\Documents and Settings\Killerx\Bureau\hijackthis.log: trouvé !
C:\Documents and Settings\Killerx\Bureau\Rsit.exe: trouvé !

---------------------------------
-->- Suppression: 

C:\Documents and Settings\Killerx\Bureau\ComboFix.exe: ERREUR DE SUPPRESSION !!
C:\Documents and Settings\Killerx\Bureau\HijackThis.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\Documents and Settings\Killerx\Bureau\hijackthis.log: supprimé !
C:\Documents and Settings\Killerx\Bureau\Rsit.exe: supprimé !
C:\Qoobox: supprimé !
C:\Rsit: supprimé !

anne_laure40 · Answer

info.txt logfile of random's system information tool 1.05 2009-01-28 23:07:46

======Uninstall list======

-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Adobe Acrobat 5.0-->C:\WINDOWS\ISUN040C.EXE -f"C:\Program Files\Fichiers communs\Adobe\Acrobat 5.0\NT\Uninst.isu" -c"C:\Program Files\Fichiers communs\Adobe\Acrobat 5.0\NT\Uninst.dll"
Adobe Flash Player Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Askey HSFi V.90(V.92) 56K PCI Modem-->C:\Program Files\Askey\CNXT_MODEM_PCI_VEN_14F1&DEV_2F00&SUBSYS_8D89144F\HXFSETUP.EXE -U -IVEN_14F1&DEV_2F00&SUBSYS_8D89144F
Aspire Screen Saver-->C:\WINDOWS\Aspire.scr /u
Assistant de connexion Windows Live-->MsiExec.exe /I{AFA4E5FD-ED70-4D92-99D0-162FD56DC986}
AudioDJ(TM) Driver 3.3-->MsiExec.exe /I{606D3ED0-8255-4F6E-B9E5-0967A825D098}
Avance AC'97 Audio-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{FB08F381-6533-4108-B7DD-039E11FBC27E}\setup.exe" REMOVE
Avira AntiVir Personal - Free Antivirus-->C:\Program Files\Avira\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE
CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe"
Contextual Tool Adzgalore-->C:\WINDOWS\system32\63828c25-15ab-c29b-17a7-20abefc3c6e1.exe
Correctif pour Lecteur Windows Media 11 (KB939683)-->"C:\WINDOWS\$NtUninstallKB939683$\spuninst\spuninst.exe"
Correctif pour Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe"
Disc2Phone-->MsiExec.exe /I{FFAB5ABB-8AAB-42E2-847F-1743E51E01E9}
GTK+ 2.4.14 runtime environment-->"C:\Program Files\Fichiers communs\GTK\2.0\unins000.exe"
Gtk+ Development Environment for Windows 2.6.10-rc1-->C:\Program Files\Fichiers communs\GTK\2.0\uninst.exe
HijackThis 2.0.2-->"C:\Program Files	rend micro\HijackThis.exe" /uninstall
Hotfix for Windows Media Format 11 SDK (KB929399)-->"C:\WINDOWS\$NtUninstallKB929399$\spuninst\spuninst.exe"
Java(TM) 6 Update 11-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216011FF}
Java(TM) 6 Update 7-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070}
Kaspersky Online Scanner-->C:\WINDOWS\system32\KASPER~1\KASPER~1\kavuninstall.exe
Lecteur Windows Media 11-->"C:\Program Files\Windows Media Player\Setup_wm.exe" /Uninstall
LimeWire 4.18.8-->"C:\Program Files\LimeWire\uninstall.exe"
Logitech MouseWare 9.76 -->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{5809E7CF-4DCF-11D4-9875-00105ACE7734}\Setup.exe" -l0x40c -l040c UNINSTALL
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft .NET Framework 1.1 Hotfix (KB928366)-->"C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\hotfix.exe" "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\M928366\M928366Uninstall.msp"
Microsoft .NET Framework 1.1-->msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft Compression Client Pack 1.0 for Windows XP-->"C:\WINDOWS\$NtUninstallMSCompPackV1$\spuninst\spuninst.exe"
Microsoft User-Mode Driver Framework Feature Pack 1.0-->"C:\WINDOWS\$NtUninstallWudf01000$\spuninst\spuninst.exe"
Mini Golf Pro 1.1-->"C:\Program Files\S64Games\Mini Golf Pro\unins000.exe"
Mise à jour de sécurité pour Lecteur Windows Media (KB952069)-->"C:\WINDOWS\$NtUninstallKB952069_WM9$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Lecteur Windows Media 11 (KB936782)-->"C:\WINDOWS\$NtUninstallKB936782_WMP11$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Lecteur Windows Media 11 (KB954154)-->"C:\WINDOWS\$NtUninstallKB954154_WM11$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Lecteur Windows Media 9 (KB911565)-->"C:\WINDOWS\$NtUninstallKB911565$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB923789)-->C:\WINDOWS\system32\MacroMed\Flash\genuinst.exe C:\WINDOWS\system32\MacroMed\Flash\KB923789.inf
