tres grosse infection !! Résolu

Question

salut tout le monde
apparement j'ai une tres grosse infection d'apres mon copain.
il ma conseillè de faire un rapport et de l envoyer ici

merci a vous de votre aide

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:11:40, on 16/03/2009
Platform: Windows Vista  (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16809)
Boot mode: Normal

Running processes:
C:\Windows\Explorer.EXE
C:\Windows\system32\3361\svchost.exe
C:\Windows\System32\infundll33.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\TOSHIBA\Toshiba Online Product Information\TOPI.exe
C:\Program Files\Common Files\Real\Update_OBealsched.exe
C:\Program Files\Orange\Systray\SystrayApp.exe
C:\Windows\vsnpstd.exe
C:\Windows\RtHDVCpl.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\TOSHIBA\Utilities\KeNotify.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\hgcheck.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Windows\System32\msrstart.exe
C:\Program Files\Camera Assistant Software for Toshiba	raybar.exe
C:\Program Files\TOSHIBA\TOSCDSPD\TOSCDSPD.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Synaptics\SynTP\SynToshiba.exe
C:\Program Files\Camera Assistant Software for Toshiba\CEC_MAIN.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\3361\svchost.exe
C:\Windows\System32\infundll33.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Common Files\Real\Update_OBealsched.exe
C:\Program Files\Orange\Systray\SystrayApp.exe
C:\Windows\vsnpstd.exe
C:\Windows\RtHDVCpl.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\TOSHIBA\Utilities\KeNotify.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Windows\System32\igfxtray.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\hgcheck.exe
C:\Program Files\Camera Assistant Software for Toshiba	raybar.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Windows\ehome\ehtray.exe
C:\Users\Angélique\AppData\Local\wkewkio.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Windows\system32\igfxsrvc.exe
C:\Program Files\Camera Assistant Software for Toshiba\CEC_MAIN.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Synaptics\SynTP\SynToshiba.exe
C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
C:\Windows\system32\conime.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32	askeng.exe
C:\Windows\system32	askeng.exe
C:\Windows\system32\UI0Detect.exe
C:\Windows\system32\umtcdtw.sys
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\Orange\SearchURLHook\SearchPageURL.dll
F2 - REG:system.ini: UserInit=C:\Windows\system32\userinit.exe,userinit.exe,
O1 - Hosts: 92.62.101.129 google.co.uk
O1 - Hosts: 92.62.101.129 google.co.in
O1 - Hosts: 92.62.101.129 google.com
O1 - Hosts: 92.62.101.129 google.ru
O1 - Hosts: 92.62.101.129 google.de
O1 - Hosts: 92.62.101.129 google.ca
O1 - Hosts: 92.62.101.129 google.fr
O1 - Hosts: 92.62.101.129 google.it
O1 - Hosts: 92.62.101.129 google.es
O1 - Hosts: 92.62.101.129 google.pl
O1 - Hosts: 92.62.101.129 google.nl
O1 - Hosts: 92.62.101.129 www.google.co.uk
O1 - Hosts: 92.62.101.129 www.google.co.in
O1 - Hosts: 92.62.101.129 www.google.com
O1 - Hosts: 92.62.101.129 www.google.ru
O1 - Hosts: 92.62.101.129 www.google.de
O1 - Hosts: 92.62.101.129 www.google.ca
O1 - Hosts: 92.62.101.129 www.google.fr
O1 - Hosts: 92.62.101.129 www.google.it
O1 - Hosts: 92.62.101.129 www.google.es
O1 - Hosts: 92.62.101.129 www.google.pl
O1 - Hosts: 92.62.101.129 www.google.nl
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {0f8b900a-324f-4f48-a4b4-8f184ec5ad8c} - C:\Windows\system32\zutozube.dll (file missing)
O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files\Winamp Toolbar\winamptb.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayerpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Skyrock Toolbar - {A057A204-BACC-4D26-969A-2AB983EE729B} - C:\PROGRA~1\SKYROC~1\SKYROC~1.DLL
O2 - BHO: Megaupload Toolbar - {A057A204-BACC-4D26-C39E-35F1D2A32EC8} - C:\PROGRA~1\MEGAUP~2\MEGAUP~1.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: MegaIEMn - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - C:\Program Files\Megaupload\Mega Manager\MegaIEMn.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O2 - BHO: {1d4a2b1d-7066-0b68-cb04-893758140e8c} - {c8e04185-7398-40bc-86b0-6607d1b2a4d1} - C:\Windows\system32\vegfvy.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O3 - Toolbar: Megaupload Toolbar - {A057A204-BACC-4D26-C39E-35F1D2A32EC8} - C:\PROGRA~1\MEGAUP~2\MEGAUP~1.DLL
O3 - Toolbar: Skyrock Toolbar - {A057A204-BACC-4D26-969A-2AB983EE729B} - C:\PROGRA~1\SKYROC~1\SKYROC~1.DLL
O4 - HKLM\..\Run: [svchost.exe] "C:\Windows\system32\3361\svchost.exe"
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [topi] C:\Program Files\TOSHIBA\Toshiba Online Product Information	opi.exe -startup
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [SystrayORAHSS] "C:\Program Files\Orange\Systray\SystrayApp.exe"
O4 - HKLM\..\Run: [SynTPStart] C:\Program Files\Synaptics\SynTP\SynTPStart.exe
O4 - HKLM\..\Run: [SVPWUTIL] C:\Program Files\TOSHIBA\Utilities\SVPWUTIL.exe SVPwUTIL
O4 - HKLM\..\Run: [snpstd] C:\Windows\vsnpstd.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [ORAHSSSessionManager] C:\Program Files\Orange\SessionManager\SessionManager.exe
O4 - HKLM\..\Run: [KeNotify] C:\Program Files\TOSHIBA\Utilities\KeNotify.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [hgcheck] C:\Windows\System32\hgcheck.exe
O4 - HKLM\..\Run: [gabaroriju] Rundll32.exe "C:\Windows\system32\febihago.dll",s
O4 - HKLM\..\Run: [Explorer] C:\Windows\system32\msrstart.exe
O4 - HKLM\..\Run: [Camera Assistant Software] "C:\Program Files\Camera Assistant Software for Toshiba	raybar.exe"
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [MSConfig] "C:\Windows\system32\msconfig.exe" /auto
O4 - HKLM\..\RunOnce: [svchost.exe] "C:\Windows\system32\3361\svchost.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [wkewkio] "c:\users\angélique\appdata\local\wkewkio.exe" wkewkio
O4 - HKLM\..\Policies\Explorer\Run: [xccinit] C:\Windows\system32\infundll33.exe C:\Windows\xccdf16_090313a.dll xccd16
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User '?')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User '?')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User '?')
O4 - HKUS\S-1-5-21-406981787-4262907449-3248825866-1000\..\Run: [TOSCDSPD] C:\Program Files\TOSHIBA\TOSCDSPD\TOSCDSPD.exe (User '?')
O4 - HKUS\S-1-5-21-406981787-4262907449-3248825866-1001\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun (User '?')
O4 - HKUS\S-1-5-18\..\Run: [Win32load] C:\Windows\system32\config\systemprofile\AppData\Roaming\syssl.exe -lds (User '?')
O4 - HKUS\.DEFAULT\..\Run: [Win32load] C:\Windows\system32\config\systemprofile\AppData\Roaming\syssl.exe -lds (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin
pjpi160.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin
pjpi160.dll
O9 - Extra button: eBay - Achetez, Vendez - {76577871-04EC-495E-A12B-91F7C3600AFA} - https://www.ebay.fr (file missing)
O9 - Extra button: Amazon.fr - {8A918C1D-E123-4E36-B562-5C1519E434CE} - https://www.amazon.fr/exec/obidos/subst/home/home.html/262-6263521-6325360?_encoding=UTF8&link_code=hom&tag=Toshibafrbholink-21 (file missing)
O9 - Extra button: eBay - {C08CAF1D-C0A3-40D5-9970-06D067EAC017} - http://www.webtip.ch/cgi-bin/toshiba/tracker_url.pl?FR (file missing)
O13 - Gopher Prefix: 
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - https://www.touslesdrivers.com/index.php?v_page=29
O20 - AppInit_DLLs: c:\windows\system32\fibunewu.dll C:\Windows\system32ukabipe.dll c:\windows\system32\jusirodo.dll
O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - (no file)
O23 - Service: afisicx  Service (afisicx) - Unknown owner - C:\Windows\system32\afisicx.exe
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: mabidwe  Service (mabidwe) - Unknown owner - C:\Windows\system32\mabidwe.exe
O23 - Service: sopidkc  Service (sopidkc) - Unknown owner - C:\Windows\system32\sopidkc.exe
O23 - Service: Tcp ipx Service (Tcpipsrv) - Unknown owner - c:\windows\$ntunistalls\svchost.exe
O23 - Service: TOSHIBA Optical Disc Drive Service (TODDSrv) - TOSHIBA Corporation - C:\Windows\system32\TODDSrv.exe
O23 - Service: TOSHIBA Power Saver (TosCoSrv) - TOSHIBA Corporation - C:\Program Files\TOSHIBA\Power Saver\TosCoSrv.exe
O23 - Service: TOSHIBA Bluetooth Service - Unknown owner - c:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe (file missing)
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe

Utilisateur anonyme · Accepted Answer

Salut Laura , effectivement ...


élécharge Navilog1 sur ton bureau : 

http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe 

!! Déconnecte toi,désactive tes défenses( anti-virus,anti-spyware ) et ferme bien toutes tes applications le temps de la manipe !! 

Ensuite double clique sur navilog1.exe pour lancer l'installation. 
Une fois l'installation terminée, le fix s'exécutera automatiquement. 
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau). 

Laisse-toi guider. Au menu principal, choisis 1 et valide . 
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord) 

Patiente jusqu'au message : 
*** Analyse Termine le ..... *** 

Appuie sur une touche comme demandé, le bloc-note va s'ouvrir. 
Copie-colle l'intégralité de son contenu dans ta prochaine réponse et attends la suite . 

(Le rapport est en outre sauvegardé à la racine du disque "C\:fixnavi.txt" ) 

TUTO (aide) : http://www.malekal.com/Adware.Magic_Control.php#mozTocId595901

laura · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:11:40, on 16/03/2009
Platform: Windows Vista  (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16809)
Boot mode: Normal

Running processes:
C:\Windows\Explorer.EXE
C:\Windows\system32\3361\svchost.exe
C:\Windows\System32\infundll33.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\TOSHIBA\Toshiba Online Product Information\TOPI.exe
C:\Program Files\Common Files\Real\Update_OBealsched.exe
C:\Program Files\Orange\Systray\SystrayApp.exe
C:\Windows\vsnpstd.exe
C:\Windows\RtHDVCpl.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\TOSHIBA\Utilities\KeNotify.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\hgcheck.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Windows\System32\msrstart.exe
C:\Program Files\Camera Assistant Software for Toshiba	raybar.exe
C:\Program Files\TOSHIBA\TOSCDSPD\TOSCDSPD.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Synaptics\SynTP\SynToshiba.exe
C:\Program Files\Camera Assistant Software for Toshiba\CEC_MAIN.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\3361\svchost.exe
C:\Windows\System32\infundll33.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Common Files\Real\Update_OBealsched.exe
C:\Program Files\Orange\Systray\SystrayApp.exe
C:\Windows\vsnpstd.exe
C:\Windows\RtHDVCpl.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\TOSHIBA\Utilities\KeNotify.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Windows\System32\igfxtray.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\hgcheck.exe
C:\Program Files\Camera Assistant Software for Toshiba	raybar.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Windows\ehome\ehtray.exe
C:\Users\Angélique\AppData\Local\wkewkio.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Windows\system32\igfxsrvc.exe
C:\Program Files\Camera Assistant Software for Toshiba\CEC_MAIN.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Synaptics\SynTP\SynToshiba.exe
C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
C:\Windows\system32\conime.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32	askeng.exe
C:\Windows\system32	askeng.exe
C:\Windows\system32\UI0Detect.exe
C:\Windows\system32\umtcdtw.sys
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\Orange\SearchURLHook\SearchPageURL.dll
F2 - REG:system.ini: UserInit=C:\Windows\system32\userinit.exe,userinit.exe,
O1 - Hosts: 92.62.101.129 google.co.uk
O1 - Hosts: 92.62.101.129 google.co.in
O1 - Hosts: 92.62.101.129 google.com
O1 - Hosts: 92.62.101.129 google.ru
O1 - Hosts: 92.62.101.129 google.de
O1 - Hosts: 92.62.101.129 google.ca
O1 - Hosts: 92.62.101.129 google.fr
O1 - Hosts: 92.62.101.129 google.it
O1 - Hosts: 92.62.101.129 google.es
O1 - Hosts: 92.62.101.129 google.pl
O1 - Hosts: 92.62.101.129 google.nl
O1 - Hosts: 92.62.101.129 www.google.co.uk
O1 - Hosts: 92.62.101.129 www.google.co.in
O1 - Hosts: 92.62.101.129 www.google.com
O1 - Hosts: 92.62.101.129 www.google.ru
O1 - Hosts: 92.62.101.129 www.google.de
O1 - Hosts: 92.62.101.129 www.google.ca
O1 - Hosts: 92.62.101.129 www.google.fr
O1 - Hosts: 92.62.101.129 www.google.it
O1 - Hosts: 92.62.101.129 www.google.es
O1 - Hosts: 92.62.101.129 www.google.pl
O1 - Hosts: 92.62.101.129 www.google.nl
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {0f8b900a-324f-4f48-a4b4-8f184ec5ad8c} - C:\Windows\system32\zutozube.dll (file missing)
O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files\Winamp Toolbar\winamptb.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayerpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Skyrock Toolbar - {A057A204-BACC-4D26-969A-2AB983EE729B} - C:\PROGRA~1\SKYROC~1\SKYROC~1.DLL
O2 - BHO: Megaupload Toolbar - {A057A204-BACC-4D26-C39E-35F1D2A32EC8} - C:\PROGRA~1\MEGAUP~2\MEGAUP~1.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: MegaIEMn - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - C:\Program Files\Megaupload\Mega Manager\MegaIEMn.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O2 - BHO: {1d4a2b1d-7066-0b68-cb04-893758140e8c} - {c8e04185-7398-40bc-86b0-6607d1b2a4d1} - C:\Windows\system32\vegfvy.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O3 - Toolbar: Megaupload Toolbar - {A057A204-BACC-4D26-C39E-35F1D2A32EC8} - C:\PROGRA~1\MEGAUP~2\MEGAUP~1.DLL
O3 - Toolbar: Skyrock Toolbar - {A057A204-BACC-4D26-969A-2AB983EE729B} - C:\PROGRA~1\SKYROC~1\SKYROC~1.DLL
O4 - HKLM\..\Run: [svchost.exe] "C:\Windows\system32\3361\svchost.exe"
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [topi] C:\Program Files\TOSHIBA\Toshiba Online Product Information	opi.exe -startup
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [SystrayORAHSS] "C:\Program Files\Orange\Systray\SystrayApp.exe"
O4 - HKLM\..\Run: [SynTPStart] C:\Program Files\Synaptics\SynTP\SynTPStart.exe
O4 - HKLM\..\Run: [SVPWUTIL] C:\Program Files\TOSHIBA\Utilities\SVPWUTIL.exe SVPwUTIL
O4 - HKLM\..\Run: [snpstd] C:\Windows\vsnpstd.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [ORAHSSSessionManager] C:\Program Files\Orange\SessionManager\SessionManager.exe
O4 - HKLM\..\Run: [KeNotify] C:\Program Files\TOSHIBA\Utilities\KeNotify.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [hgcheck] C:\Windows\System32\hgcheck.exe
O4 - HKLM\..\Run: [gabaroriju] Rundll32.exe "C:\Windows\system32\febihago.dll",s
O4 - HKLM\..\Run: [Explorer] C:\Windows\system32\msrstart.exe
O4 - HKLM\..\Run: [Camera Assistant Software] "C:\Program Files\Camera Assistant Software for Toshiba	raybar.exe"
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [MSConfig] "C:\Windows\system32\msconfig.exe" /auto
O4 - HKLM\..\RunOnce: [svchost.exe] "C:\Windows\system32\3361\svchost.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [wkewkio] "c:\users\angélique\appdata\local\wkewkio.exe" wkewkio
O4 - HKLM\..\Policies\Explorer\Run: [xccinit] C:\Windows\system32\infundll33.exe C:\Windows\xccdf16_090313a.dll xccd16
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User '?')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User '?')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User '?')
O4 - HKUS\S-1-5-21-406981787-4262907449-3248825866-1000\..\Run: [TOSCDSPD] C:\Program Files\TOSHIBA\TOSCDSPD\TOSCDSPD.exe (User '?')
O4 - HKUS\S-1-5-21-406981787-4262907449-3248825866-1001\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun (User '?')
O4 - HKUS\S-1-5-18\..\Run: [Win32load] C:\Windows\system32\config\systemprofile\AppData\Roaming\syssl.exe -lds (User '?')
O4 - HKUS\.DEFAULT\..\Run: [Win32load] C:\Windows\system32\config\systemprofile\AppData\Roaming\syssl.exe -lds (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin
pjpi160.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin
pjpi160.dll
O9 - Extra button: eBay - Achetez, Vendez - {76577871-04EC-495E-A12B-91F7C3600AFA} - https://www.ebay.fr (file missing)
O9 - Extra button: Amazon.fr - {8A918C1D-E123-4E36-B562-5C1519E434CE} - https://www.amazon.fr/exec/obidos/subst/home/home.html/262-6263521-6325360?_encoding=UTF8&link_code=hom&tag=Toshibafrbholink-21 (file missing)
O9 - Extra button: eBay - {C08CAF1D-C0A3-40D5-9970-06D067EAC017} - http://www.webtip.ch/cgi-bin/toshiba/tracker_url.pl?FR (file missing)
O13 - Gopher Prefix: 
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - https://www.touslesdrivers.com/index.php?v_page=29
O20 - AppInit_DLLs: c:\windows\system32\fibunewu.dll C:\Windows\system32ukabipe.dll c:\windows\system32\jusirodo.dll
O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - (no file)
O23 - Service: afisicx  Service (afisicx) - Unknown owner - C:\Windows\system32\afisicx.exe
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: mabidwe  Service (mabidwe) - Unknown owner - C:\Windows\system32\mabidwe.exe
O23 - Service: sopidkc  Service (sopidkc) - Unknown owner - C:\Windows\system32\sopidkc.exe
O23 - Service: Tcp ipx Service (Tcpipsrv) - Unknown owner - c:\windows\$ntunistalls\svchost.exe
O23 - Service: TOSHIBA Optical Disc Drive Service (TODDSrv) - TOSHIBA Corporation - C:\Windows\system32\TODDSrv.exe
O23 - Service: TOSHIBA Power Saver (TosCoSrv) - TOSHIBA Corporation - C:\Program Files\TOSHIBA\Power Saver\TosCoSrv.exe
O23 - Service: TOSHIBA Bluetooth Service - Unknown owner - c:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe (file missing)
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe

Efron · Answer

Verdict Grosse angine ;s.

Non serieusement quesque tu veux qu'on fasse?

julow · Answer

Je ne suis pas du tout expert en analyse de log HijackThis... Mais tente un scan antivirus complet avec Malwarebyte's une fois celui ci mis à jour et tu verras déjà si tu as de vilaines bebetes ^^

++

laura · Answer

c'est deja fait
mais la c'est plus grave que ça
redirction host etc....
pas grave je vais me debrouiller
merci quand meme
a bientot

laura · Answer

ok chiquitine je t avais pas vu
pas de soucis je te suis a lettre
un membre m a deja dis que tu etait super bon !!
je fais ce que tu me dis
merci

laura · Answer

Search Navipromo version 3.7.1 commencé le 16/03/2009 à 15:28:40,69

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files
avilog1

Mise à jour le 02.01.2009 à 19h00 par IL-MAFIOSO


 (  :  )

USER : Angélique ( Administrator )







Recherche executé en mode normal

*** Recherche Programmes installés ***


*** Recherche dossiers dans "C:\Windows" ***


*** Recherche dossiers dans "C:\Program Files" ***


*** Recherche dossiers dans "c:\progra~2\micros~1\windows\startm~1\programs" ***


*** Recherche dossiers dans "c:\progra~2\micros~1\windows\startm~1" ***


*** Recherche dossiers dans "C:\ProgramData" ***


*** Recherche dossiers dans "c:\users\angliq~1\appdataoaming\micros~1\windows\startm~1\programs" ***


*** Recherche dossiers dans "C:\Users\Ang‚lique\AppData\Local\virtualstore\Program Files" ***


*** Recherche dossiers dans "C:\Users\sophie\AppData\Local\virtualstore\Program Files" ***



*** Recherche dossiers dans "C:\Users\Ang‚lique\AppData\Local" ***



*** Recherche dossiers dans "C:\Users\sophie\AppData\Local" *** 




*** Recherche dossiers dans "C:\Users\Ang‚lique\AppData\Roaming" ***


*** Recherche dossiers dans "C:\Users\sophie\appdataoaming" ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Scan Catchme non réalisé.
Droits limités sur la session actuelle.