Mise à jour de sécurité pour Windows XP (KB938464)-->"C:\WINDOWS\$NtUninstallKB938464$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB941569)-->"C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB946648)-->"C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB950759)-->"C:\WINDOWS\$NtUninstallKB950759$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB950760)-->"C:\WINDOWS\$NtUninstallKB950760$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB951698)-->"C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB951748)-->"C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB953838)-->"C:\WINDOWS\$NtUninstallKB953838$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB953839)-->"C:\WINDOWS\$NtUninstallKB953839$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB954211)-->"C:\WINDOWS\$NtUninstallKB954211$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB954459)-->"C:\WINDOWS\$NtUninstallKB954459$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB954600)-->"C:\WINDOWS\$NtUninstallKB954600$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB955069)-->"C:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB956390)-->"C:\WINDOWS\$NtUninstallKB956390$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB956391)-->"C:\WINDOWS\$NtUninstallKB956391$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB956802)-->"C:\WINDOWS\$NtUninstallKB956802$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB956841)-->"C:\WINDOWS\$NtUninstallKB956841$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB957095)-->"C:\WINDOWS\$NtUninstallKB957095$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB957097)-->"C:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB958215)-->"C:\WINDOWS\$NtUninstallKB958215$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB958687)-->"C:\WINDOWS\$NtUninstallKB958687$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB960714)-->"C:\WINDOWS\$NtUninstallKB960714$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB942763)-->"C:\WINDOWS\$NtUninstallKB942763$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB951072-v2)-->"C:\WINDOWS\$NtUninstallKB951072-v2$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB951978)-->"C:\WINDOWS\$NtUninstallKB951978$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB955839)-->"C:\WINDOWS\$NtUninstallKB955839$\spuninst\spuninst.exe"
Mozilla Firefox (2.0.0.20)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
MSXML 4.0 SP2 (KB936181)-->MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF}
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
NOD32 v3.x FiX 1.1 by TemDono (Free Updates - Expire in 2050)-->"C:\Program Files\ESET\ESET Smart Security\unins000.exe"
NVIDIA Windows 2000/XP Display Drivers-->rundll32.exe C:\WINDOWS\System32
vinstnt.dll,NvUninstallNT4 nv4_disp.inf
OpenOffice.org 2.4-->MsiExec.exe /I{A122962F-331A-4C2E-93DB-AD92D8A4FB14}
Popsicle-->"C:\Documents and Settings\All Users\Documents\Popsicle\unins000.exe"
PowerDVD-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}\Setup.exe"  -uninstall
RON Too1 Cpmsky-->C:\WINDOWS\system32\iaiajuhmfdv.exe
Search Assistant Mysidesearch-->C:\WINDOWS\system32	ijikegzzw.dll-uninst.exe
SoftwareUpdate 1.0-->"C:\Documents and Settings\Killerx\Application Data\eoRezo\SoftwareUpdate\unins000.exe"
Spybot - Search & Destroy-->"C:\Program Files\Spybot - Search & Destroy\unins000.exe"
Sudoku! Deluxe-->"C:\Program Files\Zylom Games\Sudoku! Deluxe\GameInstlr.exe" --uninstall UnInstall.log
Sunbelt Personal Firewall-->MsiExec.exe /X{82B1150E-9B37-49FC-83EB-D52197D900D0}
Veoh Web Player Beta-->"C:\Program Files\Veoh Networks\VeohWebPlayer\uninst.exe"
VeohTV BETA-->C:\Program Files\InstallShield Installation Information\{0405E51E-9582-4207-8F38-AC44201D3808}\setup.exe -runfromtemp -l0x0409
VideoLAN VLC media player 0.8.6i-->C:\Program Files\VideoLAN\VLC\uninstall.exe
Windows Live installer-->MsiExec.exe /X{FD44E544-E7D0-4DBA-9FA0-8AE1A1300390}
Windows Live Messenger-->MsiExec.exe /X{BADF6744-3787-48F6-B8C9-4C4995401D65}
Windows Media Format 11 runtime-->"C:\Program Files\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows Media Format 11 runtime-->"C:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe"
Windows Media Player 11-->"C:\WINDOWS\$NtUninstallwmp11$\spuninst\spuninst.exe"
Windows XP Service Pack 3-->"C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe"
WinZip 12.0-->MsiExec.exe /X{CD95F661-A5C4-44F5-A6AA-ECDD91C240B7}

======Security center information======

AV: BitDefender Antivirus (disabled)
AV: Avira AntiVir PersonalEdition Classic
FW: Pare-feu BitDefender  (disabled)
FW: Sunbelt Personal Firewall

System event log

Computer Name: GUERIN
Event Code: 6006
Message: Le service d'Enregistrement d'événement a été arrêté.

Record Number: 24778
Source Name: EventLog
Time Written: 20090114145827.000000+060
Event Type: Informations
User: 

Computer Name: GUERIN
Event Code: 1073
Message: Échec de la tentative de se mettre hors tension. GUERIN

Record Number: 24777
Source Name: USER32
Time Written: 20090114145817.000000+060
Event Type: Avertissement
User: AUTORITE NT\SYSTEM

Computer Name: GUERIN
Event Code: 2000
Message: L'appel du serveur à un service système a échoué de façon inattendue.

Record Number: 24776
Source Name: Srv
Time Written: 20090114145511.000000+060
Event Type: erreur
User: 

Computer Name: GUERIN
Event Code: 7000
Message: Le service BDRsDrv n'a pas pu démarrer en raison de l'erreur : 
Le fichier spécifié est introuvable.


Record Number: 24775
Source Name: Service Control Manager
Time Written: 20090114142418.000000+060
Event Type: erreur
User: 

Computer Name: GUERIN
Event Code: 7000
Message: Le service BDFsDrv n'a pas pu démarrer en raison de l'erreur : 
Le fichier spécifié est introuvable.


Record Number: 24774
Source Name: Service Control Manager
Time Written: 20090114142418.000000+060
Event Type: erreur
User: 

Application event log

Computer Name: GUERIN
Event Code: 1800
Message: Le service Centre de sécurité Windows a démarré.

Record Number: 625
Source Name: SecurityCenter
Time Written: 20081216100800.000000+060
Event Type: Informations
User: 

Computer Name: GUERIN
Event Code: 1800
Message: Le service Centre de sécurité Windows a démarré.

Record Number: 624
Source Name: SecurityCenter
Time Written: 20081215213658.000000+060
Event Type: Informations
User: 

Computer Name: GUERIN
Event Code: 1002
Message: Application bloquée firefox.exe, version 1.9.0.3224, module bloqué hungapp, version 0.0.0.0, adresse de blocage 0x00000000.

Record Number: 623
Source Name: Application Hang
Time Written: 20081215180412.000000+060
Event Type: erreur
User: 

Computer Name: GUERIN
Event Code: 1002
Message: L'environnement s'est arrêté de façon inattendue et Explorer.exe a redémarré.

Record Number: 622
Source Name: Winlogon
Time Written: 20081215180134.000000+060
Event Type: Informations
User: 

Computer Name: GUERIN
Event Code: 1800
Message: Le service Centre de sécurité Windows a démarré.

Record Number: 621
Source Name: SecurityCenter
Time Written: 20081215133604.000000+060
Event Type: Informations
User: 

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%systemroot%\system32;%systemroot%;%systemroot%\system32\wbem;%GTK_BASEPATH%\bin;C:\Program Files\Fichiers communs\GTK\2.0\bin
"windir"=%SystemRoot%
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 2 Stepping 9, GenuineIntel
"PROCESSOR_REVISION"=0209
"NUMBER_OF_PROCESSORS"=1
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"FP_NO_HOST_CHECK"=NO
"GTK_BASEPATH"=C:\PROGRA~1\FICHIE~1\GTK\2.0
"INCLUDE"=C:\Program Files\Fichiers communs\GTK\2.0\INCLUDE;C:\Program Files\Fichiers communs\GTK\2.0\INCLUDE\GTK-2.0;C:\Program Files\Fichiers communs\GTK\2.0\INCLUDE\GLIB-2.0;C:\Program Files\Fichiers communs\GTK\2.0\INCLUDE\PANGO-1.0;C:\Program Files\Fichiers communs\GTK\2.0\INCLUDE\ATK-1.0;C:\Program Files\Fichiers communs\GTK\2.0\INCLUDE\GTKGLEXT-1.0;C:\Program Files\Fichiers communs\GTK\2.0\LIB\GTK-2.0\INCLUDE;C:\Program Files\Fichiers communs\GTK\2.0\LIB\GLIB-2.0\INCLUDE;C:\Program Files\Fichiers communs\GTK\2.0\LIB\GTKGLEXT-1.0\INCLUDE;C:\Program Files\Fichiers communs\GTK\2.0\INCLUDE\LIBGLADE-2.0;C:\Program Files\Fichiers communs\GTK\2.0\INCLUDE\LIBXML2;C:\Program Files\Fichiers communs\GTK\2.0\INCLUDE;C:\Program Files\Fichiers communs\GTK\2.0\INCLUDE\GTK-2.0;C:\Program Files\Fichiers communs\GTK\2.0\INCLUDE\GLIB-2.0;C:\Program Files\Fichiers communs\GTK\2.0\INCLUDE\PANGO-1.0;C:\Program Files\Fichiers communs\GTK\2.0\INCLUDE\ATK-1.0;C:\Program Files\Fichiers communs\GTK\2.0\INCLUDE\GTKGLEXT-1.0;C:\Program Files\Fichiers communs\GTK\2.0\LIB\GTK-2.0\INCLUDE;C:\Program Files\Fichiers communs\GTK\2.0\LIB\GLIB-2.0\INCLUDE;C:\Program Files\Fichiers communs\GTK\2.0\LIB\GTKGLEXT-1.0\INCLUDE;C:\Program Files\Fichiers communs\GTK\2.0\INCLUDE\LIBGLADE-2.0;C:\Program Files\Fichiers communs\GTK\2.0\INCLUDE\LIBXML2;
"LIB"=C:\Program Files\Fichiers communs\GTK\2.0\LIB;C:\Program Files\Fichiers communs\GTK\2.0\LIB;