*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\Windows\system32" *

* Recherche dans "C:\Users\Ang‚lique\AppData\Local\Microsoft" *

* Recherche dans "C:\Users\Ang‚lique\AppData\Local\virtualstore\windows\system32" *

* Recherche dans "C:\Users\Ang‚lique\AppData\Local" *

* Recherche dans "C:\Users\sophie\AppData\Local" * 



*** Recherche fichiers *** 



*** Recherche clés spécifiques dans le Registre ***
!! Les clés trouvées ne sont pas forcément infectées !!


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"wkewkio"="\"c:\users\ang‚lique\appdata\local\wkewkio.exe\" wkewkio"


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans "C:\Windows\system32" :


* Dans "C:\Users\Ang‚lique\AppData\Local\Microsoft" :


* Dans "C:\Users\Ang‚lique\AppData\Local\virtualstore\windows\system32" :


* Dans "C:\Users\Ang‚lique\AppData\Local" :

wkewkio.exe trouvé !
wkewkio.dat trouvé !
wkewkio_nav.dat trouvé !
wkewkio_navps.dat trouvé !

* Dans "C:\Users\sophie\AppData\Local" : 


3)Recherche Certificats :

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat Montorgueil absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche autres dossiers et fichiers connus :



*** Analyse terminée le 16/03/2009 à 15:29:57,38 ***

laura · Answer

Recherche executé en mode normal

*** Recherche Programmes installés ***


*** Recherche dossiers dans "C:\Windows" ***


*** Recherche dossiers dans "C:\Program Files" ***


*** Recherche dossiers dans "c:\progra~2\micros~1\windows\startm~1\programs" ***


*** Recherche dossiers dans "c:\progra~2\micros~1\windows\startm~1" ***


*** Recherche dossiers dans "C:\ProgramData" ***


*** Recherche dossiers dans "c:\users\angliq~1\appdataoaming\micros~1\windows\startm~1\programs" ***


*** Recherche dossiers dans "C:\Users\Ang‚lique\AppData\Local\virtualstore\Program Files" ***


*** Recherche dossiers dans "C:\Users\sophie\AppData\Local\virtualstore\Program Files" ***



*** Recherche dossiers dans "C:\Users\Ang‚lique\AppData\Local" ***



*** Recherche dossiers dans "C:\Users\sophie\AppData\Local" *** 




*** Recherche dossiers dans "C:\Users\Ang‚lique\AppData\Roaming" ***


*** Recherche dossiers dans "C:\Users\sophie\appdataoaming" ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Scan Catchme non réalisé.
Droits limités sur la session actuelle.

*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\Windows\system32" *

* Recherche dans "C:\Users\Ang‚lique\AppData\Local\Microsoft" *

* Recherche dans "C:\Users\Ang‚lique\AppData\Local\virtualstore\windows\system32" *

* Recherche dans "C:\Users\Ang‚lique\AppData\Local" *

* Recherche dans "C:\Users\sophie\AppData\Local" * 



*** Recherche fichiers *** 



*** Recherche clés spécifiques dans le Registre ***
!! Les clés trouvées ne sont pas forcément infectées !!


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"wkewkio"="\"c:\users\ang‚lique\appdata\local\wkewkio.exe\" wkewkio"


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans "C:\Windows\system32" :


* Dans "C:\Users\Ang‚lique\AppData\Local\Microsoft" :


* Dans "C:\Users\Ang‚lique\AppData\Local\virtualstore\windows\system32" :


* Dans "C:\Users\Ang‚lique\AppData\Local" :

wkewkio.exe trouvé !
wkewkio.dat trouvé !
wkewkio_nav.dat trouvé !
wkewkio_navps.dat trouvé !

* Dans "C:\Users\sophie\AppData\Local" : 


3)Recherche Certificats :

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat Montorgueil absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche autres dossiers et fichiers connus :



*** Analyse terminée le 16/03/2009 à 15:29:57,38 ***

Utilisateur anonyme · Answer

Fais un Clic-droit sur le raccourci Navilog1 présent sur ton bureau et choisis "Exécuter en tant qu'administrateur". 

Au menu principal, Fais le choix 2 
Laisse toi guider et patiente. 
Le fix va t'informer qu'il va alors redémarrer ton PC 
Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts 
Appuie sur une touche comme demandé. 
(si ton Pc ne redémarre pas automatiquement, fais-le toi-même) 
Au redémarrage de ton PC, choisis ta session habituelle si nécessaire. 
Patiente jusqu'au message : 
*** Nettoyage Termine le ..... *** 
Le blocnote va s'ouvrir. 
Sauvegarde le rapport de manière à le retrouver 
Referme le blocnote. Ton bureau va réapparaître 


PS:Si ton bureau ne réapparaît pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches. 
Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter" 
Tape explorer et valide. Cela te fera apparaître ton bureau

laura · Answer

Clean Navipromo version 3.7.1 commencé le 16/03/2009 à 15:38:09,02

Outil exécuté depuis C:\Program Files
avilog1

Mise à jour le 02.01.2009 à 19h00 par IL-MAFIOSO


 (  :  )

USER : Angélique ( Administrator )







Mode suppression automatique 
avec prise en charge résultats Catchme et GNS


Nettoyage executé en mode sans échec

 
*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)
 

*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans "C:\Windows\System32" *


* Suppression dans "C:\Users\Ang‚lique\AppData\Local\Microsoft" *


* Suppression dans "C:\Users\Ang‚lique\AppData\Local\virtualstore\windows\system32" *


* Suppression dans "C:\Users\Ang‚lique\AppData\Local" *


* Suppression dans "C:\Users\sophie\AppData\Local" *



*** Suppression dossiers dans "C:\Windows" ***


*** Suppression dossiers dans "C:\Program Files" ***


*** Suppression dossiers dans "c:\progra~2\micros~1\windows\startm~1\programs" ***


*** Suppression dossiers dans "c:\progra~2\micros~1\windows\startm~1" ***


*** Suppression dossiers dans "C:\ProgramData" ***


*** Suppression dossiers dans c:\users\angliq~1\appdataoaming\micros~1\windows\startm~1\programs ***


*** Suppression dossiers dans "C:\Users\sophie\appdataoaming\micros~1\windows\startm~1\programs" ***


*** Suppression dossiers dans "C:\Users\Ang‚lique\AppData\Local\virtualstore\Program Files" ***


*** Suppression dossiers dans "C:\Users\sophie\AppData\Local\virtualstore\Program Files" ***


*** Suppression dossiers dans "C:\Users\Ang‚lique\AppData\Local" ***


*** Suppression dossiers dans "C:\Users\sophie\AppData\Local" *** 


*** Suppression dossiers dans "C:\Users\Ang‚lique\AppData\Roaming" ***


*** Suppression dossiers dans "C:\Users\sophie\appdataoaming" *** 



*** Suppression fichiers ***


*** Suppression fichiers temporaires ***

Nettoyage contenu C:\Windows\Temp effectué !
Nettoyage contenu C:\Users\ANGLIQ~1\AppData\Local\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

2)Recherche, création sauvegardes et suppression Heuristique :


* Dans "C:\Windows\system32" *



* Dans "C:\Users\Ang‚lique\AppData\Local\Microsoft" *



* Dans "C:\Users\Ang‚lique\AppData\Local\virtualstore\windows\system32" *



* Dans "C:\Users\Ang‚lique\AppData\Local" *


wkewkio.exe trouvé ! 
Copie wkewkio.exe réalisée avec succès !
wkewkio.exe supprimé !

wkewkio.dat trouvé ! 
Copie wkewkio.dat réalisée avec succès !
wkewkio.dat supprimé !

wkewkio_nav.dat trouvé ! 
Copie wkewkio_nav.dat réalisée avec succès !
wkewkio_nav.dat supprimé !

wkewkio_navps.dat trouvé ! 
Copie wkewkio_navps.dat réalisée avec succès !
wkewkio_navps.dat supprimé !


* Dans "C:\Users\sophie\AppData\Local" * 



*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok


*** Certificats ***

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat Montorgueil absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltdt absent !


*** Recherche autres dossiers et fichiers connus ***



*** Nettoyage terminé le 16/03/2009 à 15:39:35,66 ***

laura · Answer

meLogfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:43:02, on 16/03/2009
Platform: Windows Vista  (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16809)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32	askeng.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\3361\svchost.exe
C:\Windows\System32\infundll33.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Common Files\Real\Update_OBealsched.exe
C:\Program Files\Orange\Systray\SystrayApp.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Synaptics\SynTP\SynToshiba.exe
C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
C:\Windows\vsnpstd.exe
C:\Windows\RtHDVCpl.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\TOSHIBA\Utilities\KeNotify.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Windows\System32\igfxtray.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\hgcheck.exe
C:\Windows\system32\igfxsrvc.exe
C:\Program Files\Camera Assistant Software for Toshiba	raybar.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Camera Assistant Software for Toshiba\CEC_MAIN.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Windows\System32\mobsync.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\Orange\SearchURLHook\SearchPageURL.dll
F2 - REG:system.ini: UserInit=C:\Windows\system32\userinit.exe,userinit.exe,
O1 - Hosts: 92.62.101.129 google.co.uk
O1 - Hosts: 92.62.101.129 google.co.in
O1 - Hosts: 92.62.101.129 google.com
O1 - Hosts: 92.62.101.129 google.ru
O1 - Hosts: 92.62.101.129 google.de
O1 - Hosts: 92.62.101.129 google.ca
O1 - Hosts: 92.62.101.129 google.fr
O1 - Hosts: 92.62.101.129 google.it
O1 - Hosts: 92.62.101.129 google.es
O1 - Hosts: 92.62.101.129 google.pl
O1 - Hosts: 92.62.101.129 google.nl
O1 - Hosts: 92.62.101.129 www.google.co.uk
O1 - Hosts: 92.62.101.129 www.google.co.in
O1 - Hosts: 92.62.101.129 www.google.com
O1 - Hosts: 92.62.101.129 www.google.ru
O1 - Hosts: 92.62.101.129 www.google.de
O1 - Hosts: 92.62.101.129 www.google.ca
O1 - Hosts: 92.62.101.129 www.google.fr
O1 - Hosts: 92.62.101.129 www.google.it
O1 - Hosts: 92.62.101.129 www.google.es
O1 - Hosts: 92.62.101.129 www.google.pl
O1 - Hosts: 92.62.101.129 www.google.nl
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {0f8b900a-324f-4f48-a4b4-8f184ec5ad8c} - C:\Windows\system32\zutozube.dll (file missing)
O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files\Winamp Toolbar\winamptb.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayerpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Skyrock Toolbar - {A057A204-BACC-4D26-969A-2AB983EE729B} - C:\PROGRA~1\SKYROC~1\SKYROC~1.DLL
O2 - BHO: Megaupload Toolbar - {A057A204-BACC-4D26-C39E-35F1D2A32EC8} - C:\PROGRA~1\MEGAUP~2\MEGAUP~1.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: MegaIEMn - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - C:\Program Files\Megaupload\Mega Manager\MegaIEMn.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O2 - BHO: {1d4a2b1d-7066-0b68-cb04-893758140e8c} - {c8e04185-7398-40bc-86b0-6607d1b2a4d1} - C:\Windows\system32\vegfvy.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O3 - Toolbar: Megaupload Toolbar - {A057A204-BACC-4D26-C39E-35F1D2A32EC8} - C:\PROGRA~1\MEGAUP~2\MEGAUP~1.DLL
O3 - Toolbar: Skyrock Toolbar - {A057A204-BACC-4D26-969A-2AB983EE729B} - C:\PROGRA~1\SKYROC~1\SKYROC~1.DLL
O4 - HKLM\..\Run: [svchost.exe] "C:\Windows\system32\3361\svchost.exe"
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [topi] C:\Program Files\TOSHIBA\Toshiba Online Product Information	opi.exe -startup
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [SystrayORAHSS] "C:\Program Files\Orange\Systray\SystrayApp.exe"
O4 - HKLM\..\Run: [SynTPStart] C:\Program Files\Synaptics\SynTP\SynTPStart.exe
O4 - HKLM\..\Run: [SVPWUTIL] C:\Program Files\TOSHIBA\Utilities\SVPWUTIL.exe SVPwUTIL
O4 - HKLM\..\Run: [snpstd] C:\Windows\vsnpstd.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [ORAHSSSessionManager] C:\Program Files\Orange\SessionManager\SessionManager.exe
O4 - HKLM\..\Run: [KeNotify] C:\Program Files\TOSHIBA\Utilities\KeNotify.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [hgcheck] C:\Windows\System32\hgcheck.exe
O4 - HKLM\..\Run: [gabaroriju] Rundll32.exe "C:\Windows\system32\febihago.dll",s
O4 - HKLM\..\Run: [Explorer] C:\Windows\system32\msrstart.exe
O4 - HKLM\..\Run: [Camera Assistant Software] "C:\Program Files\Camera Assistant Software for Toshiba	raybar.exe"
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\RunOnce: [svchost.exe] "C:\Windows\system32\3361\svchost.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKLM\..\Policies\Explorer\Run: [xccinit] C:\Windows\system32\infundll33.exe C:\Windows\xccdf16_090313a.dll xccd16
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User '?')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User '?')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User '?')
O4 - HKUS\S-1-5-21-406981787-4262907449-3248825866-1001\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun (User '?')
O4 - HKUS\S-1-5-18\..\Run: [Win32load] C:\Windows\system32\config\systemprofile\AppData\Roaming\syssl.exe -lds (User '?')
O4 - HKUS\.DEFAULT\..\Run: [Win32load] C:\Windows\system32\config\systemprofile\AppData\Roaming\syssl.exe -lds (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin
pjpi160.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin
pjpi160.dll
O9 - Extra button: eBay - Achetez, Vendez - {76577871-04EC-495E-A12B-91F7C3600AFA} - https://www.ebay.fr (file missing)
O9 - Extra button: Amazon.fr - {8A918C1D-E123-4E36-B562-5C1519E434CE} - https://www.amazon.fr/exec/obidos/subst/home/home.html/262-6263521-6325360?_encoding=UTF8&link_code=hom&tag=Toshibafrbholink-21 (file missing)
O9 - Extra button: eBay - {C08CAF1D-C0A3-40D5-9970-06D067EAC017} - http://www.webtip.ch/cgi-bin/toshiba/tracker_url.pl?FR (file missing)
O13 - Gopher Prefix: 
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - https://www.touslesdrivers.com/index.php?v_page=29
O20 - AppInit_DLLs: c:\windows\system32\fibunewu.dll C:\Windows\system32ukabipe.dll c:\windows\system32\jusirodo.dll
O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - (no file)
O23 - Service: afisicx  Service (afisicx) - Unknown owner - C:\Windows\system32\afisicx.exe
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: mabidwe  Service (mabidwe) - Unknown owner - C:\Windows\system32\mabidwe.exe
O23 - Service: sopidkc  Service (sopidkc) - Unknown owner - C:\Windows\system32\sopidkc.exe
O23 - Service: Tcp ipx Service (Tcpipsrv) - Unknown owner - c:\windows\$ntunistalls\svchost.exe
O23 - Service: TOSHIBA Optical Disc Drive Service (TODDSrv) - TOSHIBA Corporation - C:\Windows\system32\TODDSrv.exe
O23 - Service: TOSHIBA Power Saver (TosCoSrv) - TOSHIBA Corporation - C:\Program Files\TOSHIBA\Power Saver\TosCoSrv.exe
O23 - Service: TOSHIBA Bluetooth Service - Unknown owner - c:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe (file missing)
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe

Utilisateur anonyme · Answer

Télécharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe 




-> Double clique sur combofix.exe. 
-> Tape sur la touche 1 (Yes) pour démarrer le scan. 
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse. 

NOTE : Le rapport se trouve également ici : C:\Combofix.txt 

Avant d'utiliser ComboFix : 

-> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours. 

-> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent géner fortement la procédure de recherche et de nettoyage de l'outil. 

Une fois fait, sur ton bureau double-clic sur Combofix.exe. 

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc. 

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes. 

- En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire. 

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt) 

-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. 

-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message. 

-> Tutoriel https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

laura · Answer

ComboFix 09-03-15.01 - Angélique 2009-03-17 13:29:57.3 - NTFSx86
Lancé depuis: c:\users\Angélique\Downloads\ComboFix.exe
Commutateurs utilisés :: c:\users\Angélique\Desktop\CFScript.txt

FILE ::
c:\windows\$ntunistalls\svchost.exe
c:\windows\_MSRSTRT.EXE
c:\windows\MegaManager.INI
c:\windows\System32\coh.cache
c:\windows\system32\config\systemprofile\AppData\Roaming\syssl.exe
c:\windows\system32\msrstart.exe
c:\windows\System32\MSWINSCK.OCX
c:\windows\System32\pawovuda.dll
c:\windows\System32\zeberove.dll
c:\windows\system32\zutozube.dll
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\progra~1\MEGAUP~2
c:\progra~1\MEGAUP~2\megauploadtoolbar.dll
c:\progra~1\MEGAUP~2\tbuninstall.exe
c:\progra~1\MEGAUP~2\toolbar.ini
c:\progra~1\MEGAUP~2\uninstall.exe
c:\program files\Conduit
c:\program files\Conduit\Community Alerts\Alert.dll
c:\program files\MegauploadToolbar\megauploadtoolbar.dll
c:\program files\MegauploadToolbar\tbuninstall.exe
c:\program files\MegauploadToolbar\toolbar.ini
c:\program files\MegauploadToolbar\uninstall.exe
c:\program files\Trend Micro
c:\program files\Trend Micro\HijackThis\backups\backup-20090316-192034-156
c:\program files\Trend Micro\HijackThis\backups\backup-20090316-192034-511
c:\program files\Trend Micro\HijackThis\backups\backup-20090316-192034-594
c:\program files\Trend Micro\HijackThis\backups\backup-20090316-192034-618
c:\program files\Trend Micro\HijackThis\backups\backup-20090316-192034-806
c:\program files\Trend Micro\HijackThis\backups\backup-20090316-192034-822
c:\program files\Trend Micro\HijackThis\backups\backup-20090316-192034-935
c:\program files\Trend Micro\HijackThis\backups\backup-20090316-193540-721
c:\program files\Trend Micro\HijackThis\backups\backup-20090316-193540-941
c:\program files\Trend Micro\HijackThis\backups\backup-20090316-193617-489
c:\program files\Trend Micro\HijackThis\HijackThis.exe
c:\program files\Trend Micro\HijackThis\hijackthis.log
c:\programdata\Megaupload
c:\programdata\Megaupload\Megauper.exe
C:\ToolBar SD
c:\toolbar sd\AutrInf.cmd
c:\toolbar sd\Back.cmd
c:\toolbar sd\Backup-TB\Reg\HKCU_Run.reg
c:\toolbar sd\Backup-TB\Reg\HKLM_BHO.reg
c:\toolbar sd\Backup-TB\Reg\HKLM_Classes.reg
c:\toolbar sd\Backup-TB\Reg\HKLM_Run.reg
c:\toolbar sd\Backup-TB\Reg\HKLM_ToolBar.reg
c:\toolbar sd\Backup-TB\Reg\HKLM_Uninstall.reg
c:\toolbar sd\Changelog ToolBar.txt
c:\toolbar sd\DemP.cmd
c:\toolbar sd\DirectFix.cmd
c:\toolbar sd\Discl_en.vbs
c:\toolbar sd\Discl_fr.vbs
c:\toolbar sd\Discl_sp.vbs
c:\toolbar sd\Doss.tbsd
c:\toolbar sd\Fich.cmd
c:\toolbar sd\FixExt.cmd
c:\toolbar sd\iNv.exe
c:\toolbar sd\Kill.cmd
c:\toolbar sd\Langues.cmd
c:\toolbar sd\Orph.egd
c:\toolbar sd\OsV.exe
c:\toolbar sd\paths.bat
c:\toolbar sd\pv.exe
c:\toolbar sd\Rech.cmd
c:\toolbar sd\RegP2.txt
c:\toolbar sd\RegP3.txt
c:\toolbar sd\RegP4.txt
c:\toolbar sd\RegP5.txt
c:\toolbar sd\RegPCU.txt
c:\toolbar sd\RegPLM.txt
c:\toolbar sd\RegTBSD.reg
c:\toolbar sd\RKit.lsd
c:\toolbar sd\RoGUeS.lsd
c:\toolbar sd\sed.exe
c:\toolbar sd\setpath.exe
c:\toolbar sd\ToolBarSD.cmd
c:\toolbar sd\ToolBarSD.ico
c:\users\Angélique\AppData\Roaming\MegauploadToolbar
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\__slider.bmp
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\bottom.png
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\bottom_left.png
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\bottom_right.png
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\connect.ico
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\dictionary2.bmp
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\dnload.bmp
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\dnloado.bmp
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\email_b.bmp
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\ErrorPageTemplate.css
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\ErrorPageTemplate_search.css
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\extend.bmp
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\extendi.bmp
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\extendo.bmp
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\graphred0.bmp
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\graphred0_5.bmp
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\graphred1.bmp
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\graphred1_5.bmp
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\graphred2.bmp
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\graphred2_5.bmp
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\graphred3.bmp
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\graphred3_5.bmp
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\graphred4.bmp
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\graphred4_5.bmp
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\graphred5.bmp
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\happyhour.bmp
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\happyhouri.bmp
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\happyhouro.bmp
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\help.gif
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\history.cfg
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\info.bmp
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\left.png
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\links.bmp
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\logo.bmp
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\logoo.bmp
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\marrow.bmp
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\megauploadtoolbartb0501.cfg
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\mv.bmp
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\powered_by_yahoo.bmp
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\right.png
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\RotCats.txt
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\search.bmp
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\search.gif
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\search_fr.gif
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\search_mag.bmp
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\search_main.bmp
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\searcho.bmp
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\settings.cfg
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\slider.bmp
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\tab_icon.png
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\tablib.js
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\tabwelcome.html
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\top.png
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\top_left.png
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\top_right.png
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\upload.bmp
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\uploado.bmp
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\VidCats.txt
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\yahoo_search.gif
c:\windows\$ntunistalls\svchost.exe
c:\windows\_MSRSTRT.EXE
c:\windows\MegaManager.INI
c:\windows\System32\3361
c:\windows\System32\3361\mlog
c:\windows\System32\coh.cache
c:\windows\system32\drivers\senekaingdotpq.sys
c:\windows\system32\evorebez.ini
c:\windows\system32\msrstart.exe
c:\windows\System32\MSWINSCK.OCX
c:\windows\System32\pawovuda.dll
c:\windows\system32\senekaabqecjsi.dll
c:\windows\system32\senekafbqudupu.dat
c:\windows\system32\senekaicxbxjuh.dat
c:\windows\system32\senekaxsbvmfmj.dll
c:\windows\system32\senekaxtftrbps.dll

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_SENEKA
-------\Service_SENEKA
-------\Service_Tcpipsrv

((((((((((((((((((((((((((((( Fichiers créés du 2009-02-17 au 2009-03-17 ))))))))))))))))))))))))))))))))))))
.