-----------------EOF-----------------



Logfile of random's system information tool 1.05 (written by random/random)
Run by Killerx at 2009-01-28 23:07:35
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 12 GB (39%) free of 30 GB
Total RAM: 1023 MB (67% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:07:44, on 28/01/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32
vsvc32.exe
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFLnch.exe
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFSvc.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\Veoh Networks\Veoh\VeohClient.exe
C:\Program Files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\OpenOffice.org 2.4\program\soffice.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.BIN
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFCl.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Killerx\Bureau\RSIT.exe
C:\Program Files	rend micro\Killerx.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.acer.com/ac/fr/FR/content/home
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Program Files\Veoh Networks\Veoh\Pluginseg\VeohToolbar.dll
O3 - Toolbar: Veoh Web Player Video Finder - {0FBB9689-D3D7-4f7a-A2E2-585B10099BFC} - C:\Program Files\Veoh Networks\VeohWebPlayer\VeohIEToolbar.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Veoh] "C:\Program Files\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
O4 - HKCU\..\Run: [VeohPlugin] "C:\Program Files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe"
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\CCleaner.exe" /AUTO
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: OpenOffice.org 2.4.lnk = C:\Program Files\OpenOffice.org 2.4\program\quickstart.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: OpenOffice.org 2.4.lnk = C:\Program Files\OpenOffice.org 2.4\program\quickstart.exe (User 'Default user')
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Program Files\OpenOffice.org 2.4\program\quickstart.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=https://www.acer.com/ac/fr/FR/content/home
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: SbPF.Launcher - Sunbelt Software, Inc. - C:\Program Files\Sunbelt Software\Personal Firewall\SbPFLnch.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software, Inc. - C:\Program Files\Sunbelt Software\Personal Firewall\SbPFSvc.exe

Destrio5 · Answer

---> Tu devrais désinstaller Popsicle.

---> Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) :
* Lance-le. Va dans Outils puis Programmes de désinstallations.
* Sélectionne Contextual Tool Adzgalore puis clique sur Efface l'Entrée.
* Fais de même pour RON Too1 Cpmsky.
* Fais de même pour Search Assistant Mysidesearch.
* Fais de même pour SoftwareUpdate 1.0.

anne_laure40 · Answer

Voilà, j'ai désinstallé.
L'ordi est sauvé??? lol

Destrio5 · Answer

---> Mets à jour Internet Explorer :
http://www.microsoft.com/downloads/details.aspx?FamilyId=9AE91EBE-3385-447C-8A30-081805B2F90B&displaylang=fr

Vu que tu as le SP3, tu dois faire une petite modification :
http://www.technos-sources.com/tutorial-installer-ie7-apres-avoir-installe-sp3-windows-xp-98.aspx

anne_laure40 · Answer

je n'ai pas eu besoin de faire la manip', ie7 s'est installé sans problème
y'a t'il autre chose a faire?

Destrio5 · Answer

---> Double-clique sur l'icône d'Antivir (Parapluie) dans la barre des tâches.

---> Dans Antivir, choisis Outils puis Configuration.

---> Coche Mode Expert et coche Rech. Rootkit au dém. de la recherche à droite dans Autres réglages.

---> Fais un scan complet et poste le rapport.

anne_laure40 · Answer

Avira AntiVir Personal
Date de création du fichier de rapport : jeudi 29 janvier 2009  00:05

La recherche porte sur 1293555 souches de virus.

Détenteur de la licence :Avira AntiVir PersonalEdition Classic
Numéro de série : 0000149996-ADJIE-0001
Plateforme :      Windows XP
Version de Windows :(Service Pack 3)  [5.1.2600]
Mode Boot :       Démarré normalement
Identifiant :     SYSTEM
Nom de l'ordinateur :GUERIN

Informations de version :
BUILD.DAT     : 8.2.0.52       16931 Bytes  02/12/2008 14:55:00
AVSCAN.EXE    : 8.1.4.10      315649 Bytes  18/11/2008 08:21:02
AVSCAN.DLL    : 8.1.4.1        49921 Bytes  21/07/2008 13:44:28
LUKE.DLL      : 8.1.4.5       164097 Bytes  12/06/2008 12:44:18
LUKERES.DLL   : 8.1.4.0        13057 Bytes  04/07/2008 07:30:28
ANTIVIR0.VDF  : 7.1.0.0     15603712 Bytes  27/10/2008 11:30:38
ANTIVIR1.VDF  : 7.1.1.113    2817536 Bytes  14/01/2009 14:17:04
ANTIVIR2.VDF  : 7.1.1.172     958464 Bytes  23/01/2009 14:17:08
ANTIVIR3.VDF  : 7.1.1.195     301568 Bytes  28/01/2009 15:17:44
Version du moteur: 8.2.0.60  
AEVDF.DLL     : 8.1.0.6       102772 Bytes  14/10/2008 10:05:58
AESCRIPT.DLL  : 8.1.1.32      340347 Bytes  27/01/2009 14:17:20
AESCN.DLL     : 8.1.1.5       123251 Bytes  07/11/2008 15:06:42
AERDL.DLL     : 8.1.1.3       438645 Bytes  04/11/2008 13:58:40
AEPACK.DLL    : 8.1.3.5       393588 Bytes  27/01/2009 14:17:20
AEOFFICE.DLL  : 8.1.0.33      196987 Bytes  27/01/2009 14:17:18
AEHEUR.DLL    : 8.1.0.86     1552759 Bytes  27/01/2009 14:17:16
AEHELP.DLL    : 8.1.2.0       119159 Bytes  27/01/2009 14:17:14
AEGEN.DLL     : 8.1.1.10      323957 Bytes  27/01/2009 14:17:12
AEEMU.DLL     : 8.1.0.9       393588 Bytes  14/10/2008 10:05:58
AECORE.DLL    : 8.1.5.2       172405 Bytes  27/01/2009 14:17:10
AEBB.DLL      : 8.1.0.3        53618 Bytes  14/10/2008 10:05:58
AVWINLL.DLL   : 1.0.0.12       15105 Bytes  09/07/2008 08:40:04
AVPREF.DLL    : 8.0.2.0        38657 Bytes  16/05/2008 09:28:00
AVREP.DLL     : 8.0.0.2        98344 Bytes  31/07/2008 12:02:16
AVREG.DLL     : 8.0.0.1        33537 Bytes  09/05/2008 11:26:38
AVARKT.DLL    : 1.0.0.23      307457 Bytes  12/02/2008 08:29:20
AVEVTLOG.DLL  : 8.0.0.16      119041 Bytes  12/06/2008 12:27:48
SQLITE3.DLL   : 3.3.17.1      339968 Bytes  22/01/2008 17:28:04
SMTPLIB.DLL   : 1.2.0.23       28929 Bytes  12/06/2008 12:49:38
NETNT.DLL     : 8.0.0.1         7937 Bytes  25/01/2008 12:05:08
RCIMAGE.DLL   : 8.0.0.51     2371841 Bytes  04/07/2008 07:23:18
RCTEXT.DLL    : 8.0.52.1       86273 Bytes  17/07/2008 10:08:44

Configuration pour la recherche actuelle :
Nom de la tâche..................: Contrôle intégral du système
Fichier de configuration.........: c:\program files\avira\antivir personaledition classic\sysscan.avp
Documentation....................: bas
Action principale................: interactif
Action secondaire................: ignorer
Recherche sur les secteurs d'amorçage maître: marche
Recherche sur les secteurs d'amorçage: marche
Secteurs d'amorçage..............: C:, 
Recherche dans les programmes actifs: marche
Recherche en cours sur l'enregistrement: marche
Recherche de Rootkits............: marche
Fichier mode de recherche........: Sélection de fichiers intelligente
Recherche sur les archives.......: marche
Limiter la profondeur de récursivité: 20
Archive Smart Extensions.........: marche
Heuristique de macrovirus........: marche
Heuristique fichier..............: moyen

Début de la recherche : jeudi 29 janvier 2009  00:05

La recherche d'objets cachés commence.
'41562' objets ont été contrôlés, '0' objets cachés ont été trouvés.

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'FIREFOX.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'wuauclt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SOFFICE.BIN' - '1' module(s) sont contrôlés
Processus de recherche 'SOFFICE.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'WZQKPICK.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'veohwebplayer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'VeohClient.exe' - '1' module(s) sont contrôlés
Processus de recherche 'MSNMSGR.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'CTFMON.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'AVGNT.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'SbPFCl.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ALG.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'SbPFSvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SbPFLnch.exe' - '1' module(s) sont contrôlés
Processus de recherche 'NVSVC32.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés
Processus de recherche 'AVGUARD.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'EXPLORER.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'SCHED.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'SPOOLSV.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'SVCHOST.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'SVCHOST.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'SVCHOST.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'SVCHOST.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'SVCHOST.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'LSASS.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'SERVICES.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'WINLOGON.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'CSRSS.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'SMSS.EXE' - '1' module(s) sont contrôlés
'33' processus ont été contrôlés avec '33' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
    [INFO]      Aucun virus trouvé !
Secteur d'amorçage maître HD1
    [INFO]      Aucun virus trouvé !
    [AVERTISSEMENT] Erreur système [21]: Le périphérique n'est pas prêt.
Secteur d'amorçage maître HD2
    [INFO]      Aucun virus trouvé !
    [AVERTISSEMENT] Erreur système [21]: Le périphérique n'est pas prêt.