Pas de nouveau fichier créé dans ce laps de temps

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-17 13:00 3,670,016 --sha-w c:\users\Angélique\ntuser.dat
2009-03-17 13:00 3,670,016 --sha-w c:\users\Angélique\ntuser.dat
2009-03-16 18:49 --------- d--h--w c:\program files\InstallShield Installation Information
2009-03-16 18:40 --------- d-----w c:\programdata\Avira
2009-03-16 18:40 --------- d-----w c:\program files\Avira
2009-03-14 18:38 --------- d-----w c:\program files\Bonjour
2009-03-14 11:51 --------- d-----w c:\program files\Error Repair Professional
2009-03-14 11:49 --------- d-----w c:\program files\Combined Community Codec Pack
2009-03-14 10:17 --------- d-----w c:\users\Angélique\AppData\Roaming\Malwarebytes
2009-03-14 09:15 --------- d-----w c:\program files\Lavalys
2009-03-13 17:54 --------- d-----w c:\users\sophie\AppData\Roaming\Toshiba
2009-03-13 16:39 --------- d-----w c:\program files\CCleaner
2009-03-13 16:38 --------- d-----w c:\program files\Common Files\Wise Installation Wizard
2009-03-13 16:37 --------- d-----w c:\users\sophie\AppData\Roaming\Malwarebytes
2009-03-13 16:37 --------- d-----w c:\programdata\Malwarebytes
2009-03-13 16:37 --------- d-----w c:\program files\Malwarebytes' Anti-Malware
2009-03-06 15:58 --------- d-----w c:\program files\Alwil Software
2009-03-05 22:01 --------- d-----w c:\users\Angélique\AppData\Roaming\nidle
2009-03-05 21:57 --------- d-----w c:\program files\DivX
2009-03-05 21:46 --------- d-----w c:\program files\PCFriendly
2009-03-05 21:36 --------- d-----w c:\program files\Hotspot_Shield
2009-03-05 20:23 84,992 --sha-w c:\windows\System32\fedalajo.dll
2009-03-04 11:44 84,992 --sha-w c:\windows\System32\mowogova.dll
2009-03-03 18:01 84,992 --sha-w c:\windows\System32\hopipuwe.dll
2009-02-28 22:00 84,992 --sha-w c:\windows\System32\jajulaze.dll
2009-02-28 18:37 --------- d-----w c:\users\Angélique\AppData\Roaming\LimeWire
2009-02-21 15:03 --------- d-----w c:\users\sophie\AppData\Roaming\LimeWire
2009-02-15 23:14 --------- d-----w c:\program files\skyrocktbar
2009-02-15 17:43 --------- d-----w c:\program files\LimeWire
2009-02-15 16:50 --------- d-----w c:\users\Angélique\AppData\Roaming\AVS4YOU
2009-02-15 16:50 --------- d-----w c:\program files\AVS4YOU
2009-02-15 16:37 --------- d-----w c:\programdata\EmailNotifier
2009-01-23 18:27 --------- d-----w c:\users\Angélique\AppData\Roaming\DivX
2009-01-21 15:52 --------- d-----w c:\users\sophie\AppData\Roaming\DivX
2009-01-17 17:45 --------- d-----w c:\program files\Common Files\PX Storage Engine
2009-01-15 04:16 826,368 ----a-w c:\windows\System32\wininet.dll
2009-01-15 04:16 56,320 ----a-w c:\windows\System32\iesetup.dll
2009-01-15 04:16 52,736 ----a-w c:\windows\AppPatch\iebrshim.dll
2009-01-15 04:15 26,624 ----a-w c:\windows\System32\ieUnatt.exe
2008-12-12 02:16 174 --sha-w c:\program files\desktop.ini
.

(((((((((((((((((((((((((((((((((((((((((((( Look )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.

---- Directory of c:\temp\atmp8 ----

2009-03-05 23:00 1858 --a------ c:\temp\atmp8\ead.log

---- Directory of c:\users\Angélique\AppData\Roaming\nidle ----

2009-03-05 23:00 56832 --a------ c:\users\Angélique\AppData\Roaming\nidle\nidle.exe

---- Directory of c:\windows\$ntunistalls ----

2009-03-03 19:01 197120 ---hs---- c:\windows\$ntunistalls\svchost.exe

---- Directory of c:\windows\System32\aNI02 ----

2009-02-27 04:25 32768 --a------ c:\windows\System32\aNI02\aNI022328.exe

---- Directory of c:\windows\System32\MR ----

((((((((((((((((((((((((((((( SnapShot_2009-03-17_ 8.31.01.88 )))))))))))))))))))))))))))))))))))))))))
.
- 2009-03-16 20:07:50 140,608 ----a-w c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache3.0.0.0.dat
+ 2009-03-17 12:34:00 140,608 ----a-w c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache3.0.0.0.dat
- 2009-03-16 20:22:13 2,048 --sha-w c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
+ 2009-03-17 12:35:05 2,048 --sha-w c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
- 2009-03-16 20:22:13 2,048 --sha-w c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
+ 2009-03-17 12:35:05 2,048 --sha-w c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
- 2009-03-16 20:23:15 262,144 --sha-w c:\windows\ServiceProfiles\LocalService\ntuser.dat
+ 2009-03-17 12:45:53 262,144 --sha-w c:\windows\ServiceProfiles\LocalService\ntuser.dat
+ 2009-03-17 12:45:53 262,144 ---ha-w c:\windows\ServiceProfiles\LocalService\ntuser.dat.LOG1
- 2009-03-16 20:23:15 262,144 --sha-w c:\windows\ServiceProfiles\NetworkService\ntuser.dat
+ 2009-03-17 12:45:48 262,144 --sha-w c:\windows\ServiceProfiles\NetworkService\ntuser.dat
+ 2009-03-17 12:45:48 262,144 ---ha-w c:\windows\ServiceProfiles\NetworkService\ntuser.dat.LOG1
- 2009-03-17 07:27:45 49,152 --sha-w c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2009-03-17 12:35:04 49,152 --sha-w c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
- 2009-03-17 07:27:45 393,216 --sha-w c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
+ 2009-03-17 12:35:04 393,216 --sha-w c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
- 2009-03-17 07:27:45 65,536 --sha-w c:\windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2009-03-17 12:35:04 65,536 --sha-w c:\windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
- 2009-03-13 17:43:41 6,291,456 ----a-w c:\windows\System32\SMI\Store\Machine\schema.dat
+ 2009-03-17 11:04:35 6,291,456 ----a-w c:\windows\System32\SMI\Store\Machine\schema.dat
- 2009-03-16 20:24:51 9,138 ----a-w c:\windows\System32\WDI\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-406981787-4262907449-3248825866-1001_UserData.bin
+ 2009-03-17 12:28:44 9,162 ----a-w c:\windows\System32\WDI\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-406981787-4262907449-3248825866-1001_UserData.bin
- 2009-03-16 20:24:51 84,774 ----a-w c:\windows\System32\WDI\BootPerformanceDiagnostics_SystemData.bin
+ 2009-03-17 12:28:44 84,910 ----a-w c:\windows\System32\WDI\BootPerformanceDiagnostics_SystemData.bin
- 2009-03-16 20:13:25 57,980 ----a-w c:\windows\System32\WDI\ShutdownPerformanceDiagnostics_SystemData.bin
+ 2009-03-17 12:28:39 58,284 ----a-w c:\windows\System32\WDI\ShutdownPerformanceDiagnostics_SystemData.bin
- 2009-02-12 02:01:00 158,311,812 ----a-w c:\windows\winsxs\ManifestCache\6.0.6001.18000_001c50b5_blobs.bin
+ 2009-03-17 07:57:01 159,075,655 ----a-w c:\windows\winsxs\ManifestCache\6.0.6001.18000_001c50b5_blobs.bin
.
-- Instantané actualisé --
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0f8b900a-324f-4f48-a4b4-8f184ec5ad8c}]
c:\windows\system32\zutozube.dll [BU]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A057A204-BACC-4D26-969A-2AB983EE729B}]
2008-06-03 14:52 2012632 --a------ c:\progra~1\SKYROC~1\SKYROC~1.DLL

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{A057A204-BACC-4D26-969A-2AB983EE729B}"= "c:\progra~1\SKYROC~1\SKYROC~1.DLL" [2008-06-03 2012632]

[HKEY_CLASSES_ROOT\clsid\{a057a204-bacc-4d26-969a-2ab983ee729b}]
[HKEY_CLASSES_ROOT\skyrocktbar.SKYROCKTBAR]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{A057A204-BACC-4D26-969A-2AB983EE729B}"= "c:\progra~1\SKYROC~1\SKYROC~1.DLL" [2008-06-03 2012632]

[HKEY_CLASSES_ROOT\clsid\{a057a204-bacc-4d26-969a-2ab983ee729b}]
[HKEY_CLASSES_ROOT\skyrocktbar.SKYROCKTBAR]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-19 1232896]
"msnmsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-01-14 39408]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2006-11-02 125440]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinampAgent"="c:\program files\Winamp\winampa.exe" [2008-04-01 36352]
"topi"="c:\program files\TOSHIBA\Toshiba Online Product Information\topi.exe" [2007-07-10 581632]
"TkBellExe"="c:\program files\Common Files\Real\Update_OB\realsched.exe" [2008-02-07 185896]
"SystrayORAHSS"="c:\program files\Orange\Systray\SystrayApp.exe" [2007-09-25 94208]
"SynTPStart"="c:\program files\Synaptics\SynTP\SynTPStart.exe" [2007-07-27 204800]
"SVPWUTIL"="c:\program files\TOSHIBA\Utilities\SVPWUTIL.exe" [2006-03-22 438272]
"snpstd"="c:\windows\vsnpstd.exe" [2005-10-11 339968]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2008-09-06 413696]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-09-20 129560]
"ORAHSSSessionManager"="c:\program files\Orange\SessionManager\SessionManager.exe" [2007-09-25 102400]
"KeNotify"="c:\program files\TOSHIBA\Utilities\KeNotify.exe" [2006-11-06 34352]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2008-10-01 289576]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-09-20 141848]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2007-02-12 174872]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-09-20 154136]
"Camera Assistant Software"="c:\program files\Camera Assistant Software for Toshiba\traybar.exe" [2007-04-10 413696]
"AppleSyncNotifier"="c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-09-03 111936]
"RtHDVCpl"="RtHDVCpl.exe" [2007-09-03 c:\windows\RtHDVCpl.exe]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.dvacm"= c:\progra~1\COMMON~1\ULEADS~1\vio\dvacm.acm
"vidc.ffds"= c:\progra~1\COMBIN~1\Filters\FFDShow\ff_vfw.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\Antivirus-ashDisp.exe]
"Debugger"=c:\windows\system32\alg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\Antivirus-ashserv.exe]
"Debugger"=c:\windows\system32\alg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\Antivirus-ashSimpl.exe]
"Debugger"=c:\windows\system32\alg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\avesvc.exe]
"Debugger"=c:\windows\system32\alg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\bdmcon.exe]
"Debugger"=c:\windows\system32\alg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\bdnagent.exe]
"Debugger"=c:\windows\system32\alg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\bdss.exe]
"Debugger"=c:\windows\system32\alg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\bdswitch.exe]
"Debugger"=c:\windows\system32\alg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\DefWatch.exe]
"Debugger"=c:\windows\system32\alg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\xcommsvr.exe]
"Debugger"=c:\windows\system32\alg.exe

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk /p \??\C:\[u]0/uautocheck autochk *

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
--a------ 2008-06-12 13:28 266497 c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\eMuleAutoStart]
--a------ 2008-05-18 10:14 5799936 c:\program files\eMule\eMule.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Toshiba Registration]
--a------ 2007-02-19 15:00 571024 c:\program files\TOSHIBA\Registration\ToshibaRegistration.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-406981787-4262907449-3248825866-1000]
"EnableNotificationsRef"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{2AADE598-D30B-4020-84C1-D45D536EE837}"= c:\program files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)
"{CBD24638-2A19-4B78-A91C-F72D8E223730}"= UDP:c:\program files\LimeWire\LimeWire.exe:LimeWire
"{5FF44E8C-063A-4EE9-818A-A8DFEEC41855}"= TCP:c:\program files\LimeWire\LimeWire.exe:LimeWire
"{B7A716A7-4ED8-4B2A-BEC0-DA8881B3E345}"= UDP:c:\program files\IVT Corporation\BlueSoleil\BlueSoleil.exe:BlueSoleil
"{3EF6132F-255C-4919-8131-11E3E1ED3FDC}"= TCP:c:\program files\IVT Corporation\BlueSoleil\BlueSoleil.exe:BlueSoleil
"{1A7E7381-C340-4191-AA62-2BF35DDEAD47}"= UDP:c:\program files\iTunes\iTunes.exe:iTunes
"{B0220275-8A2C-4283-878B-F693E66D88AF}"= TCP:c:\program files\iTunes\iTunes.exe:iTunes
"TCP Query User{AC409A63-E931-4E4C-A2CB-6AAA883E4B4B}c:\\program files\\internet explorer\\iexplore.exe"= UDP:c:\program files\internet explorer\iexplore.exe:Internet Explorer
"UDP Query User{F802DFD6-676A-4343-B415-F203C112B618}c:\\program files\\internet explorer\\iexplore.exe"= TCP:c:\program files\internet explorer\iexplore.exe:Internet Explorer
"{C32D9118-011F-4B92-ACDE-FF855B0CDA91}"= UDP:c:\program files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe:Veoh Web Player
"{E5E79935-E3F3-4E17-BB9F-268BB3A0FAE2}"= TCP:c:\program files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe:Veoh Web Player
"{2A4CF6DD-F756-4D72-9B87-B9355F7ACDA8}"= UDP:c:\program files\Orange\Deskboard\Deskboard.exe:deskboard
"{0638A894-EDA4-42FE-AB6D-020A2EAB2966}"= TCP:c:\program files\Orange\Deskboard\Deskboard.exe:deskboard
"{B380569C-6A99-4C0E-970C-A1D0A43DA58E}"= UDP:c:\windows\System32\wininit.exe:wininit
"{AA27C693-EFD5-49A9-832B-A62B5E5D97DE}"= TCP:c:\windows\System32\wininit.exe:wininit
"{16FA3A40-E187-4724-A1B4-834D8351429B}"= UDP:c:\program files\Orange\Systray\SystrayApp.exe:SystrayApp
"{AC91D579-113C-4C12-AED3-FCAA0EE04884}"= TCP:c:\program files\Orange\Systray\SystrayApp.exe:SystrayApp
"{D81775A1-B7A7-45EB-BDFA-D8D90F767CC9}"= UDP:c:\windows\explorer.exe:Explorer
"{54A4E806-6CB9-4282-AC40-366C983AB977}"= TCP:c:\windows\explorer.exe:Explorer
"{0EF61965-D101-4AE0-96FA-1DCE2A0A9F75}"= UDP:c:\program files\Bonjour\mDNSResponder.exe:Bonjour
"{1BA8EB8C-FBF3-4BD4-8DAD-0B697016189C}"= TCP:c:\program files\Bonjour\mDNSResponder.exe:Bonjour
"{3C1EFE2C-5A9B-4AC9-9D16-D66D63E7E114}"= UDP:c:\program files\Common Files\France Telecom\Shared Modules\AlertModule\[u]0/u\AlertModule.exe:AlertModule
"{C35AEF5A-C597-4FD5-98AF-0599E0491925}"= TCP:c:\program files\Common Files\France Telecom\Shared Modules\AlertModule\[u]0/u\AlertModule.exe:AlertModule
"{A0C07B34-FA4A-4AD8-B0CA-01DD7BB44DFB}"= UDP:c:\windows\RtHDVCpl.exe:RtHDVCpl
"{82BFF3FC-F03F-4A45-8108-4D4D7B5699B9}"= TCP:c:\windows\RtHDVCpl.exe:RtHDVCpl
"{759FE909-AFB0-4340-98C4-E2F7DC93CECB}"= UDP:c:\combofix\NirCmd.cfexe:NirCmd
"{47A635DC-82BC-4083-816D-7200503E58B0}"= TCP:c:\combofix\NirCmd.cfexe:NirCmd
"{0F329B87-0929-413B-A1EE-1838CFCA42E6}"= UDP:c:\windows\System32\igfxpers.exe:igfxpers
"{B84D3E4A-584F-4FE2-9570-5CCB75B11FF6}"= TCP:c:\windows\System32\igfxpers.exe:igfxpers
"{634DEC58-1B08-420F-9AA0-3F4C9BAD984A}"= UDP:c:\windows\System32\mobsync.exe:mobsync
"{E7CE97ED-BA85-4D4C-8216-78EA6F9B1473}"= TCP:c:\windows\System32\mobsync.exe:mobsync
"{1401CA5E-8649-4D53-BE6B-350BFD908D86}"= UDP:c:\windows\System32\igfxtray.exe:igfxtray
"{4816D01E-01C8-4728-8B4C-40327168C0C7}"= TCP:c:\windows\System32\igfxtray.exe:igfxtray
"{E4E9ABFA-7968-45CA-88BF-1526017058EF}"= UDP:c:\windows\ehome\ehtray.exe:ehtray
"{E03B7B00-B8B4-4CDA-82D1-BD1DA045A0A5}"= TCP:c:\windows\ehome\ehtray.exe:ehtray

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System]
"DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic|

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile]
"DoNotAllowExceptions"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile\AuthorizedApplications\List]
"c:\\Program Files\\Orange\\Connectivity\\ConnectivityManager.exe"= c:\program files\Orange\Connectivity\ConnectivityManager.exe:*:enabled:CSS
"c:\\Windows\\system32\\config\\systemprofile\\AppData\\Roaming\\nscagent.exe"= c:\windows\system32\config\systemprofile\AppData\Roaming\nscagent.exe:*:Enabled:Win32load