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
    [INFO]      Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence.
Le registre a été contrôlé ( '50' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\'
C:\hiberfil.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\pagefile.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\Documents and Settings\Killerx\Mes documents\NOD32_v3_FiX_1.1-TemDono\NOD32_v3_FiX_1.1-TemDono.exe
    [RESULTAT]  Contient le cheval de Troie TR/PSW.Delf.CRW
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49c4e795.qua' !
C:\Documents and Settings\maman\Bureau\install_LimeWire Basic_.exe
    [RESULTAT]  Contient  le modèle de détection du fichier/e-mail Phish PHISH/FraudTool.CCleaner.AZ
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49f3e813.qua' !
C:\Program Files\ESET\ESET Smart Security\NOD32_v3_FiX_1.1-TemDono.exe
    [RESULTAT]  Contient le cheval de Troie TR/PSW.Delf.CRW
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49c4e82e.qua' !
C:\System Volume Information\_restore{BDEC2AB6-D930-4ED2-9A77-E7D0455111F1}\RP118\A0025613.dll
    [RESULTAT]  Contient le cheval de Troie TR/BHO.Agent.V
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49b0e8bb.qua' !
C:\System Volume Information\_restore{BDEC2AB6-D930-4ED2-9A77-E7D0455111F1}\RP119\A0025781.dll
    [RESULTAT]  Contient le cheval de Troie TR/BHO.684544
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49b0e8c3.qua' !
C:\System Volume Information\_restore{BDEC2AB6-D930-4ED2-9A77-E7D0455111F1}\RP120\A0025786.dll
    [RESULTAT]  Contient le cheval de Troie TR/BHO.684544
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49b0e8ce.qua' !
C:\System Volume Information\_restore{BDEC2AB6-D930-4ED2-9A77-E7D0455111F1}\RP120\A0025822.dll
    [RESULTAT]  Contient le cheval de Troie TR/BHO.684544
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49b0e8d3.qua' !
C:\System Volume Information\_restore{BDEC2AB6-D930-4ED2-9A77-E7D0455111F1}\RP121\A0025829.dll
    [RESULTAT]  Contient le cheval de Troie TR/BHO.684544
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49b0e8d7.qua' !
C:\System Volume Information\_restore{BDEC2AB6-D930-4ED2-9A77-E7D0455111F1}\RP121\A0025837.dll
    [RESULTAT]  Contient le cheval de Troie TR/BHO.684544
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49b0e8d9.qua' !
C:\System Volume Information\_restore{BDEC2AB6-D930-4ED2-9A77-E7D0455111F1}\RP121\A0025859.dll
    [RESULTAT]  Contient le cheval de Troie TR/BHO.684544
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49b0e8dc.qua' !
C:\System Volume Information\_restore{BDEC2AB6-D930-4ED2-9A77-E7D0455111F1}\RP121\A0025874.dll
    [RESULTAT]  Contient le cheval de Troie TR/BHO.684544
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49b0e8df.qua' !
C:\System Volume Information\_restore{BDEC2AB6-D930-4ED2-9A77-E7D0455111F1}\RP121\A0025885.dll
    [RESULTAT]  Contient le cheval de Troie TR/BHO.684544
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49b0e8e2.qua' !
C:\System Volume Information\_restore{BDEC2AB6-D930-4ED2-9A77-E7D0455111F1}\RP123\A0025957.dll
    [RESULTAT]  Contient le cheval de Troie TR/BHO.684544
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49b0e8ea.qua' !
C:\System Volume Information\_restore{BDEC2AB6-D930-4ED2-9A77-E7D0455111F1}\RP123\A0025973.dll
    [RESULTAT]  Contient le cheval de Troie TR/BHO.684544
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49b0e8ed.qua' !
C:\System Volume Information\_restore{BDEC2AB6-D930-4ED2-9A77-E7D0455111F1}\RP123\A0025981.dll
    [RESULTAT]  Contient le cheval de Troie TR/BHO.684544
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49b0e8f0.qua' !
C:\System Volume Information\_restore{BDEC2AB6-D930-4ED2-9A77-E7D0455111F1}\RP124\A0025986.dll
    [RESULTAT]  Contient le cheval de Troie TR/BHO.684544
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49b0e8f4.qua' !
C:\System Volume Information\_restore{BDEC2AB6-D930-4ED2-9A77-E7D0455111F1}\RP124\A0025993.dll
    [RESULTAT]  Contient le cheval de Troie TR/BHO.684544
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49b0e8f6.qua' !
C:\System Volume Information\_restore{BDEC2AB6-D930-4ED2-9A77-E7D0455111F1}\RP124\A0026006.dll
    [RESULTAT]  Contient le cheval de Troie TR/BHO.684544
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49b0e8f9.qua' !
C:\System Volume Information\_restore{BDEC2AB6-D930-4ED2-9A77-E7D0455111F1}\RP125\A0026073.dll
    [RESULTAT]  Contient le cheval de Troie TR/BHO.684544
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49b0e8fd.qua' !
C:\System Volume Information\_restore{BDEC2AB6-D930-4ED2-9A77-E7D0455111F1}\RP125\A0026097.dll
    [RESULTAT]  Contient le cheval de Troie TR/BHO.684544
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49b0e901.qua' !
C:\System Volume Information\_restore{BDEC2AB6-D930-4ED2-9A77-E7D0455111F1}\RP126\A0026861.dll
    [RESULTAT]  Contient le cheval de Troie TR/BHO.684544
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49b0e913.qua' !
C:\System Volume Information\_restore{BDEC2AB6-D930-4ED2-9A77-E7D0455111F1}\RP126\A0026901.dll
    [RESULTAT]  Contient le cheval de Troie TR/BHO.684544
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49b0e918.qua' !
C:\System Volume Information\_restore{BDEC2AB6-D930-4ED2-9A77-E7D0455111F1}\RP127\A0026966.dll
    [RESULTAT]  Contient le cheval de Troie TR/BHO.684544
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49b0e91c.qua' !
C:\System Volume Information\_restore{BDEC2AB6-D930-4ED2-9A77-E7D0455111F1}\RP127\A0026981.dll
    [RESULTAT]  Contient le cheval de Troie TR/BHO.684544