S3 PCAMp50;PCAMp50 NDIS Protocol Driver;c:\windows\System32\drivers\PCAMp50.sys [2008-01-19 28224]
S4 CplIR;Embedded IR Driver;c:\windows\System32\drivers\CplIR.sys [2007-03-06 14848]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f8956d3b-eee8-11dd-904d-001167714e6e}]
\shell\AutoRun\command - G:\AMCD.EXE
.
- - - - ORPHELINS SUPPRIMES - - - -

BHO-{A057A204-BACC-4D26-C39E-35F1D2A32EC8} - c:\progra~1\MEGAUP~2\MEGAUP~1.DLL
Toolbar-{A057A204-BACC-4D26-C39E-35F1D2A32EC8} - c:\progra~1\MEGAUP~2\MEGAUP~1.DLL
WebBrowser-{A057A204-BACC-4D26-C39E-35F1D2A32EC8} - c:\progra~1\MEGAUP~2\MEGAUP~1.DLL
HKLM-Run-fae266ec - c:\windows\system32\zeberove.dll
HKLM-Run-CPMf9d15570 - c:\windows\system32\pawovuda.dll

.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr
mWindow Title =
uInternet Settings,ProxyOverride = *.local
IE: {{76577871-04EC-495E-A12B-91F7C3600AFA} - https://www.ebay.fr
FF - ProfilePath - c:\users\Angélique\AppData\Roaming\Mozilla\Firefox\Profiles\19mwtt7n.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.yahoo.com/search?ei=UTF-8&fr=ytff-&p=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.yahoo.com/
FF - prefs.js: keyword.URL - hxxp://fr.search.yahoo.com/search?ei=utf-8&fr=megaup&p=
FF - plugin: c:\program files\Java\jre1.6.0\bin\npjava11.dll
FF - plugin: c:\program files\Java\jre1.6.0\bin\npjava12.dll
FF - plugin: c:\program files\Java\jre1.6.0\bin\npjava13.dll
FF - plugin: c:\program files\Java\jre1.6.0\bin\npjava14.dll
FF - plugin: c:\program files\Java\jre1.6.0\bin\npjava32.dll
FF - plugin: c:\program files\Java\jre1.6.0\bin\npjpi160.dll
FF - plugin: c:\program files\Java\jre1.6.0\bin\npoji610.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-17 14:00:20
Windows 6.0.6000 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés:

**************************************************************************
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe
c:\windows\System32\audiodg.exe
c:\program files\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\windows\System32\agrsmsvc.exe
c:\program files\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\TOSHIBA\ConfigFree\CFSvcs.exe
c:\progra~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\[u]0/u\FTRTSVC.exe
c:\program files\Intel\Intel Matrix Storage Manager\IAANTmon.exe
c:\windows\System32\TODDSrv.exe
c:\program files\TOSHIBA\Power Saver\TosCoSrv.exe
c:\program files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
c:\windows\System32\WUDFHost.exe
c:\windows\System32\conime.exe
c:\program files\Synaptics\SynTP\SynTPEnh.exe
c:\windows\System32\igfxsrvc.exe
c:\program files\Synaptics\SynTP\SynToshiba.exe
c:\program files\Camera Assistant Software for Toshiba\CEC_MAIN.exe
c:\windows\ehome\ehmsas.exe
c:\windows\System32\wbem\WMIADAP.exe
c:\program files\iPod\bin\iPodService.exe
c:\program files\Common Files\France Telecom\Shared Modules\AlertModule\[u]0/u\AlertModule.exe
c:\windows\System32\dllhost.exe
.
**************************************************************************
.
Heure de fin: 2009-03-17 14:02:08 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-03-17 13:02:03
ComboFix2.txt 2009-03-17 07:32:06
ComboFix3.txt 2009-03-16 15:08:51

Avant-CF: Le texte du message associé au numéro 0x2379 est introuvable dans le fichier de messages pour Application.
Après-CF: 3,640,422,400 octets libres

458 --- E O F --- 2009-02-20 10:56:48

Utilisateur anonyme · Answer

ok , on a encore du taff ;)



Affiche tous les fichiers et dossiers : 
Pour cela : 
Clique sur démarrer/panneau de configuration/option des dossiers/affichage 

Cocher afficher les dossiers cacher 

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)" 

Décocher masquer les extensions dont le type est connu 

Puis fais «appliquer» pour valider les changements. 

Et OK 


Rends toi sur ce site : 

https://www.virustotal.com/gui/ 

Clique sur parcourir et cherche ce fichier : c:\windows\system\xccef090313.exe 


Clique sur Send File. 

Un rapport va s'élaborer ligne à ligne. 

Attends la fin. Il doit comprendre la taille du fichier envoyé. 

Sauvegarde le rapport avec le bloc-note. 

Copie le dans ta réponse. 

recommence avec : c:\windows\System32\dctool32.sys

laura · Answer

pour le premier
Fichier xccef090313.exe reçu le 2009.03.16 00:17:04 (CET)
Situation actuelle: terminé 

Résultat: 14/39 (35.90%)
 Formaté Impression des résultats  
Antivirus Version Dernière mise à jour Résultat 
a-squared - - Riskware.Win32.CeeInject!IK 
AhnLab-V3 - - - 
AntiVir - - TR/Dropper.Gen 
Authentium - - - 
Avast - - - 
AVG - - - 
BitDefender - - - 
CAT-QuickHeal - - - 
ClamAV - - - 
Comodo - - - 
DrWeb - - - 
eSafe - - Win32.TRDropper 
eTrust-Vet - - - 
F-Prot - - - 
F-Secure - - Trojan.Win32.Buzus.apye 
Fortinet - - W32/Buzus.APYE!tr 
GData - - - 
Ikarus - - VirTool.Win32.CeeInject 
K7AntiVirus - - - 
Kaspersky - - Trojan.Win32.Buzus.apye 
McAfee - - - 
McAfee+Artemis - - Generic!Artemis 
McAfee-GW-Edition - - Trojan.Dropper.Gen 
Microsoft - - VirTool:Win32/CeeInject.gen!A 
NOD32 - - - 
Norman - - - 
nProtect - - Trojan/W32.Buzus.7168 
Panda - - Suspicious file 
PCTools - - - 
Prevx1 - - High Risk Cloaked Malware 
Rising - - - 
Sophos - - - 
Sunbelt - - - 
Symantec - - - 
TheHacker - - Trojan/Buzus.apye 
TrendMicro - - - 
VBA32 - - - 
ViRobot - - - 
VirusBuster - - - 
Information additionnelle 
MD5: 10c7736d9054488ce27310703e0dea6e 
SHA1: dd9d0d8e87c09ecc1d0ab0bc32c89f91a5f791d9 
SHA256: cec6b1d4b68e7748f02eabb54542267d2f1b9f8c02faa718a809878ffd575eb7 
SHA512: 90a92fb6d532b3d93fb3cbc0541d2547e0da72645a5d6234ce55e1e7e6703863d82a50862f81a109c01e69f552a64e5af52efeef50057c6535c30de88f132b61

laura · Answer

Fichier dctool32.sys reçu le 2009.03.16 16:34:16 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE 


Résultat: 0/39 (0%)
en train de charger les informations du serveur... 
Votre fichier est dans la file d'attente, en position: ___.
L'heure estimée de démarrage est entre ___ et ___ .
Ne fermez pas la fenêtre avant la fin de l'analyse. 
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier. 
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération. 
 Formaté Impression des résultats  
Votre fichier a expiré ou n'existe pas. 
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée. 
 Email:  
  

Antivirus Version Dernière mise à jour Résultat 
a-squared 4.0.0.101 2009.03.16 - 
AhnLab-V3 5.0.0.2 2009.03.16 - 
AntiVir 7.9.0.114 2009.03.16 - 
Authentium 5.1.0.4 2009.03.15 - 
Avast 4.8.1335.0 2009.03.16 - 
AVG 8.0.0.237 2009.03.16 - 
BitDefender 7.2 2009.03.16 - 
CAT-QuickHeal 10.00 2009.03.16 - 
ClamAV 0.94.1 2009.03.16 - 
Comodo 1060 2009.03.16 - 
DrWeb 4.44.0.09170 2009.03.16 - 
eSafe 7.0.17.0 2009.03.15 - 
eTrust-Vet 31.6.6388 2009.03.09 - 
F-Prot 4.4.4.56 2009.03.15 - 
F-Secure 8.0.14470.0 2009.03.16 - 
Fortinet 3.117.0.0 2009.03.16 - 
GData 19 2009.03.16 - 
Ikarus T3.1.1.45.0 2009.03.16 - 
K7AntiVirus 7.10.671 2009.03.14 - 
Kaspersky 7.0.0.125 2009.03.16 - 
McAfee 5554 2009.03.15 - 
McAfee+Artemis 5554 2009.03.15 - 
McAfee-GW-Edition 6.7.6 2009.03.16 - 
Microsoft 1.4405 2009.03.16 - 
NOD32 3938 2009.03.16 - 
Norman 6.00.06 2009.03.16 - 
nProtect 2009.1.8.0 2009.03.16 - 
Panda 10.0.0.10 2009.03.16 - 
PCTools 4.4.2.0 2009.03.16 - 
Prevx1 V2 2009.03.16 - 
Rising 21.21.02.00 2009.03.16 - 
Sophos 4.39.0 2009.03.16 - 
Sunbelt 3.2.1858.2 2009.03.15 - 
Symantec 1.4.4.12 2009.03.16 - 
TheHacker 6.3.3.0.283 2009.03.16 - 
TrendMicro 8.700.0.1004 2009.03.16 - 
VBA32 3.12.10.1 2009.03.16 - 
ViRobot 2009.3.16.1650 2009.03.16 - 
VirusBuster 4.6.5.0 2009.03.16 - 
Information additionnelle 
File size: 32768 bytes 
MD5...: a5be094fcbbff31a284fecda63a89143 
SHA1..: 17ee13ba40deb7731a26be8b0176de65623efbc5 
SHA256: c52b478fcb839568f4f19f7397f62925c96acce04bfb57937d22c65de328b99c 
SHA512: d7db7af68612d4480a63fe7fe2f2a0bc646809064cc62e1b1c10f859d397edad
5ad954ee048763b8d0eb2b68dfb4a972a8f2730676f2106ff0653aabd8297b0f 
ssdeep: 384:iSWAFO7lOE55MJylz67iwrPNpFKrYutr/SSIT9K980kts0ad0Eo:+iO78E55
MJqz6lPNpFKrYutykF7
 
PEiD..: - 
TrID..: File type identification
Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) 
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10d8
timedatestamp.....: 0x49bb578a (Sat Mar 14 07:06:50 2009)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x5c00 0x6000 4.90 da6d1a3069949a22917f23302a726948
.data 0x7000 0xd58 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rsrc 0x8000 0x8e8 0x1000 1.96 8581873cce0ff552ec12d06ef80d13c8

( 1 imports ) 
> MSVBVM60.DLL: MethCallEngine, -, -, -, -, -, EVENT_SINK_AddRef, -, -, DllFunctionCall, -, EVENT_SINK_Release, EVENT_SINK_QueryInterface, __vbaExceptHandler, ProcCallEngine, -, -, -, -, -

( 0 exports )

Utilisateur anonyme · Answer

ok , on continue donc ,


Télécharge Toolbar-S&D (Team IDN) sur ton Bureau. 


* Lance l'installation du programme en exécutant le fichier téléchargé. 
* Double-clique maintenant sur le raccourci de Toolbar-S&D 
* Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée. 
* Choisis maintenant l'option 1 (Recherche). Patiente jusqu'à la fin de la recherche. 
* Poste le rapport généré. (C:\TB.txt)

Tuto : https://sites.google.com/site/toolbarsd/aideenimages
info : https://forum.malekal.com/viewtopic.php?f=45&t=6173

laura · Answer

je dois partir  chercher les enfants
je fais cela au plus vite
merci beaucoup pour ton aide !!!
a tout a l'heure si tu es encore la!!

Utilisateur anonyme · Answer

ok , @+

laura · Answer

re

y a t il un equivalent en programme que toolar
en effet celui ci bloque , car ça fait 45 minutes que ça tourne et idem en mode sans echec

Utilisateur anonyme · Answer

fais ceci :

Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection): 

- Vas dans "Démarrer" puis Panneau de configuration. 
- Double Clique sur l'icône Comptes d'utilisateurs et sur Activer ou désactiver le contrôle des comptes d'utilisateurs. 
- Clique sur Continuer. 
- Décoche la case Utiliser le contrôle des comptes d'utilisateurs pour vous aider à protéger votre ordinateur. 
- Valide par OK et redémarre. 

Tuto : https://forum.malekal.com/viewtopic.php?f=59&t=6517

ensuite retente toolbar

laura · Answer

c'est ce que je fais
mais c'est normal que ça soit aussi long ?
car la ça fait une bonne demi heure que ça tourne

Utilisateur anonyme · Answer

re non c est pas normal mais ne t inquites pas 

je regarde ton rapport combofix

laura · Answer

d accord merci

Utilisateur anonyme · Answer

Copie le texte ci-dessous : 


File:: 
c:\windows\system32\febihago.dll
c:\windows\System32\dctool32.sys 
c:\windows\system\xccef090313.exe
c:\windows\System32\hgcheck.exe
c:\windows\system32\config\systemprofile\AppData\Roaming\syssl.exe
c:\windows\system32\3361\svchost.exe
c:\windows\system32\fibunewu.dll 
c:\windows\system32ukabipe.dll 
c:\windows\system32\jusirodo.dll 
c:\users\Angélique\aTzJGaoG.exe 
c:\users\Angélique\LqPBtoniil.bat
c:\users\Angélique\mdqpJI.exe

Folder:: 
c:\program files\Navilog1 
c:\program files\FindyKill  
c:\program files\Common Files\Symantec Shared 
c:\programdata\Symantec 

Registry:: 
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] 
"Win32load"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] 
"svchost.exe"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] 
"AppInit_DLLs"=""
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"hgcheck"=-
"gabaroriju"=-
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile\AuthorizedApplications\List] 
"c:\Windows\system32\config\systemprofile\AppData\Roaming\syssl.exe"=-
"c:\Windows\system32\3361\svchost.exe"=-

DirLook:: 
c:\windows\System32\config\systemprofile\Documents 
c:\windows\system32\3361



Ouvre le Bloc-Notes puis colle le texte copié. 
(Démarrer\Tous les programmes\Accessoires\Bloc notes.) 
Sauvegarde ce fichier sous le nom de CFScript.txt

Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ceci : 

Cela va relancer Combofix, 

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide. 

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal! 

Ne touche à rien tant que le scan n'est pas terminé. 

Après redémarrage, poste le contenu du rapport Combofix.txt  

S'il n'y a pas de rédémarrage, poste quand même le rapport

.

laura · Answer

je fais ça et te poste le rapport demain
bone soirèè

Utilisateur anonyme · Answer

ok , a demain

laura · Answer

salut chiquitine je ne sais pas si tu es la je te met me rapport de suite
le pc a l air d aller mieux en tout cas

laura · Answer

voila le rapport

par contre j ai des fenetre de pub sur des antivirus qui arrete pas de s ' ouvrir
il est encore infectè tu crois?

ComboFix 09-03-15.01 - Angélique 2009-03-16 21:15:22.2 - NTFSx86
Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6000.0.1252.1.1036.18.2038.1210 [GMT 1:00]
Lancé depuis: c:\users\Angélique\Downloads\ComboFix.exe
Commutateurs utilisés :: c:\users\Angélique\Desktop\CFScript.txt
* Un nouveau point de restauration a été créé

FILE ::
c:\users\Angélique\aTzJGaoG.exe
c:\users\Angélique\LqPBtoniil.bat
c:\users\Angélique\mdqpJI.exe
c:\windows\system\xccef090313.exe
c:\windows\system32\3361\svchost.exe
c:\windows\system32\config\systemprofile\AppData\Roaming\syssl.exe
c:\windows\System32\dctool32.sys
c:\windows\system32\febihago.dll
c:\windows\system32\fibunewu.dll
c:\windows\System32\hgcheck.exe
c:\windows\system32\jusirodo.dll
c:\windows\system32\rukabipe.dll
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\program files\Common Files\Symantec Shared
c:\program files\Common Files\Symantec Shared\CCPD-LC\symlcrst.dll
c:\program files\FindyKill
c:\program files\FindyKill\FindyKill.cmd
c:\program files\FindyKill\Tools\ico.ico
c:\program files\FindyKill\Tools\Kill.exe
c:\program files\FindyKill\Tools\Proc.exe
c:\program files\FindyKill\Tools\Process.exe
c:\program files\FindyKill\Tools\SP2.reg
c:\program files\FindyKill\Tools\SP3.reg
c:\program files\FindyKill\Tools\swreg.exe
c:\program files\FindyKill\Tools\Trad.cmd
c:\program files\FindyKill\Tools\Vista.reg
c:\program files\FindyKill\Uninstal.exe
c:\program files\Navilog1
c:\program files\Navilog1\Backupnavi\wkewkio.dat
c:\program files\Navilog1\Backupnavi\wkewkio.exe
c:\program files\Navilog1\Backupnavi\wkewkio_nav.dat
c:\program files\Navilog1\Backupnavi\wkewkio_navps.dat
c:\program files\Navilog1\catchme.exe
c:\program files\Navilog1\Contents\Filess.bat
c:\program files\Navilog1\Contents\Folders.bat
c:\program files\Navilog1\Contents\Folderss.bat
c:\program files\Navilog1\Contents\Gnc2.bat
c:\program files\Navilog1\Contents\Gnc2su.bat
c:\program files\Navilog1\Contents\Gncs.bat
c:\program files\Navilog1\Contents\Gncssfil.bat
c:\program files\Navilog1\Contents\Heurs.bat
c:\program files\Navilog1\Contents\Heurss.bat
c:\program files\Navilog1\Contents\Orphus.bat
c:\program files\Navilog1\Contents\Wlist.bat
c:\program files\Navilog1\GetPaths.exe
c:\program files\Navilog1\gnc.exe
c:\program files\Navilog1\navilog1.bat
c:\program files\Navilog1\Navreb.bat
c:\program files\Navilog1\oem2ansi.exe
c:\program files\Navilog1\OsV.exe
c:\program files\Navilog1\Process.exe
c:\program files\Navilog1\reg.exe
c:\program files\Navilog1\regnavi.reg
c:\program files\Navilog1\Report\catchmeF.log
c:\program files\Navilog1\Safebackup\backup_registry.dat
c:\program files\Navilog1\Safebackup\HKCU_Run.reg
c:\program files\Navilog1\Safebackup\HKLM_Run.reg
c:\program files\Navilog1\Safebackup\HKLM_Startupreg.reg
c:\program files\Navilog1\Safebackup\HKLM_Uninstall.reg
c:\program files\Navilog1\traite.bat
c:\program files\Navilog1\traite2.bat
c:\program files\Navilog1\traite3.bat
c:\program files\Navilog1\unins000.dat
c:\program files\Navilog1\unins000.exe
c:\programdata\Symantec
c:\programdata\Symantec\Definitions\SymcData\nco1.0defs\latest-hub-webauth.sql\LHW.sql.bin
c:\programdata\Symantec\Definitions\SymcData\virusdefs-2.5-e\BinHub\catalog.dat
c:\programdata\Symantec\LiveUpdate\Product.Inventory.LiveUpdate
c:\programdata\Symantec\LiveUpdate\Settings.LiveUpdate
c:\users\Angélique\aTzJGaoG.exe
c:\users\Angélique\LqPBtoniil.bat
c:\users\Angélique\mdqpJI.exe
c:\windows\system\xccef090313.exe
c:\windows\System32\dctool32.sys
c:\windows\system32\drivers\senekadilnmreq.sys
c:\windows\system32\evorebez.ini
c:\windows\system32\pjczbz.dll
c:\windows\system32\senekadghdfbqd.dll
c:\windows\system32\senekafrpibilo.dll
c:\windows\system32\senekasnvfpltj.dat
c:\windows\system32\senekatvcapumm.dat
c:\windows\system32\senekavotjnpxs.dll
c:\windows\system32\zidewomi.dll

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_SENEKA
-------\Service_SENEKA

((((((((((((((((((((((((((((( Fichiers créés du 2009-02-17 au 2009-03-17 ))))))))))))))))))))))))))))))))))))
.

2009-03-16 21:22 . 2009-03-16 21:22 265,361,525 --a------ c:\windows\MEMORY.DMP
2009-03-16 19:48 . 2009-03-16 19:48 50 --a------ c:\windows\MegaManager.INI
2009-03-16 19:40 . 2009-03-16 19:40 <REP> d-------- c:\users\All Users\Avira
2009-03-16 19:40 . 2009-03-16 19:40 <REP> d-------- c:\programdata\Avira
2009-03-16 19:40 . 2009-03-16 19:40 <REP> d-------- c:\program files\Avira
2009-03-16 16:45 . 2009-03-16 19:08 <REP> d-------- C:\ToolBar SD
2009-03-16 15:11 . 2009-03-16 15:11 <REP> d-------- c:\program files\Trend Micro
2009-03-14 19:38 . 2009-03-14 19:38 <REP> d-------- c:\program files\Bonjour
2009-03-14 12:49 . 2009-03-14 12:49 <REP> d-------- c:\program files\Combined Community Codec Pack
2009-03-14 12:18 . 2009-03-14 12:18 <REP> d-------- c:\windows\System32\config\systemprofile\Documents
2009-03-14 11:17 . 2009-03-14 11:17 <REP> d-------- c:\users\Angélique\AppData\Roaming\Malwarebytes
2009-03-14 10:15 . 2009-03-14 10:15 <REP> d-------- c:\program files\Lavalys
2009-03-13 17:38 . 2009-03-13 17:38 <REP> d-------- c:\program files\Common Files\Wise Installation Wizard
2009-03-13 17:37 . 2009-03-13 17:37 <REP> d-------- c:\users\sophie\AppData\Roaming\Malwarebytes
2009-03-13 17:37 . 2009-03-13 17:37 <REP> d-------- c:\users\All Users\Malwarebytes
2009-03-13 17:37 . 2009-03-13 17:37 <REP> d-------- c:\programdata\Malwarebytes
2009-03-13 17:37 . 2009-03-13 17:37 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2009-03-13 17:37 . 2008-05-05 20:46 27,048 --a------ c:\windows\System32\drivers\mbamcatchme.sys
2009-03-13 17:37 . 2008-05-05 20:46 15,864 --a------ c:\windows\System32\drivers\mbam.sys
2009-03-13 17:23 . 2009-03-14 12:51 <REP> d-------- c:\program files\Error Repair Professional
2009-03-06 16:58 . 2009-03-06 16:58 <REP> d-------- c:\program files\Alwil Software
2009-03-05 23:01 . 2009-03-05 23:01 <REP> d-------- c:\users\Angélique\AppData\Roaming\nidle
2009-03-05 23:00 . 2009-03-05 23:01 <REP> d-------- c:\windows\System32\MR
2009-03-05 22:36 . 2009-03-05 22:36 2,560 --a------ c:\windows\_MSRSTRT.EXE
2009-03-05 22:11 . 2009-03-05 22:11 16 --a------ c:\windows\System32\coh.cache
2009-03-05 21:27 . 2009-03-05 23:00 <REP> d-------- c:\windows\System32\aNI02
2009-03-05 21:27 . 2009-03-05 23:00 <REP> d-------- c:\temp\atmp8
2009-03-03 19:01 . 2009-03-03 19:01 <REP> d--hs---- c:\windows\$ntunistalls
2009-03-02 19:32 . 2009-03-16 21:13 <REP> d-------- c:\windows\System32\3361
2009-03-02 19:32 . 2009-03-02 19:32 108,336 --a------ c:\windows\System32\MSWINSCK.OCX
2009-02-28 18:55 . 2009-02-28 18:55 <REP> d-------- C:\La Fouine - Mes RepÃ¨res (2009)
2009-02-28 11:18 . 2009-03-16 19:54 209 --a------ c:\windows\System32\hgset.ini
2009-02-28 11:18 . 2009-03-16 17:51 52 --a------ c:\windows\System32\work.ini
2009-02-28 11:17 . 2002-02-15 14:02 676,352 --a------ c:\windows\System32\rtl60.bpl
2009-02-28 11:14 . 2009-03-16 15:58 <REP> d-------- c:\windows\System32\inf
2009-02-22 17:13 . 2009-02-22 17:13 12,540 ---hs---- C:\AlbumArt_{19E996A3-90D2-4ABB-9553-C2E08FAAA4BE}_Large.jpg
2009-02-22 17:13 . 2009-02-22 17:13 9,547 ---hs---- C:\Folder.jpg
2009-02-22 17:13 . 2009-02-22 17:13 9,547 ---hs---- C:\AlbumArt_{E6043A2C-BBEB-49C5-BCF0-5259B6332C34}_Large.jpg
2009-02-22 17:13 . 2009-02-22 17:13 3,172 ---hs---- C:\AlbumArt_{19E996A3-90D2-4ABB-9553-C2E08FAAA4BE}_Small.jpg
2009-02-22 17:13 . 2009-02-22 17:13 2,464 ---hs---- C:\AlbumArtSmall.jpg
2009-02-22 17:13 . 2009-02-22 17:13 2,464 ---hs---- C:\AlbumArt_{E6043A2C-BBEB-49C5-BCF0-5259B6332C34}_Small.jpg
2009-02-22 17:13 . 2009-02-22 17:13 357 ---hs---- C:\desktop.ini
2009-02-18 21:24 . 2009-03-05 22:36 <REP> d-------- c:\program files\Hotspot_Shield
2009-02-18 21:24 . 2009-02-18 21:24 <REP> d-------- c:\program files\Conduit
2009-02-17 12:58 . 2009-02-17 12:58 244 --ah----- C:\sqmnoopt00.sqm
2009-02-17 12:58 . 2009-02-17 12:58 232 --ah----- C:\sqmdata00.sqm

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-17 07:28 3,670,016 --sha-w c:\users\Angélique\ntuser.dat
2009-03-17 07:28 3,670,016 --sha-w c:\users\Angélique\ntuser.dat
2009-03-16 18:49 --------- d--h--w c:\program files\InstallShield Installation Information
2009-03-14 10:17 --------- d-----w c:\users\Angélique\AppData\Roaming\Malwarebytes
2009-03-13 17:54 --------- d-----w c:\users\sophie\AppData\Roaming\Toshiba
2009-03-13 16:39 --------- d-----w c:\program files\CCleaner
2009-03-05 22:01 --------- d-----w c:\users\Angélique\AppData\Roaming\nidle
2009-03-05 21:57 --------- d-----w c:\program files\DivX
2009-03-05 21:46 --------- d-----w c:\program files\PCFriendly
2009-02-28 18:37 --------- d-----w c:\users\Angélique\AppData\Roaming\LimeWire
2009-02-21 15:03 --------- d-----w c:\users\sophie\AppData\Roaming\LimeWire
2009-02-15 23:14 --------- d-----w c:\program files\skyrocktbar
2009-02-15 17:43 --------- d-----w c:\program files\LimeWire
2009-02-15 16:50 --------- d-----w c:\users\Angélique\AppData\Roaming\AVS4YOU
2009-02-15 16:50 --------- d-----w c:\program files\AVS4YOU
2009-02-15 16:37 --------- d-----w c:\users\Angélique\AppData\Roaming\MegauploadToolbar
2009-02-15 16:37 --------- d-----w c:\programdata\Megaupload
2009-02-15 16:37 --------- d-----w c:\programdata\EmailNotifier
2009-02-15 16:37 --------- d-----w c:\program files\MegauploadToolbar
2009-01-23 18:27 --------- d-----w c:\users\Angélique\AppData\Roaming\DivX
2009-01-21 15:52 --------- d-----w c:\users\sophie\AppData\Roaming\DivX
2009-01-17 17:45 --------- d-----w c:\program files\Common Files\PX Storage Engine
2009-01-15 04:16 52,736 ----a-w c:\windows\AppPatch\iebrshim.dll
2008-12-12 02:16 174 --sha-w c:\program files\desktop.ini
.

(((((((((((((((((((((((((((((((((((((((((((( Look )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.

---- Directory of c:\windows\system32\3361 ----

2009-03-16 20:56 4 --a------ c:\windows\system32\3361\mlog

---- Directory of c:\windows\System32\config\systemprofile\Documents ----

2009-03-14 12:18 597 --a------ c:\windows\System32\config\systemprofile\Documents\Contacts\Angélique.contact
2009-03-14 12:18 412 --ahs---- c:\windows\System32\config\systemprofile\Documents\Contacts\desktop.ini

((((((((((((((((((((((((((((( SnapShot@2009-03-16_16.07.40.15 )))))))))))))))))))))))))))))))))))))))))
.
- 2009-03-16 15:01:47 140,608 ----a-w c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache3.0.0.0.dat
+ 2009-03-16 20:07:50 140,608 ----a-w c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache3.0.0.0.dat
- 2009-03-16 15:02:56 2,048 --sha-w c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
+ 2009-03-16 20:22:13 2,048 --sha-w c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
- 2009-03-16 15:02:56 2,048 --sha-w c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
+ 2009-03-16 20:22:13 2,048 --sha-w c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
- 2009-03-16 15:04:15 262,144 --sha-w c:\windows\ServiceProfiles\LocalService\ntuser.dat
+ 2009-03-16 20:23:15 262,144 --sha-w c:\windows\ServiceProfiles\LocalService\ntuser.dat
+ 2009-03-16 20:23:15 262,144 ---ha-w c:\windows\ServiceProfiles\LocalService\ntuser.dat.LOG1
- 2009-03-16 15:04:15 262,144 --sha-w c:\windows\ServiceProfiles\NetworkService\ntuser.dat
+ 2009-03-16 20:23:15 262,144 --sha-w c:\windows\ServiceProfiles\NetworkService\ntuser.dat
+ 2009-03-16 20:23:15 262,144 ---ha-w c:\windows\ServiceProfiles\NetworkService\ntuser.dat.LOG1
- 2009-03-16 15:03:48 49,152 --sha-w c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2009-03-17 07:27:45 49,152 --sha-w c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
- 2009-03-16 14:29:44 32,768 --sha-w c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\MSHist012009031620090317\index.dat
+ 2009-03-16 15:13:26 32,768 --sha-w c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\MSHist012009031620090317\index.dat
- 2009-03-16 15:03:48 376,832 --sha-w c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
+ 2009-03-17 07:27:45 393,216 --sha-w c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
- 2009-03-16 15:03:48 65,536 --sha-w c:\windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2009-03-17 07:27:45 65,536 --sha-w c:\windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
- 2009-03-16 14:51:42 262,144 ----a-w c:\windows\System32\config\systemprofile\ntuser.dat
+ 2009-03-16 19:57:34 262,144 ----a-w c:\windows\System32\config\systemprofile\ntuser.dat
+ 2009-03-16 19:57:34 262,144 ---ha-w c:\windows\System32\config\systemprofile\ntuser.dat.LOG1
+ 2008-10-30 09:21:03 75,072 ----a-w c:\windows\System32\drivers\avipbb.sys
+ 2007-11-08 17:03:26 21,248 ----a-w c:\windows\System32\drivers\ssmdrv.sys
+ 2009-03-16 15:54:02 84,992 --sha-w c:\windows\System32\pawovuda.dll
- 2009-03-16 14:58:03 7,924 ----a-w c:\windows\System32\WDI\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-406981787-4262907449-3248825866-1001_UserData.bin
+ 2009-03-16 20:24:51 9,138 ----a-w c:\windows\System32\WDI\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-406981787-4262907449-3248825866-1001_UserData.bin
- 2009-03-16 14:58:03 83,840 ----a-w c:\windows\System32\WDI\BootPerformanceDiagnostics_SystemData.bin
+ 2009-03-16 20:24:51 84,774 ----a-w c:\windows\System32\WDI\BootPerformanceDiagnostics_SystemData.bin
- 2009-03-16 14:57:55 56,576 ----a-w c:\windows\System32\WDI\ShutdownPerformanceDiagnostics_SystemData.bin
+ 2009-03-16 20:13:25 57,980 ----a-w c:\windows\System32\WDI\ShutdownPerformanceDiagnostics_SystemData.bin
+ 2009-03-16 15:53:59 79,872 --sha-w c:\windows\System32\zeberove.dll
.
-- Instantané actualisé --
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0f8b900a-324f-4f48-a4b4-8f184ec5ad8c}]
c:\windows\system32\zutozube.dll [BU]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A057A204-BACC-4D26-969A-2AB983EE729B}]
2008-06-03 14:52 2012632 --a------ c:\progra~1\SKYROC~1\SKYROC~1.DLL

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A057A204-BACC-4D26-C39E-35F1D2A32EC8}]
2008-08-04 21:44 1947080 --a------ c:\progra~1\MEGAUP~2\MEGAUP~1.DLL

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{A057A204-BACC-4D26-C39E-35F1D2A32EC8}"= "c:\progra~1\MEGAUP~2\MEGAUP~1.DLL" [2008-08-04 1947080]
"{A057A204-BACC-4D26-969A-2AB983EE729B}"= "c:\progra~1\SKYROC~1\SKYROC~1.DLL" [2008-06-03 2012632]

[HKEY_CLASSES_ROOT\clsid\{a057a204-bacc-4d26-c39e-35f1d2a32ec8}]
[HKEY_CLASSES_ROOT\megauploadtoolbar.MEGAUPLOADTOOLBAR]

[HKEY_CLASSES_ROOT\clsid\{a057a204-bacc-4d26-969a-2ab983ee729b}]
[HKEY_CLASSES_ROOT\skyrocktbar.SKYROCKTBAR]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{A057A204-BACC-4D26-C39E-35F1D2A32EC8}"= "c:\progra~1\MEGAUP~2\MEGAUP~1.DLL" [2008-08-04 1947080]
"{A057A204-BACC-4D26-969A-2AB983EE729B}"= "c:\progra~1\SKYROC~1\SKYROC~1.DLL" [2008-06-03 2012632]

[HKEY_CLASSES_ROOT\clsid\{a057a204-bacc-4d26-c39e-35f1d2a32ec8}]
[HKEY_CLASSES_ROOT\megauploadtoolbar.MEGAUPLOADTOOLBAR]

[HKEY_CLASSES_ROOT\clsid\{a057a204-bacc-4d26-969a-2ab983ee729b}]
[HKEY_CLASSES_ROOT\skyrocktbar.SKYROCKTBAR]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-19 1232896]
"msnmsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-01-14 39408]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2006-11-02 125440]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinampAgent"="c:\program files\Winamp\winampa.exe" [2008-04-01 36352]
"topi"="c:\program files\TOSHIBA\Toshiba Online Product Information\topi.exe" [2007-07-10 581632]
"TkBellExe"="c:\program files\Common Files\Real\Update_OB\realsched.exe" [2008-02-07 185896]
"SystrayORAHSS"="c:\program files\Orange\Systray\SystrayApp.exe" [2007-09-25 94208]
"SynTPStart"="c:\program files\Synaptics\SynTP\SynTPStart.exe" [2007-07-27 204800]
"SVPWUTIL"="c:\program files\TOSHIBA\Utilities\SVPWUTIL.exe" [2006-03-22 438272]
"snpstd"="c:\windows\vsnpstd.exe" [2005-10-11 339968]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2008-09-06 413696]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-09-20 129560]
"ORAHSSSessionManager"="c:\program files\Orange\SessionManager\SessionManager.exe" [2007-09-25 102400]
"KeNotify"="c:\program files\TOSHIBA\Utilities\KeNotify.exe" [2006-11-06 34352]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2008-10-01 289576]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-09-20 141848]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2007-02-12 174872]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-09-20 154136]
"Camera Assistant Software"="c:\program files\Camera Assistant Software for Toshiba\traybar.exe" [2007-04-10 413696]
"AppleSyncNotifier"="c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-09-03 111936]
"fae266ec"="c:\windows\system32\zeberove.dll" [2009-03-16 79872]
"CPMf9d15570"="c:\windows\system32\pawovuda.dll" [2009-03-16 84992]
"MSConfig"="c:\windows\system32\msconfig.exe" [2006-11-02 222208]
"RtHDVCpl"="RtHDVCpl.exe" [2007-09-03 c:\windows\RtHDVCpl.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Win32load"="c:\windows\system32\config\systemprofile\AppData\Roaming\syssl.exe" [2009-02-22 5632]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\SharedTaskScheduler]
"{EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4}"= "c:\windows\system32\pawovuda.dll" [2009-03-16 84992]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"SSODL"= {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\pawovuda.dll [2009-03-16 84992]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\system32\pawovuda.dll
"LoadAppInit_DLLs"=1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.dvacm"= c:\progra~1\COMMON~1\ULEADS~1\vio\dvacm.acm
"vidc.ffds"= c:\progra~1\COMBIN~1\Filters\FFDShow\ff_vfw.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\Antivirus-ashDisp.exe]
"Debugger"=c:\windows\system32\alg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\Antivirus-ashserv.exe]
"Debugger"=c:\windows\system32\alg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\Antivirus-ashSimpl.exe]
"Debugger"=c:\windows\system32\alg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\avesvc.exe]
"Debugger"=c:\windows\system32\alg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\bdmcon.exe]
"Debugger"=c:\windows\system32\alg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\bdnagent.exe]
"Debugger"=c:\windows\system32\alg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\bdss.exe]
"Debugger"=c:\windows\system32\alg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\bdswitch.exe]
"Debugger"=c:\windows\system32\alg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\DefWatch.exe]
"Debugger"=c:\windows\system32\alg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\xcommsvr.exe]
"Debugger"=c:\windows\system32\alg.exe

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk /p \??\C:\[u]0/uautocheck autochk *

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
--a------ 2008-06-12 13:28 266497 c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\eMuleAutoStart]
--a------ 2008-05-18 10:14 5799936 c:\program files\eMule\eMule.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Toshiba Registration]
--a------ 2007-02-19 15:00 571024 c:\program files\TOSHIBA\Registration\ToshibaRegistration.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-406981787-4262907449-3248825866-1000]
"EnableNotificationsRef"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{2AADE598-D30B-4020-84C1-D45D536EE837}"= c:\program files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)
"{CBD24638-2A19-4B78-A91C-F72D8E223730}"= UDP:c:\program files\LimeWire\LimeWire.exe:LimeWire
"{5FF44E8C-063A-4EE9-818A-A8DFEEC41855}"= TCP:c:\program files\LimeWire\LimeWire.exe:LimeWire
"{B7A716A7-4ED8-4B2A-BEC0-DA8881B3E345}"= UDP:c:\program files\IVT Corporation\BlueSoleil\BlueSoleil.exe:BlueSoleil
"{3EF6132F-255C-4919-8131-11E3E1ED3FDC}"= TCP:c:\program files\IVT Corporation\BlueSoleil\BlueSoleil.exe:BlueSoleil
"{1A7E7381-C340-4191-AA62-2BF35DDEAD47}"= UDP:c:\program files\iTunes\iTunes.exe:iTunes
"{B0220275-8A2C-4283-878B-F693E66D88AF}"= TCP:c:\program files\iTunes\iTunes.exe:iTunes
"TCP Query User{AC409A63-E931-4E4C-A2CB-6AAA883E4B4B}c:\\program files\\internet explorer\\iexplore.exe"= UDP:c:\program files\internet explorer\iexplore.exe:Internet Explorer
"UDP Query User{F802DFD6-676A-4343-B415-F203C112B618}c:\\program files\\internet explorer\\iexplore.exe"= TCP:c:\program files\internet explorer\iexplore.exe:Internet Explorer
"{C32D9118-011F-4B92-ACDE-FF855B0CDA91}"= UDP:c:\program files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe:Veoh Web Player
"{E5E79935-E3F3-4E17-BB9F-268BB3A0FAE2}"= TCP:c:\program files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe:Veoh Web Player
"{2A4CF6DD-F756-4D72-9B87-B9355F7ACDA8}"= UDP:c:\program files\Orange\Deskboard\Deskboard.exe:deskboard
"{0638A894-EDA4-42FE-AB6D-020A2EAB2966}"= TCP:c:\program files\Orange\Deskboard\Deskboard.exe:deskboard
"{B380569C-6A99-4C0E-970C-A1D0A43DA58E}"= UDP:c:\windows\System32\wininit.exe:wininit
"{AA27C693-EFD5-49A9-832B-A62B5E5D97DE}"= TCP:c:\windows\System32\wininit.exe:wininit
"{16FA3A40-E187-4724-A1B4-834D8351429B}"= UDP:c:\program files\Orange\Systray\SystrayApp.exe:SystrayApp
"{AC91D579-113C-4C12-AED3-FCAA0EE04884}"= TCP:c:\program files\Orange\Systray\SystrayApp.exe:SystrayApp
"{D81775A1-B7A7-45EB-BDFA-D8D90F767CC9}"= UDP:c:\windows\explorer.exe:Explorer
"{54A4E806-6CB9-4282-AC40-366C983AB977}"= TCP:c:\windows\explorer.exe:Explorer
"{0EF61965-D101-4AE0-96FA-1DCE2A0A9F75}"= UDP:c:\program files\Bonjour\mDNSResponder.exe:Bonjour
"{1BA8EB8C-FBF3-4BD4-8DAD-0B697016189C}"= TCP:c:\program files\Bonjour\mDNSResponder.exe:Bonjour
"{3C1EFE2C-5A9B-4AC9-9D16-D66D63E7E114}"= UDP:c:\program files\Common Files\France Telecom\Shared Modules\AlertModule\[u]0/u\AlertModule.exe:AlertModule
"{C35AEF5A-C597-4FD5-98AF-0599E0491925}"= TCP:c:\program files\Common Files\France Telecom\Shared Modules\AlertModule\[u]0/u\AlertModule.exe:AlertModule
"{A0C07B34-FA4A-4AD8-B0CA-01DD7BB44DFB}"= UDP:c:\windows\RtHDVCpl.exe:RtHDVCpl
"{82BFF3FC-F03F-4A45-8108-4D4D7B5699B9}"= TCP:c:\windows\RtHDVCpl.exe:RtHDVCpl
"{759FE909-AFB0-4340-98C4-E2F7DC93CECB}"= UDP:c:\combofix\NirCmd.cfexe:NirCmd
"{47A635DC-82BC-4083-816D-7200503E58B0}"= TCP:c:\combofix\NirCmd.cfexe:NirCmd
"{0F329B87-0929-413B-A1EE-1838CFCA42E6}"= UDP:c:\windows\System32\igfxpers.exe:igfxpers
"{B84D3E4A-584F-4FE2-9570-5CCB75B11FF6}"= TCP:c:\windows\System32\igfxpers.exe:igfxpers
"{634DEC58-1B08-420F-9AA0-3F4C9BAD984A}"= UDP:c:\windows\System32\mobsync.exe:mobsync
"{E7CE97ED-BA85-4D4C-8216-78EA6F9B1473}"= TCP:c:\windows\System32\mobsync.exe:mobsync
"{1401CA5E-8649-4D53-BE6B-350BFD908D86}"= UDP:c:\windows\System32\igfxtray.exe:igfxtray
"{4816D01E-01C8-4728-8B4C-40327168C0C7}"= TCP:c:\windows\System32\igfxtray.exe:igfxtray
"{E4E9ABFA-7968-45CA-88BF-1526017058EF}"= UDP:c:\windows\ehome\ehtray.exe:ehtray
"{E03B7B00-B8B4-4CDA-82D1-BD1DA045A0A5}"= TCP:c:\windows\ehome\ehtray.exe:ehtray