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49b0e91f.qua' !
C:\System Volume Information\_restore{BDEC2AB6-D930-4ED2-9A77-E7D0455111F1}\RP127\A0027054.dll
    [RESULTAT]  Contient le cheval de Troie TR/BHO.684544
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49b0e924.qua' !
C:\System Volume Information\_restore{BDEC2AB6-D930-4ED2-9A77-E7D0455111F1}\RP127\A0027094.dll
    [RESULTAT]  Contient le cheval de Troie TR/BHO.684544
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49b0e927.qua' !
C:\System Volume Information\_restore{BDEC2AB6-D930-4ED2-9A77-E7D0455111F1}\RP130\A0027558.dll
    [RESULTAT]  Contient le cheval de Troie TR/BHO.684544
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49b0e936.qua' !
C:\System Volume Information\_restore{BDEC2AB6-D930-4ED2-9A77-E7D0455111F1}\RP130\A0027577.dll
    [RESULTAT]  Contient le cheval de Troie TR/BHO.684544
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49b0e939.qua' !
C:\System Volume Information\_restore{BDEC2AB6-D930-4ED2-9A77-E7D0455111F1}\RP130\A0028571.dll
    [RESULTAT]  Contient le cheval de Troie TR/BHO.684544
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49b0e93b.qua' !
C:\System Volume Information\_restore{BDEC2AB6-D930-4ED2-9A77-E7D0455111F1}\RP130\A0028659.dll
    [RESULTAT]  Contient le cheval de Troie TR/BHO.684544
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49b0e940.qua' !
C:\System Volume Information\_restore{BDEC2AB6-D930-4ED2-9A77-E7D0455111F1}\RP130\A0028711.dll
    [RESULTAT]  Contient le cheval de Troie TR/BHO.684544
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49b0e943.qua' !
C:\System Volume Information\_restore{BDEC2AB6-D930-4ED2-9A77-E7D0455111F1}\RP130\A0028744.dll
    [RESULTAT]  Contient le cheval de Troie TR/BHO.684544
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49b0e947.qua' !
C:\System Volume Information\_restore{BDEC2AB6-D930-4ED2-9A77-E7D0455111F1}\RP131\A0028784.dll
    [RESULTAT]  Contient le cheval de Troie TR/BHO.684544
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49b0e94a.qua' !
C:\System Volume Information\_restore{BDEC2AB6-D930-4ED2-9A77-E7D0455111F1}\RP134\A0031102.dll
    [RESULTAT]  Contient le cheval de Troie TR/BHO.387072
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49b0e969.qua' !
C:\System Volume Information\_restore{BDEC2AB6-D930-4ED2-9A77-E7D0455111F1}\RP135\A0031121.exe
    [0] Type d'archive: RAR SFX (self extracting)
    --> SmitfraudFix\Agent.OMZ.Fix.exe
      [RESULTAT]  Contient le cheval de Troie TR/Zlob.78336123.A
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49b0e973.qua' !
C:\System Volume Information\_restore{BDEC2AB6-D930-4ED2-9A77-E7D0455111F1}\RP136\A0031160.exe
    [RESULTAT]  Contient le cheval de Troie TR/Drop.Joiner.HS
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49b0e978.qua' !
C:\System Volume Information\_restore{BDEC2AB6-D930-4ED2-9A77-E7D0455111F1}\RP136\A0031198.exe
    [0] Type d'archive: RAR SFX (self extracting)
    --> SmitfraudFix\Agent.OMZ.Fix.exe
      [RESULTAT]  Contient le cheval de Troie TR/Zlob.78336123.A
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49b0e97c.qua' !
C:\System Volume Information\_restore{BDEC2AB6-D930-4ED2-9A77-E7D0455111F1}\RP136\A0031224.exe
    [RESULTAT]  Contient le cheval de Troie TR/Zlob.78336123.A
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49b0e980.qua' !
C:\System Volume Information\_restore{BDEC2AB6-D930-4ED2-9A77-E7D0455111F1}\RP137\A0031280.exe
    [RESULTAT]  Contient le cheval de Troie TR/Zlob.78336123.A
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49b0e986.qua' !
C:\System Volume Information\_restore{BDEC2AB6-D930-4ED2-9A77-E7D0455111F1}\RP137\A0031285.dll
    [RESULTAT]  Contient le cheval de Troie TR/BHO.684544
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49b0e989.qua' !
C:\System Volume Information\_restore{BDEC2AB6-D930-4ED2-9A77-E7D0455111F1}\RP137\A0031306.dll
    [RESULTAT]  Contient le cheval de Troie TR/Dldr.Zlob.atzj
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49b0e98c.qua' !
C:\System Volume Information\_restore{BDEC2AB6-D930-4ED2-9A77-E7D0455111F1}\RP139\A0032424.dll
    [RESULTAT]  Contient le cheval de Troie TR/BHO.684544
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49b0e993.qua' !
C:\System Volume Information\_restore{BDEC2AB6-D930-4ED2-9A77-E7D0455111F1}\RP139\A0032427.dll
    [RESULTAT]  Contient le cheval de Troie TR/BHO.684544
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49b0e996.qua' !
C:\System Volume Information\_restore{BDEC2AB6-D930-4ED2-9A77-E7D0455111F1}\RP139\A0032428.dll
    [RESULTAT]  Contient le cheval de Troie TR/BHO.684544
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49b0e999.qua' !
C:\System Volume Information\_restore{BDEC2AB6-D930-4ED2-9A77-E7D0455111F1}\RP139\A0032431.dll
    [RESULTAT]  Contient le cheval de Troie TR/BHO.684544
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49b0e99b.qua' !
C:\System Volume Information\_restore{BDEC2AB6-D930-4ED2-9A77-E7D0455111F1}\RP139\A0032436.dll
    [RESULTAT]  Contient le cheval de Troie TR/BHO.684544
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49b0e99e.qua' !
C:\System Volume Information\_restore{BDEC2AB6-D930-4ED2-9A77-E7D0455111F1}\RP147\A0032991.exe
    [RESULTAT]  Contient  le modèle de détection du fichier/e-mail Phish PHISH/FraudTool.CCleaner.AZ
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49b0e9b4.qua' !
C:\System Volume Information\_restore{BDEC2AB6-D930-4ED2-9A77-E7D0455111F1}\RP147\A0032992.exe
    [RESULTAT]  Contient le cheval de Troie TR/PSW.Delf.CRW
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49b0e9b8.qua' !