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System]
"DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic|

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile]
"DoNotAllowExceptions"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile\AuthorizedApplications\List]
"c:\\Program Files\\Orange\\Connectivity\\ConnectivityManager.exe"= c:\program files\Orange\Connectivity\ConnectivityManager.exe:*:enabled:CSS
"c:\\Windows\\system32\\config\\systemprofile\\AppData\\Roaming\\nscagent.exe"= c:\windows\system32\config\systemprofile\AppData\Roaming\nscagent.exe:*:Enabled:Win32load

R3 PCAMp50;PCAMp50 NDIS Protocol Driver;c:\windows\system32\Drivers\PCAMp50.sys [2006-11-28 28224]
R3 TpChoice;Touch Pad Detection Filter driver; [x]
R4 CplIR;Embedded IR Driver;c:\windows\system32\DRIVERS\CplIR.SYS [2007-03-06 14848]
S2 Tcpipsrv;Tcp ipx Service;c:\windows\$ntunistalls\svchost.exe [2009-03-03 197120]

--- Autres Services/Pilotes en mémoire ---

*Deregistered* - AFD
*Deregistered* - avgio
*Deregistered* - avgntflt
*Deregistered* - avipbb
*Deregistered* - Beep
*Deregistered* - BlueletAudio
*Deregistered* - BlueletSCOAudio
*Deregistered* - bowser
*Deregistered* - BT
*Deregistered* - BTHidEnum
*Deregistered* - BTHidMgr
*Deregistered* - cdfs
*Deregistered* - circlass
*Deregistered* - CLFS
*Deregistered* - Compbatt
*Deregistered* - crcdisk
*Deregistered* - DfsC
*Deregistered* - DXGKrnl
*Deregistered* - fastfat
*Deregistered* - FileInfo
*Deregistered* - FltMgr
*Deregistered* - HTTP
*Deregistered* - iScsiPrt
*Deregistered* - KSecDD
*Deregistered* - lltdio
*Deregistered* - Modem
*Deregistered* - MountMgr
*Deregistered* - mpsdrv
*Deregistered* - MRxDAV
*Deregistered* - mrxsmb
*Deregistered* - mrxsmb10
*Deregistered* - mrxsmb20
*Deregistered* - msahci
*Deregistered* - Msfs
*Deregistered* - msisadrv
*Deregistered* - mssmbios
*Deregistered* - Mup
*Deregistered* - NativeWifiP
*Deregistered* - NDIS
*Deregistered* - Ndisuio
*Deregistered* - NdisWan
*Deregistered* - NDProxy
*Deregistered* - NetBIOS
*Deregistered* - netbt
*Deregistered* - Npfs
*Deregistered* - nsiproxy
*Deregistered* - Ntfs
*Deregistered* - Null
*Deregistered* - PEAUTH
*Deregistered* - PptpMiniport
*Deregistered* - PSched
*Deregistered* - RasAcd
*Deregistered* - Rasl2tp
*Deregistered* - RasPppoe
*Deregistered* - rdbss
*Deregistered* - RDPCDD
*Deregistered* - RDPENCDD
*Deregistered* - rspndr
*Deregistered* - secdrv
*Deregistered* - Serenum
*Deregistered* - Smb
*Deregistered* - spldr
*Deregistered* - srv
*Deregistered* - srv2
*Deregistered* - srvnet
*Deregistered* - ssmdrv
*Deregistered* - swenum
*Deregistered* - Tcpip
*Deregistered* - tcpipreg
*Deregistered* - tdx
*Deregistered* - TermDD
*Deregistered* - tunmp
*Deregistered* - tunnel
*Deregistered* - umbus
*Deregistered* - VcommMgr
*Deregistered* - VgaSave
*Deregistered* - volmgr
*Deregistered* - volmgrx
*Deregistered* - volsnap
*Deregistered* - Wanarpv6
*Deregistered* - Wdf01000

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f8956d3b-eee8-11dd-904d-001167714e6e}]
\shell\AutoRun\command - G:\AMCD.EXE
.
- - - - ORPHELINS SUPPRIMES - - - -

BHO-{7c7e23ae-ec55-4c54-8920-947abe1c08cf} - c:\windows\system32\pjczbz.dll
MSConfigStartUp-avast! - c:\progra~1\ALWILS~1\Avast4\ashDisp.exe

.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr
mWindow Title =
uInternet Settings,ProxyOverride = *.local
IE: {{76577871-04EC-495E-A12B-91F7C3600AFA} - https://www.ebay.fr
FF - ProfilePath - c:\users\Angélique\AppData\Roaming\Mozilla\Firefox\Profiles\19mwtt7n.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.yahoo.com/search?ei=UTF-8&fr=ytff-&p=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.yahoo.com/
FF - prefs.js: keyword.URL - hxxp://fr.search.yahoo.com/search?ei=utf-8&fr=megaup&p=
FF - plugin: c:\program files\Java\jre1.6.0\bin\npjava11.dll
FF - plugin: c:\program files\Java\jre1.6.0\bin\npjava12.dll
FF - plugin: c:\program files\Java\jre1.6.0\bin\npjava13.dll
FF - plugin: c:\program files\Java\jre1.6.0\bin\npjava14.dll
FF - plugin: c:\program files\Java\jre1.6.0\bin\npjava32.dll
FF - plugin: c:\program files\Java\jre1.6.0\bin\npjpi160.dll
FF - plugin: c:\program files\Java\jre1.6.0\bin\npoji610.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-16 21:23:25
Windows 6.0.6000 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés:

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(820)
c:\windows\system32\pawovuda.dll

- - - - - - - > 'lsass.exe'(780)
c:\windows\system32\pawovuda.dll

- - - - - - - > 'Explorer.exe'(5372)
c:\windows\system32\pawovuda.dll
c:\windows\system32\zeberove.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe
c:\windows\System32\audiodg.exe
c:\program files\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\windows\System32\agrsmsvc.exe
c:\program files\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\TOSHIBA\ConfigFree\CFSvcs.exe
c:\progra~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\[u]0/u\FTRTSVC.exe
c:\program files\Intel\Intel Matrix Storage Manager\IAANTmon.exe
c:\windows\System32\TODDSrv.exe
c:\program files\TOSHIBA\Power Saver\TosCoSrv.exe
c:\program files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
c:\windows\System32\WUDFHost.exe
c:\program files\Synaptics\SynTP\SynTPEnh.exe
c:\windows\System32\igfxsrvc.exe
c:\windows\System32\rundll32.exe
c:\program files\Synaptics\SynTP\SynToshiba.exe
c:\windows\ehome\ehmsas.exe
c:\program files\Camera Assistant Software for Toshiba\CEC_MAIN.exe
c:\program files\iPod\bin\iPodService.exe
c:\windows\System32\conime.exe
c:\windows\System32\conime.exe
c:\windows\System32\dllhost.exe
.
**************************************************************************
.
Heure de fin: 2009-03-17 8:32:03 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-03-17 07:31:56
ComboFix2.txt 2009-03-16 15:08:51

Avant-CF: 4,265,451,520 octets libres
Après-CF: 3,597,389,824 octets libres

529 --- E O F --- 2009-02-20 10:56:48

Utilisateur anonyme · Answer

bonjour Laura ,

il est encore infectè tu crois?

oui il l est ... mais moins

j ai besoin que tu refasse ceci stp :

Télécharge ici : 

http://images.malwareremoval.com/random/RSIT.exe 

random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau. 

Double-clique sur RSIT.exe afin de lancer RSIT. 

Lis le contenu de l'écran Disclaimer puis clique sur Continue (si tu acceptes les conditions). 

Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence. 

Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. 

Poste le contenu de log.txt

Utilisateur anonyme · Answer

re laura,

quand tu m auras envoyé le rapport log.txt, fais ceci :

telecharge ce fichier :
http://sd-1.archive-host.com/membres/up/116615172019703188/Laura.bat

execute le en admnistrateur et post le rapport Laura.txt 

je dois sortir faire une course je te preparerai la suite une fois avoir lu les rapport

laura · Answer

pour RSIT  le logiciel marche pas

ça me marque erreur avec une croix rouge

Utilisateur anonyme · Answer

ok laisse et fais l autre stp ensuite on nettoie tout ça

laura · Answer

pour l'autre rapport ça me marque sur une fenetre noir " fichier introuvable"
et le bloc note s"ouvre mais c'est vierge

Utilisateur anonyme · Answer

ok 

on va reutiliser combofix , je te prepare la chose

laura · Answer

d accord
je suis desolè de t'embeter .
c'est gentil a toi

Utilisateur anonyme · Answer

Copie le texte ci-dessous : 



File:: 
C:\Windows\system32\msrstart.exe 
c:\windows\MegaManager.INI 
c:\windows\_MSRSTRT.EXE 
c:\windows\System32\coh.cache 
c:\windows\System32\MSWINSCK.OCX 
c:\windows\System32\zeberove.dll 
c:\windows\System32\pawovuda.dll 
c:\windows\system32\zutozube.dll 
c:\windows\system32\config\systemprofile\AppData\Roaming\syssl.exe
c:\windows\$ntunistalls\svchost.exe 

Folder:: 
c:\windows\System32\3361 
C:\ToolBar SD 
c:\program files\Trend Micro 
c:\program files\Conduit 
c:\users\Angélique\AppData\Roaming\MegauploadToolbar 
c:\programdata\Megaupload 
c:\program files\MegauploadToolbar 
c:\progra~1\MEGAUP~2

Registry:: 
[-HKEY_CLASSES_ROOT\clsid\{a057a204-bacc-4d26-c39e-35f1d2a32ec8}] 
[-HKEY_CLASSES_ROOT\megauploadtoolbar.MEGAUPLOADTOOLBAR] 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"fae266ec"=-
"CPMf9d15570"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] 
"Win32load"=-
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\SharedTaskScheduler] 
"{EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] 
"SSODL"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] 
"AppInit_DLLs"=""
"LoadAppInit_DLLs"=0

Driver::
Tcpipsrv

DirLook:: 
c:\users\Angélique\AppData\Roaming
idle 
c:\windows\System32\MR 
c:\windows\System32\aNI02 
c:	emp\atmp8 
c:\windows\$ntunistalls



Ouvre le Bloc-Notes puis colle le texte copié. 
(Démarrer\Tous les programmes\Accessoires\Bloc notes.) 
Sauvegarde ce fichier sous le nom de CFScript.txt

Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ceci : 

Cela va relancer Combofix, 

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide. 

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal! 

Ne touche à rien tant que le scan n'est pas terminé. 

Après redémarrage, poste le contenu du rapport Combofix.txt 

S'il n'y a pas de rédémarrage, poste quand même le rapport.

laura · Answer

ComboFix 09-03-15.01 - Angélique 2009-03-17 13:29:57.3 - NTFSx86
Lancé depuis: c:\users\Angélique\Downloads\ComboFix.exe
Commutateurs utilisés :: c:\users\Angélique\Desktop\CFScript.txt

FILE ::
c:\windows\$ntunistalls\svchost.exe
c:\windows\_MSRSTRT.EXE
c:\windows\MegaManager.INI
c:\windows\System32\coh.cache
c:\windows\system32\config\systemprofile\AppData\Roaming\sys­sl.exe
c:\windows\system32\msrstart.exe
c:\windows\System32\MSWINSCK.OCX
c:\windows\System32\pawovuda.dll
c:\windows\System32\zeberove.dll
c:\windows\system32\zutozube.dll
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\progra~1\MEGAUP~2
c:\progra~1\MEGAUP~2\megauploadtoolbar.dll
c:\progra~1\MEGAUP~2\tbuninstall.exe
c:\progra~1\MEGAUP~2\toolbar.ini
c:\progra~1\MEGAUP~2\uninstall.exe
c:\program files\Conduit
c:\program files\Conduit\Community Alerts\Alert.dll
c:\program files\MegauploadToolbar\megauploadtoolbar.dll
c:\program files\MegauploadToolbar\tbuninstall.exe
c:\program files\MegauploadToolbar\toolbar.ini
c:\program files\MegauploadToolbar\uninstall.exe
c:\program files\Trend Micro
c:\program files\Trend Micro\HijackThis\backups\backup-20090316-192034-156
c:\program files\Trend Micro\HijackThis\backups\backup-20090316-192034-511
c:\program files\Trend Micro\HijackThis\backups\backup-20090316-192034-594
c:\program files\Trend Micro\HijackThis\backups\backup-20090316-192034-618
c:\program files\Trend Micro\HijackThis\backups\backup-20090316-192034-806
c:\program files\Trend Micro\HijackThis\backups\backup-20090316-192034-822
c:\program files\Trend Micro\HijackThis\backups\backup-20090316-192034-935
c:\program files\Trend Micro\HijackThis\backups\backup-20090316-193540-721
c:\program files\Trend Micro\HijackThis\backups\backup-20090316-193540-941
c:\program files\Trend Micro\HijackThis\backups\backup-20090316-193617-489
c:\program files\Trend Micro\HijackThis\HijackThis.exe
c:\program files\Trend Micro\HijackThis\hijackthis.log
c:\programdata\Megaupload
c:\programdata\Megaupload\Megauper.exe
C:\ToolBar SD
c:\toolbar sd\AutrInf.cmd
c:\toolbar sd\Back.cmd
c:\toolbar sd\Backup-TB\Reg\HKCU_Run.reg
c:\toolbar sd\Backup-TB\Reg\HKLM_BHO.reg
c:\toolbar sd\Backup-TB\Reg\HKLM_Classes.reg
c:\toolbar sd\Backup-TB\Reg\HKLM_Run.reg
c:\toolbar sd\Backup-TB\Reg\HKLM_ToolBar.reg
c:\toolbar sd\Backup-TB\Reg\HKLM_Uninstall.reg
c:\toolbar sd\Changelog ToolBar.txt
c:\toolbar sd\DemP.cmd
c:\toolbar sd\DirectFix.cmd
c:\toolbar sd\Discl_en.vbs
c:\toolbar sd\Discl_fr.vbs
c:\toolbar sd\Discl_sp.vbs
c:\toolbar sd\Doss.tbsd
c:\toolbar sd\Fich.cmd
c:\toolbar sd\FixExt.cmd
c:\toolbar sd\iNv.exe
c:\toolbar sd\Kill.cmd
c:\toolbar sd\Langues.cmd
c:\toolbar sd\Orph.egd
c:\toolbar sd\OsV.exe
c:\toolbar sd\paths.bat
c:\toolbar sd\pv.exe
c:\toolbar sd\Rech.cmd
c:\toolbar sd\RegP2.txt
c:\toolbar sd\RegP3.txt
c:\toolbar sd\RegP4.txt
c:\toolbar sd\RegP5.txt
c:\toolbar sd\RegPCU.txt
c:\toolbar sd\RegPLM.txt
c:\toolbar sd\RegTBSD.reg
c:\toolbar sd\RKit.lsd
c:\toolbar sd\RoGUeS.lsd
c:\toolbar sd\sed.exe
c:\toolbar sd\setpath.exe
c:\toolbar sd\ToolBarSD.cmd
c:\toolbar sd\ToolBarSD.ico
c:\users\Angélique\AppData\Roaming\MegauploadToolbar
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\__slider.bmp
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\bottom.png
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\bottom_left.png
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\bottom_right.png
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\connect.ico
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\dictionary2.bmp
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\dnload.bmp
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\dnloado.bmp
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\email_b.bmp
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\ErrorPageTemplate.css
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\ErrorPageTemplate_search.css
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\extend.bmp
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\extendi.bmp
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\extendo.bmp
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\graphred0.bmp
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\graphred0_5.bmp
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\graphred1.bmp
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\graphred1_5.bmp
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\graphred2.bmp
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\graphred2_5.bmp
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\graphred3.bmp
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\graphred3_5.bmp
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\graphred4.bmp
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\graphred4_5.bmp
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\graphred5.bmp
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\happyhour.bmp
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\happyhouri.bmp
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\happyhouro.bmp
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\help.gif
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\history.cfg
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\info.bmp
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\left.png
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\links.bmp
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\logo.bmp
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\logoo.bmp
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\marrow.bmp
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\megauploadtoolbartb0501.cfg
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\mv.bmp
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\powered_by_yahoo.bmp
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\right.png
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\RotCats.txt
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\search.bmp
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\search.gif
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\search_fr.gif
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\search_mag.bmp
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\search_main.bmp
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\searcho.bmp
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\settings.cfg
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\slider.bmp
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\tab_icon.png
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\tablib.js
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\tabwelcome.html
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\top.png
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\top_left.png
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\top_right.png
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\upload.bmp
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\uploado.bmp
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\VidCats.txt
c:\users\Angélique\AppData\Roaming\MegauploadToolbar\yahoo_search.gif
c:\windows\$ntunistalls\svchost.exe
c:\windows\_MSRSTRT.EXE
c:\windows\MegaManager.INI
c:\windows\System32\3361
c:\windows\System32\3361\mlog
c:\windows\System32\coh.cache
c:\windows\system32\drivers\senekaingdotpq.sys
c:\windows\system32\evorebez.ini
c:\windows\system32\msrstart.exe
c:\windows\System32\MSWINSCK.OCX
c:\windows\System32\pawovuda.dll
c:\windows\system32\senekaabqecjsi.dll
c:\windows\system32\senekafbqudupu.dat
c:\windows\system32\senekaicxbxjuh.dat
c:\windows\system32\senekaxsbvmfmj.dll
c:\windows\system32\senekaxtftrbps.dll

.
(((((((((((((((((((((((((((((((((((((((   Pilotes/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_SENEKA
-------\Service_SENEKA
-------\Service_Tcpipsrv


(((((((((((((((((((((((((((((   Fichiers créés du 2009-02-17 au 2009-03-17  ))))))))))))))))))))))))))))))))))))
.

Pas de nouveau fichier créé dans ce laps de temps

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-17 13:00	3,670,016	--sha-w	c:\users\Angélique\ntuser.dat
2009-03-17 13:00	3,670,016	--sha-w	c:\users\Angélique\ntuser.dat
2009-03-16 18:49	---------	d--h--w	c:\program files\InstallShield Installation Information
2009-03-16 18:40	---------	d-----w	c:\programdata\Avira
2009-03-16 18:40	---------	d-----w	c:\program files\Avira
2009-03-14 18:38	---------	d-----w	c:\program files\Bonjour
2009-03-14 11:51	---------	d-----w	c:\program files\Error Repair Professional
2009-03-14 11:49	---------	d-----w	c:\program files\Combined Community Codec Pack
2009-03-14 10:17	---------	d-----w	c:\users\Angélique\AppData\Roaming\Malwarebytes
2009-03-14 09:15	---------	d-----w	c:\program files\Lavalys
2009-03-13 17:54	---------	d-----w	c:\users\sophie\AppData\Roaming\Toshiba
2009-03-13 16:39	---------	d-----w	c:\program files\CCleaner
2009-03-13 16:38	---------	d-----w	c:\program files\Common Files\Wise Installation Wizard
2009-03-13 16:37	---------	d-----w	c:\users\sophie\AppData\Roaming\Malwarebytes
2009-03-13 16:37	---------	d-----w	c:\programdata\Malwarebytes
2009-03-13 16:37	---------	d-----w	c:\program files\Malwarebytes' Anti-Malware
2009-03-06 15:58	---------	d-----w	c:\program files\Alwil Software
2009-03-05 22:01	---------	d-----w	c:\users\Angélique\AppData\Roaming\nidle
2009-03-05 21:57	---------	d-----w	c:\program files\DivX
2009-03-05 21:46	---------	d-----w	c:\program files\PCFriendly
2009-03-05 21:36	---------	d-----w	c:\program files\Hotspot_Shield
2009-03-05 20:23	84,992	--sha-w	c:\windows\System32\fedalajo.dll
2009-03-04 11:44	84,992	--sha-w	c:\windows\System32\mowogova.dll
2009-03-03 18:01	84,992	--sha-w	c:\windows\System32\hopipuwe.dll
2009-02-28 22:00	84,992	--sha-w	c:\windows\System32\jajulaze.dll
2009-02-28 18:37	---------	d-----w	c:\users\Angélique\AppData\Roaming\LimeWire
2009-02-21 15:03	---------	d-----w	c:\users\sophie\AppData\Roaming\LimeWire
2009-02-15 23:14	---------	d-----w	c:\program files\skyrocktbar
2009-02-15 17:43	---------	d-----w	c:\program files\LimeWire
2009-02-15 16:50	---------	d-----w	c:\users\Angélique\AppData\Roaming\AVS4YOU
2009-02-15 16:50	---------	d-----w	c:\program files\AVS4YOU
2009-02-15 16:37	---------	d-----w	c:\programdata\EmailNotifier
2009-01-23 18:27	---------	d-----w	c:\users\Angélique\AppData\Roaming\DivX
2009-01-21 15:52	---------	d-----w	c:\users\sophie\AppData\Roaming\DivX
2009-01-17 17:45	---------	d-----w	c:\program files\Common Files\PX Storage Engine
2009-01-15 04:16	826,368	----a-w	c:\windows\System32\wininet.dll
2009-01-15 04:16	56,320	----a-w	c:\windows\System32\iesetup.dll
2009-01-15 04:16	52,736	----a-w	c:\windows\AppPatch\iebrshim.dll
2009-01-15 04:15	26,624	----a-w	c:\windows\System32\ieUnatt.exe
2008-12-12 02:16	174	--sha-w	c:\program files\desktop.ini
.

((((((((((((((((((((((((((((((((((((((((((((   Look   )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.

---- Directory of c:\temp\atmp8 ----

2009-03-05 23:00	1858	--a------	c:\temp\atmp8\ead.log 

---- Directory of c:\users\Angélique\AppData\Roaming\nidle ----

2009-03-05 23:00	56832	--a------	c:\users\Angélique\AppData\Roaming\nidle\nidle.exe 

---- Directory of c:\windows\$ntunistalls ----

2009-03-03 19:01	197120	---hs----	c:\windows\$ntunistalls\svchost.exe 

---- Directory of c:\windows\System32\aNI02 ----

2009-02-27 04:25	32768	--a------	c:\windows\System32\aNI02\aNI022328.exe 

---- Directory of c:\windows\System32\MR ----



(((((((((((((((((((((((((((((   SnapShot_2009-03-17_ 8.31.01.88   )))))))))))))))))))))))))))))))))))))))))
.
- 2009-03-16 20:07:50	140,608	----a-w	c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache3.0.0.0.dat
+ 2009-03-17 12:34:00	140,608	----a-w	c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache3.0.0.0.dat
- 2009-03-16 20:22:13	2,048	--sha-w	c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
+ 2009-03-17 12:35:05	2,048	--sha-w	c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
- 2009-03-16 20:22:13	2,048	--sha-w	c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
+ 2009-03-17 12:35:05	2,048	--sha-w	c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
- 2009-03-16 20:23:15	262,144	--sha-w	c:\windows\ServiceProfiles\LocalService\ntuser.dat
+ 2009-03-17 12:45:53	262,144	--sha-w	c:\windows\ServiceProfiles\LocalService\ntuser.dat
+ 2009-03-17 12:45:53	262,144	---ha-w	c:\windows\ServiceProfiles\LocalService\ntuser.dat.LOG1
- 2009-03-16 20:23:15	262,144	--sha-w	c:\windows\ServiceProfiles\NetworkService\ntuser.dat
+ 2009-03-17 12:45:48	262,144	--sha-w	c:\windows\ServiceProfiles\NetworkService\ntuser.dat
+ 2009-03-17 12:45:48	262,144	---ha-w	c:\windows\ServiceProfiles\NetworkService\ntuser.dat.LOG1
- 2009-03-17 07:27:45	49,152	--sha-w	c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2009-03-17 12:35:04	49,152	--sha-w	c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
- 2009-03-17 07:27:45	393,216	--sha-w	c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
+ 2009-03-17 12:35:04	393,216	--sha-w	c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
- 2009-03-17 07:27:45	65,536	--sha-w	c:\windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2009-03-17 12:35:04	65,536	--sha-w	c:\windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
- 2009-03-13 17:43:41	6,291,456	----a-w	c:\windows\System32\SMI\Store\Machine\schema.dat
+ 2009-03-17 11:04:35	6,291,456	----a-w	c:\windows\System32\SMI\Store\Machine\schema.dat
- 2009-03-16 20:24:51	9,138	----a-w	c:\windows\System32\WDI\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-406981787-4262907449-3248825866-1001_UserData.bin
+ 2009-03-17 12:28:44	9,162	----a-w	c:\windows\System32\WDI\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-406981787-4262907449-3248825866-1001_UserData.bin
- 2009-03-16 20:24:51	84,774	----a-w	c:\windows\System32\WDI\BootPerformanceDiagnostics_SystemData.bin
+ 2009-03-17 12:28:44	84,910	----a-w	c:\windows\System32\WDI\BootPerformanceDiagnostics_SystemData.bin
- 2009-03-16 20:13:25	57,980	----a-w	c:\windows\System32\WDI\ShutdownPerformanceDiagnostics_SystemData.bin
+ 2009-03-17 12:28:39	58,284	----a-w	c:\windows\System32\WDI\ShutdownPerformanceDiagnostics_SystemData.bin
- 2009-02-12 02:01:00	158,311,812	----a-w	c:\windows\winsxs\ManifestCache\6.0.6001.18000_001c50b5_blobs.bin
+ 2009-03-17 07:57:01	159,075,655	----a-w	c:\windows\winsxs\ManifestCache\6.0.6001.18000_001c50b5_blobs.bin
.
-- Instantané actualisé --
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0f8b900a-324f-4f48-a4b4-8f184ec5ad8c}]
c:\windows\system32\zutozube.dll [BU]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A057A204-BACC-4D26-969A-2AB983EE729B}]
2008-06-03 14:52	2012632	--a------	c:\progra~1\SKYROC~1\SKYROC~1.DLL

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{A057A204-BACC-4D26-969A-2AB983EE729B}"= "c:\progra~1\SKYROC~1\SKYROC~1.DLL" [2008-06-03 2012632]

[HKEY_CLASSES_ROOT\clsid\{a057a204-bacc-4d26-969a-2ab983ee729b}]
[HKEY_CLASSES_ROOT\skyrocktbar.SKYROCKTBAR]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{A057A204-BACC-4D26-969A-2AB983EE729B}"= "c:\progra~1\SKYROC~1\SKYROC~1.DLL" [2008-06-03 2012632]

[HKEY_CLASSES_ROOT\clsid\{a057a204-bacc-4d26-969a-2ab983ee729b}]
[HKEY_CLASSES_ROOT\skyrocktbar.SKYROCKTBAR]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-19 1232896]
"msnmsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-01-14 39408]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2006-11-02 125440]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinampAgent"="c:\program files\Winamp\winampa.exe" [2008-04-01 36352]
"topi"="c:\program files\TOSHIBA\Toshiba Online Product Information\topi.exe" [2007-07-10 581632]
"TkBellExe"="c:\program files\Common Files\Real\Update_OB\realsched.exe" [2008-02-07 185896]
"SystrayORAHSS"="c:\program files\Orange\Systray\SystrayApp.exe" [2007-09-25 94208]
"SynTPStart"="c:\program files\Synaptics\SynTP\SynTPStart.exe" [2007-07-27 204800]
"SVPWUTIL"="c:\program files\TOSHIBA\Utilities\SVPWUTIL.exe" [2006-03-22 438272]
"snpstd"="c:\windows\vsnpstd.exe" [2005-10-11 339968]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2008-09-06 413696]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-09-20 129560]
"ORAHSSSessionManager"="c:\program files\Orange\SessionManager\SessionManager.exe" [2007-09-25 102400]
"KeNotify"="c:\program files\TOSHIBA\Utilities\KeNotify.exe" [2006-11-06 34352]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2008-10-01 289576]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-09-20 141848]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2007-02-12 174872]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-09-20 154136]
"Camera Assistant Software"="c:\program files\Camera Assistant Software for Toshiba\traybar.exe" [2007-04-10 413696]
"AppleSyncNotifier"="c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-09-03 111936]
"RtHDVCpl"="RtHDVCpl.exe" [2007-09-03 c:\windows\RtHDVCpl.exe]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.dvacm"= c:\progra~1\COMMON~1\ULEADS~1\vio\dvacm.acm
"vidc.ffds"= c:\progra~1\COMBIN~1\Filters\FFDShow\ff_vfw.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\Antivirus-ashDisp.exe]
"Debugger"=c:\windows\system32\alg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\Antivirus-ashserv.exe]
"Debugger"=c:\windows\system32\alg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\Antivirus-ashSimpl.exe]
"Debugger"=c:\windows\system32\alg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\avesvc.exe]
"Debugger"=c:\windows\system32\alg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\bdmcon.exe]
"Debugger"=c:\windows\system32\alg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\bdnagent.exe]
"Debugger"=c:\windows\system32\alg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\bdss.exe]
"Debugger"=c:\windows\system32\alg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\bdswitch.exe]
"Debugger"=c:\windows\system32\alg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\DefWatch.exe]
"Debugger"=c:\windows\system32\alg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\xcommsvr.exe]
"Debugger"=c:\windows\system32\alg.exe

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute	REG_MULTI_SZ   	autocheck autochk /p \??\C:\[u]0/uautocheck autochk *

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
--a------ 2008-06-12 13:28 266497 c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\eMuleAutoStart]
--a------ 2008-05-18 10:14 5799936 c:\program files\eMule\eMule.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Toshiba Registration]
--a------ 2007-02-19 15:00 571024 c:\program files\TOSHIBA\Registration\ToshibaRegistration.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-406981787-4262907449-3248825866-1000]
"EnableNotificationsRef"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{2AADE598-D30B-4020-84C1-D45D536EE837}"= c:\program files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)
"{CBD24638-2A19-4B78-A91C-F72D8E223730}"= UDP:c:\program files\LimeWire\LimeWire.exe:LimeWire
"{5FF44E8C-063A-4EE9-818A-A8DFEEC41855}"= TCP:c:\program files\LimeWire\LimeWire.exe:LimeWire
"{B7A716A7-4ED8-4B2A-BEC0-DA8881B3E345}"= UDP:c:\program files\IVT Corporation\BlueSoleil\BlueSoleil.exe:BlueSoleil
"{3EF6132F-255C-4919-8131-11E3E1ED3FDC}"= TCP:c:\program files\IVT Corporation\BlueSoleil\BlueSoleil.exe:BlueSoleil
"{1A7E7381-C340-4191-AA62-2BF35DDEAD47}"= UDP:c:\program files\iTunes\iTunes.exe:iTunes
"{B0220275-8A2C-4283-878B-F693E66D88AF}"= TCP:c:\program files\iTunes\iTunes.exe:iTunes
"TCP Query User{AC409A63-E931-4E4C-A2CB-6AAA883E4B4B}c:\program files\internet explorer\iexplore.exe"= UDP:c:\program files\internet explorer\iexplore.exe:Internet Explorer
"UDP Query User{F802DFD6-676A-4343-B415-F203C112B618}c:\program files\internet explorer\iexplore.exe"= TCP:c:\program files\internet explorer\iexplore.exe:Internet Explorer
"{C32D9118-011F-4B92-ACDE-FF855B0CDA91}"= UDP:c:\program files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe:Veoh Web Player 
"{E5E79935-E3F3-4E17-BB9F-268BB3A0FAE2}"= TCP:c:\program files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe:Veoh Web Player 
"{2A4CF6DD-F756-4D72-9B87-B9355F7ACDA8}"= UDP:c:\program files\Orange\Deskboard\Deskboard.exe:deskboard
"{0638A894-EDA4-42FE-AB6D-020A2EAB2966}"= TCP:c:\program files\Orange\Deskboard\Deskboard.exe:deskboard
"{B380569C-6A99-4C0E-970C-A1D0A43DA58E}"= UDP:c:\windows\System32\wininit.exe:wininit
"{AA27C693-EFD5-49A9-832B-A62B5E5D97DE}"= TCP:c:\windows\System32\wininit.exe:wininit
"{16FA3A40-E187-4724-A1B4-834D8351429B}"= UDP:c:\program files\Orange\Systray\SystrayApp.exe:SystrayApp
"{AC91D579-113C-4C12-AED3-FCAA0EE04884}"= TCP:c:\program files\Orange\Systray\SystrayApp.exe:SystrayApp
"{D81775A1-B7A7-45EB-BDFA-D8D90F767CC9}"= UDP:c:\windows\explorer.exe:Explorer
"{54A4E806-6CB9-4282-AC40-366C983AB977}"= TCP:c:\windows\explorer.exe:Explorer
"{0EF61965-D101-4AE0-96FA-1DCE2A0A9F75}"= UDP:c:\program files\Bonjour\mDNSResponder.exe:Bonjour
"{1BA8EB8C-FBF3-4BD4-8DAD-0B697016189C}"= TCP:c:\program files\Bonjour\mDNSResponder.exe:Bonjour
"{3C1EFE2C-5A9B-4AC9-9D16-D66D63E7E114}"= UDP:c:\program files\Common Files\France Telecom\Shared Modules\AlertModule\[u]0/u\AlertModule.exe:AlertModule
"{C35AEF5A-C597-4FD5-98AF-0599E0491925}"= TCP:c:\program files\Common Files\France Telecom\Shared Modules\AlertModule\[u]0/u\AlertModule.exe:AlertModule
"{A0C07B34-FA4A-4AD8-B0CA-01DD7BB44DFB}"= UDP:c:\windows\RtHDVCpl.exe:RtHDVCpl
"{82BFF3FC-F03F-4A45-8108-4D4D7B5699B9}"= TCP:c:\windows\RtHDVCpl.exe:RtHDVCpl
"{759FE909-AFB0-4340-98C4-E2F7DC93CECB}"= UDP:c:\combofix\NirCmd.cfexe:NirCmd
"{47A635DC-82BC-4083-816D-7200503E58B0}"= TCP:c:\combofix\NirCmd.cfexe:NirCmd
"{0F329B87-0929-413B-A1EE-1838CFCA42E6}"= UDP:c:\windows\System32\igfxpers.exe:igfxpers
"{B84D3E4A-584F-4FE2-9570-5CCB75B11FF6}"= TCP:c:\windows\System32\igfxpers.exe:igfxpers
"{634DEC58-1B08-420F-9AA0-3F4C9BAD984A}"= UDP:c:\windows\System32\mobsync.exe:mobsync
"{E7CE97ED-BA85-4D4C-8216-78EA6F9B1473}"= TCP:c:\windows\System32\mobsync.exe:mobsync
"{1401CA5E-8649-4D53-BE6B-350BFD908D86}"= UDP:c:\windows\System32\igfxtray.exe:igfxtray
"{4816D01E-01C8-4728-8B4C-40327168C0C7}"= TCP:c:\windows\System32\igfxtray.exe:igfxtray
"{E4E9ABFA-7968-45CA-88BF-1526017058EF}"= UDP:c:\windows\ehome\ehtray.exe:ehtray
"{E03B7B00-B8B4-4CDA-82D1-BD1DA045A0A5}"= TCP:c:\windows\ehome\ehtray.exe:ehtray

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System]
"DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic|

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile]
"DoNotAllowExceptions"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile\AuthorizedApplications\List]
"c:\Program Files\Orange\Connectivity\ConnectivityManager.exe"= c:\program files\Orange\Connectivity\ConnectivityManager.exe:*:enabled:CSS
"c:\Windows\system32\config\systemprofile\AppData\Roaming\nscagent.exe"= c:\windows\system32\config\systemprofile\AppData\Roaming\nscagent.exe:*:Enabled:Win32load

S3 PCAMp50;PCAMp50 NDIS Protocol Driver;c:\windows\System32\drivers\PCAMp50.sys [2008-01-19 28224]
S4 CplIR;Embedded IR Driver;c:\windows\System32\drivers\CplIR.sys [2007-03-06 14848]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f8956d3b-eee8-11dd-904d-001167714e6e}]
\shell\AutoRun\command - G:\AMCD.EXE
.
- - - - ORPHELINS SUPPRIMES - - - -

BHO-{A057A204-BACC-4D26-C39E-35F1D2A32EC8} - c:\progra~1\MEGAUP~2\MEGAUP~1.DLL
Toolbar-{A057A204-BACC-4D26-C39E-35F1D2A32EC8} - c:\progra~1\MEGAUP~2\MEGAUP~1.DLL
WebBrowser-{A057A204-BACC-4D26-C39E-35F1D2A32EC8} - c:\progra~1\MEGAUP~2\MEGAUP~1.DLL
HKLM-Run-fae266ec - c:\windows\system32\zeberove.dll
HKLM-Run-CPMf9d15570 - c:\windows\system32\pawovuda.dll


.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr
mWindow Title = 
uInternet Settings,ProxyOverride = *.local
IE: {{76577871-04EC-495E-A12B-91F7C3600AFA} - https://www.ebay.fr
FF - ProfilePath - c:\users\Angélique\AppData\Roaming\Mozilla\Firefox\Profiles\19mwtt7n.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.yahoo.com/search?ei=UTF-8&fr=ytff-&p=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.yahoo.com/
FF - prefs.js: keyword.URL - hxxp://fr.search.yahoo.com/search?ei=utf-8&fr=megaup&p=
FF - plugin: c:\program files\Java\jre1.6.0\bin\npjava11.dll
FF - plugin: c:\program files\Java\jre1.6.0\bin\npjava12.dll
FF - plugin: c:\program files\Java\jre1.6.0\bin\npjava13.dll
FF - plugin: c:\program files\Java\jre1.6.0\bin\npjava14.dll
FF - plugin: c:\program files\Java\jre1.6.0\bin\npjava32.dll
FF - plugin: c:\program files\Java\jre1.6.0\bin\npjpi160.dll
FF - plugin: c:\program files\Java\jre1.6.0\bin\npoji610.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-17 14:00:20
Windows 6.0.6000  NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 

**************************************************************************
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe
c:\windows\System32\audiodg.exe
c:\program files\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\windows\System32\agrsmsvc.exe
c:\program files\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\TOSHIBA\ConfigFree\CFSvcs.exe
c:\progra~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\[u]0/u\FTRTSVC.exe
c:\program files\Intel\Intel Matrix Storage Manager\IAANTmon.exe
c:\windows\System32\TODDSrv.exe
c:\program files\TOSHIBA\Power Saver\TosCoSrv.exe
c:\program files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
c:\windows\System32\WUDFHost.exe
c:\windows\System32\conime.exe
c:\program files\Synaptics\SynTP\SynTPEnh.exe
c:\windows\System32\igfxsrvc.exe
c:\program files\Synaptics\SynTP\SynToshiba.exe
c:\program files\Camera Assistant Software for Toshiba\CEC_MAIN.exe
c:\windows\ehome\ehmsas.exe
c:\windows\System32\wbem\WMIADAP.exe
c:\program files\iPod\bin\iPodService.exe
c:\program files\Common Files\France Telecom\Shared Modules\AlertModule\[u]0/u\AlertModule.exe
c:\windows\System32\dllhost.exe
.
**************************************************************************
.
Heure de fin: 2009-03-17 14:02:08 - La machine a redémarré
ComboFix-quarantined-files.txt  2009-03-17 13:02:03
ComboFix2.txt  2009-03-17 07:32:06
ComboFix3.txt  2009-03-16 15:08:51