Fin de la recherche : jeudi 29 janvier 2009  00:26
Temps nécessaire: 20:38 Minute(s)

La recherche a été effectuée intégralement

   4097 Les répertoires ont été contrôlés
 244742 Des fichiers ont été contrôlés
     48 Des virus ou programmes indésirables ont été trouvés
      0 Des fichiers ont été classés comme suspects
      0 Des fichiers ont été supprimés
      0 Des virus ou programmes indésirables ont été réparés
     48 Les fichiers ont été déplacés dans la quarantaine
      0 Les fichiers ont été renommés
      2 Impossible de contrôler des fichiers
 244692 Fichiers non infectés
   7210 Les archives ont été contrôlées
      4 Avertissements
     48 Consignes
  41562 Des objets ont été contrôlés lors du Rootkitscan
      0 Des objets cachés ont été trouvés

Destrio5 · Answer

Ton PC va comment ?

anne_laure40 · Answer

ca va mieux, plus de pages de pub qui s'ouvre, et plus rapide.
c'est le pc de mon beau frère, il n'avait pas de pare feu...
c'est fini?

anne_laure40 · Answer

je fais quoi des 48 trucs qui ont été mis en quarantaine?

Destrio5 · Answer

1/

---> Désinstalle HijackThis.

---> Télécharge ToolsCleaner2 sur ton Bureau.
* Double-clique sur ToolsCleaner2.exe pour le lancer.
* Clique sur Recherche et laisse le scan agir.
* Clique sur Suppression pour finaliser. 
* Tu peux, si tu le souhaites, te servir des Options Facultatives.
* Clique sur Quitter pour obtenir le rapport. 
* Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).


2/

---> Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) :
* Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
* Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage. 
* Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs (Sauvegarde la base de registre).


3/

---> Il est nécessaire de désactiver puis réactiver la restauration système pour la purger.

---> Je te conseille de créer un point de restauration que tu pourras utiliser plus tard si tu as un problème.


==Prévention==

Conserve MBAM. Il te servira à scanner les fichiers douteux en complément de l'antivirus et scanne le disque dur régulièrement.

Comme navigateur, utilise plutôt Mozilla Firefox qu'Internet Explorer. Tu peux utiliser l'extension NoScript pour plus de sécurité.

Vérifie que les mises à jour automatiques sont bien activées (Menu Démarrer, clique droit sur Poste de travail, onglet Mises à jour automatiques).

Tu peux aussi modifier le fichier Hosts pour améliorer la sécurité de ton PC : Lien

Par rapport au P2P : Lien

Voici un dossier complet (A lire avec Adobe Reader ou Foxit Reader) : Lien


Sois plus vigilant sur Internet ;)

anne_laure40 · Answer

merci beaucoup pour ton aide
je lui dirais de faire plus attention (moi je suis juste là pour désinfecter lol)

Destrio5 · Answer

Ok, bonne soirée ;)

Problème de virus?

41 réponses

Votre réponse

Discussions similaires

Newsletters