Avant-CF: Le texte du message associé au numéro 0x2379 est introuvable dans le fichier de messages pour Application.
Après-CF: 3,640,422,400 octets libres

458	--- E O F ---	2009-02-20 10:56:48

laura · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:04:57, on 17/03/2009
Platform: Windows Vista  (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16809)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32	askeng.exe
C:\Windows\system32\conime.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Common Files\Real\Update_OBealsched.exe
C:\Windows\RtHDVCpl.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\TOSHIBA\Utilities\KeNotify.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Windows\System32\igfxtray.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Windows\System32\hkcmd.exe
C:\Program Files\Camera Assistant Software for Toshiba	raybar.exe
C:\Windows\system32\igfxsrvc.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Synaptics\SynTP\SynToshiba.exe
C:\Program Files\Camera Assistant Software for Toshiba\CEC_MAIN.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Orange\systray\systrayapp.exe
C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
C:\Windows\Explorer.exe
C:\Windows\system32
otepad.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\Angélique\Downloads\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\Orange\SearchURLHook\SearchPageURL.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {0f8b900a-324f-4f48-a4b4-8f184ec5ad8c} - C:\Windows\system32\zutozube.dll (file missing)
O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files\Winamp Toolbar\winamptb.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayerpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Skyrock Toolbar - {A057A204-BACC-4D26-969A-2AB983EE729B} - C:\PROGRA~1\SKYROC~1\SKYROC~1.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll
O3 - Toolbar: Skyrock Toolbar - {A057A204-BACC-4D26-969A-2AB983EE729B} - C:\PROGRA~1\SKYROC~1\SKYROC~1.DLL
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [topi] C:\Program Files\TOSHIBA\Toshiba Online Product Information	opi.exe -startup
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [SystrayORAHSS] "C:\Program Files\Orange\Systray\SystrayApp.exe"
O4 - HKLM\..\Run: [SynTPStart] C:\Program Files\Synaptics\SynTP\SynTPStart.exe
O4 - HKLM\..\Run: [SVPWUTIL] C:\Program Files\TOSHIBA\Utilities\SVPWUTIL.exe SVPwUTIL
O4 - HKLM\..\Run: [snpstd] C:\Windows\vsnpstd.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [ORAHSSSessionManager] C:\Program Files\Orange\SessionManager\SessionManager.exe
O4 - HKLM\..\Run: [KeNotify] C:\Program Files\TOSHIBA\Utilities\KeNotify.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Camera Assistant Software] "C:\Program Files\Camera Assistant Software for Toshiba	raybar.exe"
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O9 - Extra button: eBay - Achetez, Vendez - {76577871-04EC-495E-A12B-91F7C3600AFA} - https://www.ebay.fr (file missing)
O9 - Extra button: (no name) - Cmdmapping - (no file) (HKCU)
O13 - Gopher Prefix: 
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - https://www.touslesdrivers.com/index.php?v_page=29
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: TOSHIBA Optical Disc Drive Service (TODDSrv) - TOSHIBA Corporation - C:\Windows\system32\TODDSrv.exe
O23 - Service: TOSHIBA Power Saver (TosCoSrv) - TOSHIBA Corporation - C:\Program Files\TOSHIBA\Power Saver\TosCoSrv.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe

Utilisateur anonyme · Answer

;)

je sais pas ce que vous avez fais avec le pc .. 

l' infection regresse mais elle a tendance a revenir , je commenence a y voir plus clair ;)


met malewarebytes a jours et lance un scan rapide , n oublie pas de "supprimer la selection" a la fin du scan et de poster le rapport bien sur ;)

courage Laura

laura · Answer

c'est surtout le pc des enfants...

je ne sais pas trop,de toute façon je veux installer un control parental deja...
je le met a jour , fais un scan et te le poste

Utilisateur anonyme · Answer

ok , je comprend mieux ..

on securisera tout ça apres ;)

laura · Answer

bon j en ai marre
ça fait 5 fois que l ordi plante
avec malwarebytes
il trouve 18 virus et se bloque apres.
meme en sans echec
que faire docteur?

laura · Answer

je m absente pour aller les chercher a l ecole et reviens apres

julow · Answer

Courage!

Tu es entre de bonnes mains ^^

Utilisateur anonyme · Answer

oki , no panik ,


Télécharge ToolsCleaner sur ton bureau. 
--> 
http://pc-system.fr/ 
http://www.commentcamarche.net/telecharger/telecharger 34055291 toolscleaner

# Fais un clic droit sur toolcleaner
# Choisi executer en tant qu administrateur
# Clique sur Recherche et laisse le scan agir ... 
# Clique sur Suppression pour finaliser. 
# Tu peux, si tu le souhaites, te servir des Options facultatives. 
# Clique sur Quitter pour obtenir le rapport. 
# Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).

laura · Answer

ok je fais ça

laura · Answer

re
au nieau du rapport de tools . il m en a pas donnè par contre il a supprimer des choses
j ai reussit en  passe , a desinfecter avec malwarebytes
ci joint les 3 rapports

Malwarebytes' Anti-Malware 1.34
Database version: 1857
Windows 6.0.6000 

17/03/2009 16:48:01
mbam-log-2009-03-17 (16-48-01).txt

Scan type: Quick Scan
Objects scanned: 20105
Time elapsed: 1 minute(s), 40 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 3
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0f8b900a-324f-4f48-a4b4-8f184ec5ad8c} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{0f8b900a-324f-4f48-a4b4-8f184ec5ad8c} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4} (Trojan.BHO) -> Quarantined and deleted successfully.

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
(No malicious items detected)

Malwarebytes' Anti-Malware 1.34
Database version: 1857
Windows 6.0.6000 

17/03/2009 19:35:23
mbam-log-2009-03-17 (19-35-23).txt

Scan type: Quick Scan
Objects scanned: 47522
Time elapsed: 2 minute(s), 41 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 3
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 3
Files Infected: 7

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\seneka (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\seneka (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\seneka (Trojan.Agent) -> Quarantined and deleted successfully.

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
C:\Users\Angélique\AppData\Roaming
idle (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Windows\System32\ghu02 (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Users\Angélique\Searched (Worm.Archive) -> Files: 53383 -> Delete on reboot.

Files Infected:
C:\Windows\System32\MSINET.oca (Rogue.Trace) -> Quarantined and deleted successfully.
C:\Users\Angélique\AppData\Roaming
idle
idle.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Windows\System32\drivers\seneka.sys (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Windows\System32\drivers\senekachxpbxei.sys (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Windows\System32\drivers\senekagotksrep.sys (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Windows\System32\drivers\senekaumbpoudq.sys (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Windows\System32\FInstall.sys (Backdoor.Bot) -> Quarantined and deleted successfully.


Malwarebytes' Anti-Malware 1.34
Database version: 1857
Windows 6.0.6000 

17/03/2009 19:45:44
mbam-log-2009-03-17 (19-45-44).txt

Scan type: Quick Scan
Objects scanned: 61324
Time elapsed: 3 minute(s), 3 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 2
Registry Values Infected: 0
Registry Data Items Infected: 1
Folders Infected: 0
Files Infected: 8

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\bdss.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\xcommsvr.exe (Security.Hijack) -> Quarantined and deleted successfully.

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Hijack.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Folders Infected:
(No malicious items detected)

Files Infected:
C:\Windows\System32\senekaappbesof.dat (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Windows\System32\senekadjqkmgmy.dat (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Windows\System32\senekafbqudupu.dat (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Windows\System32\senekaicxbxjuh.dat (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Windows\System32\senekakpvuurtb.dat (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Windows\System32\senekapop.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Windows\System32\senekasnvfpltj.dat (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Windows\System32\senekatvcapumm.dat (Trojan.Agent) -> Quarantined and deleted successfully.

Utilisateur anonyme · Answer

ok et bien joué ,

je sais je t embetes a te demander des rapports etc ... mais .. 

breff ,

tu veux bien refaire ceci : (pour faire l amalgame de tout ça ..)

Télécharge ici : 

http://images.malwareremoval.com/random/RSIT.exe 

random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau. 

Double-clique sur RSIT.exe afin de lancer RSIT. 

Lis le contenu de l'écran Disclaimer puis clique sur Continue (si tu acceptes les conditions). 

Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence. 

Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. 

Poste le contenu de log.txt 

ps : ne redemarre plus le pc stp

laura · Answer

non tu m embete pas...c'est plutot moi qui t embete.
rsit fonctionne (comparè a tout a l heure)
j attend le rapport et le poste

laura · Answer

Logfile of random's system information tool 1.05 (written by random/random)
Run by Angélique at 2009-03-17 19:56:42
Microsoft® Windows Vista™ Édition Familiale Premium  
System drive C: has 4 GB (5%) free of 76 GB
Total RAM: 2038 MB (53% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:56:53, on 17/03/2009
Platform: Windows Vista  (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16809)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32	askeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Common Files\Real\Update_OBealsched.exe
C:\Program Files\Orange\Systray\SystrayApp.exe
C:\Windows\vsnpstd.exe
C:\Windows\RtHDVCpl.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\TOSHIBA\Utilities\KeNotify.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Windows\System32\igfxtray.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Windows\System32\hkcmd.exe
C:\Program Files\Camera Assistant Software for Toshiba	raybar.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Windows\ehome\ehtray.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Camera Assistant Software for Toshiba\CEC_MAIN.exe
C:\Program Files\Synaptics\SynTP\SynToshiba.exe
C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
C:\Windows\system32\igfxsrvc.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\Angélique\Desktop\RSIT.exe
C:\Program Files	rend micro\Angélique.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\Orange\SearchURLHook\SearchPageURL.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files\Winamp Toolbar\winamptb.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayerpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Skyrock Toolbar - {A057A204-BACC-4D26-969A-2AB983EE729B} - C:\PROGRA~1\SKYROC~1\SKYROC~1.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll
O3 - Toolbar: Skyrock Toolbar - {A057A204-BACC-4D26-969A-2AB983EE729B} - C:\PROGRA~1\SKYROC~1\SKYROC~1.DLL
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [topi] C:\Program Files\TOSHIBA\Toshiba Online Product Information	opi.exe -startup
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [SystrayORAHSS] "C:\Program Files\Orange\Systray\SystrayApp.exe"
O4 - HKLM\..\Run: [SynTPStart] C:\Program Files\Synaptics\SynTP\SynTPStart.exe
O4 - HKLM\..\Run: [SVPWUTIL] C:\Program Files\TOSHIBA\Utilities\SVPWUTIL.exe SVPwUTIL
O4 - HKLM\..\Run: [snpstd] C:\Windows\vsnpstd.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [ORAHSSSessionManager] C:\Program Files\Orange\SessionManager\SessionManager.exe
O4 - HKLM\..\Run: [KeNotify] C:\Program Files\TOSHIBA\Utilities\KeNotify.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Camera Assistant Software] "C:\Program Files\Camera Assistant Software for Toshiba	raybar.exe"
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\RunOnce: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O9 - Extra button: eBay - Achetez, Vendez - {76577871-04EC-495E-A12B-91F7C3600AFA} - https://www.ebay.fr (file missing)
O9 - Extra button: (no name) - Cmdmapping - (no file) (HKCU)
O13 - Gopher Prefix: 
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - https://www.touslesdrivers.com/index.php?v_page=29
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: TOSHIBA Optical Disc Drive Service (TODDSrv) - TOSHIBA Corporation - C:\Windows\system32\TODDSrv.exe
O23 - Service: TOSHIBA Power Saver (TosCoSrv) - TOSHIBA Corporation - C:\Program Files\TOSHIBA\Power Saver\TosCoSrv.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe

Utilisateur anonyme · Answer

ok , j ai besoin de relire des rapports precédent aussi pour comparaison

et je reviens pour la suite . dis aux enfant "ne toucher pas le pc tant qu il est pas propre !!!' lol

@ toute

laura · Answer

j ai trouvè ça aussi il vient d apparaitre !!


info.txt logfile of random's system information tool 1.05 2009-03-17 19:56:55

======Uninstall list======

-->"C:\Program Files\InstallShield Installation Information\{A644254B-92F6-4970-8635-AB0775371E72}\setup.exe" --u:{A644254B-92F6-4970-8635-AB0775371E72}
-->C:\Program Files\Common Files\Real\Update_OB1puninst.exe RealNetworks|RealPlayer|6.0
-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{622E6F16-0904-49B6-BBE1-4CC836314CCF}\setup.exe" -l0x40c 
-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{697AFC77-F318-4CD4-BF16-F50F4C1072DA}\setup.exe" -l0x40c 
Adobe Flash Player ActiveX-->C:\Windows\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player Plugin-->C:\Windows\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 7.0.9 - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A70900000002}
Adobe Shockwave Player-->C:\Windows\System32\Adobe\SHOCKW~1\UNWISE.EXE C:\Windows\System32\Adobe\SHOCKW~1\Install.log
Apple Mobile Device Support-->MsiExec.exe /I{976C2B2A-CE59-4AB3-83FB-BF895E28F2E6}
Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033}
Assistant de connexion Windows Live-->MsiExec.exe /I{AFA4E5FD-ED70-4D92-99D0-162FD56DC986}
Avira AntiVir Personal - Free Antivirus-->C:\Program Files\Avira\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE
AviSynth 2.5-->"C:\Program Files\AviSynth 2.5\Uninstall.exe"
AVS Update Manager 1.0-->"C:\Program Files\AVS4YOU\AVSUpdateManger\unins000.exe"
AVS Video Converter 6-->"C:\Program Files\AVS4YOU\AVSVideoConverter6\unins000.exe"
AVS4YOU Software Navigator 1.3-->"C:\Program Files\AVS4YOU\AVSSoftwareNavigator\unins000.exe"
Bluesoleil2.6.0.8 Release 070517-->MsiExec.exe /X{438BB9B4-65FE-4626-91D9-A8F57B18001D}
Bluetooth Stack for Windows by Toshiba-->MsiExec.exe /X{CEBB6BFB-D708-4F99-A633-BC2600E01EF6}
Bonjour-->MsiExec.exe /I{07287123-B8AC-41CE-8346-3D777245C35B}
Camera Assistant Software for Toshiba-->C:\Program Files\InstallShield Installation Information\{37C866E4-AA67-4725-9E95-A39968DD7960}\setup.exe -runfromtemp -l0x040c
CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe"
Codeur Windows Media Série 9-->msiexec.exe /I {E38C00D0-A68B-4318-A8A6-F7D4B5B1DF0E}
Codeur Windows Media Série 9-->MsiExec.exe /I{E38C00D0-A68B-4318-A8A6-F7D4B5B1DF0E}
Combined Community Codec Pack 2008-09-21 16:18-->"C:\Program Files\Combined Community Codec Pack\unins000.exe"
DVD MovieFactory for TOSHIBA-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{F214EAA4-A069-4BAF-9DA4-4DB8BEEDE485}\setup.exe" -l0x40c 
Emdedded IR Driver-->C:\PROGRA~1\COMMON~1\INSTAL~1\Driver\1050\INTEL3~1\IDriver.exe /M{A6D4234C-CB02-4048-AC3E-AD09404FA35A} 
eMule Plus 1.2d-->"C:\Program Files\eMule\unins000.exe"
eMusic - 50 Free MP3 offer-->"C:\Program Files\Winamp\eMusic\Uninst-eMusic-promotion.exe"
EVEREST Home Edition v2.20-->"C:\Program Files\Lavalys\EVEREST Home Edition\unins000.exe"
FindyKill-->C:\Program Files\FindyKill\Uninstal.exe
Free iPod Video Converter 1.34-->"C:\Program Files\Free iPod Video Converter\unins000.exe"
Google Toolbar for Firefox-->MsiExec.exe /X{2CCBABCB-6427-4A55-B091-49864623C43F}
Google Toolbar for Internet Explorer-->"C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarManager_0531C63A913CC9D1.exe" /uninstall
HijackThis 2.0.2-->"C:\Program Files	rend micro\HijackThis.exe" /uninstall
Intel Matrix Storage Manager-->C:\Windows\system32\imsmudlg.exe -uninstall
Intel(R) Graphics Media Accelerator Driver-->C:\Windows\system32\igxpun.exe -uninstall
iTunes-->MsiExec.exe /I{DDDE0BE3-0CBE-4BF6-B75A-E3F69C947843}
Java(TM) SE Runtime Environment 6-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160000}
K-Lite Codec Pack 4.0.0 (Standard)-->"C:\Program Files\K-Lite Codec Pack\unins000.exe"
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
Megaupload Toolbar-->C:\Program Files\MegauploadToolbar\uninstall.exe
Messenger Plus! Live & Sponsor (CiD)-->"C:\Program Files\Messenger Plus! Live\Uninstall.exe"
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Mozilla Firefox (3.0.7)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
MSXML 4.0 SP2 (KB927978)-->MsiExec.exe /I{37477865-A3F1-4772-AD43-AAFC6BCFF99F}
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
myphotobook 3.1-->C:\Program Files\myphotobook\uninst.exe
Navigateur Orange-->C:\Program Files\Orange\Uninstall\Browser\Shell.exe MainUninstall.shl
Orange - Logiciels Internet-->C:\Program Files\Orange\installation\core\Installgui.exe -u
Panneau de configuration MobileMe-->MsiExec.exe /I{6DA9102E-199F-43A0-A36B-6EF48081A658}
PhotoFiltre-->"C:\Program Files\PhotoFiltre\Uninst.exe"
Power MP4 iPod PSP 3GP AVI MPG WMV Video Converter 8.3-->"C:\Program Files\AML Products\Power MP4 iPod PSP 3GP AVI MPG WMV Video Converter\unins000.exe"
QuickTime-->MsiExec.exe /I{8DC42D05-680B-41B0-8878-6C14D24602DB}
RealPlayer-->C:\Program Files\Common Files\Real\Update_OB1puninst.exe RealNetworks|RealPlayer|6.0
Realtek High Definition Audio Driver-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\Setup.exe" -l0x40c  -removeonly
Réducteur de bruit lect. CD/DVD-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{9FE35071-CAB2-4E79-93E7-BFC6A2DC5C5D}\setup.exe" -l0x40c 
Safari-->MsiExec.exe /I{C9D96682-5A4D-45FA-BA3E-DDCB2B0CB868}
Security Update for CAPICOM (KB931906)-->MsiExec.exe /I{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}
Security Update for CAPICOM (KB931906)-->MsiExec.exe /X{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}
Security Update for Windows Media Encoder (KB954156)-->msiexec.exe /I {E38C00D0-A68B-4318-A8A6-F7D4B5B1DF0E} MSIPATCHREMOVE={E836F1B7-43FB-46B0-A0D9-E4D2A5951659} /qb
Skyrock Toolbar-->C:\Program Files\skyrocktbar\uninstall.exe
StylORImage-->MsiExec.exe /I{E96D5415-7D76-4115-A7F4-3C0108BF0D09}
Synaptics Pointing Device Driver-->rundll32.exe "C:\Program Files\Synaptics\SynTP\SynISDLL.dll",standAloneUninstall
Texas Instruments PCIxx21/x515/xx12 drivers.-->C:\Program Files\InstallShield Installation Information\{DB780B85-B4B5-4864-A49C-9B706B169C93}\setup.exe -runfromtemp -l0x040c
TOSHIBA Assist-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{12B3A009-A080-4619-9A2A-C6DB151D8D67}\setup.exe" -l0x40c 
TOSHIBA ConfigFree-->C:\Program Files\InstallShield Installation Information\{78C6A78A-8B03-48C8-A47C-78BA1FCA2307}\setup.exe -runfromtemp -l0x040c uninstall
TOSHIBA Disc Creator-->MsiExec.exe /X{5DA0E02F-970B-424B-BF41-513A5018E4C0}
TOSHIBA Extended Tiles for Windows Mobility Center-->C:\Program Files\InstallShield Installation Information\{617C36FD-0CBE-4600-84B2-441CEB12FADF}\setup.exe -runfromtemp -l0x040c
TOSHIBA Flash Cards Support Utility-->C:\PROGRA~1\COMMON~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{620BBA5E-F848-4D56-8BDA-584E44584C5E} 
TOSHIBA Hardware Setup-->C:\PROGRA~1\COMMON~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{5279374D-87FE-4879-9385-F17278EBB9D3} /l1036 
TOSHIBA Mot de passe responsable-->C:\PROGRA~1\COMMON~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{51B4E156-14A5-4904-9AE4-B1AA2A0E46BE} /l1036 
Toshiba Online Product Information-->C:\Program Files\InstallShield Installation Information\{2290A680-4083-410A-ADCC-7092C67FC052}\setup.exe -runfromtemp -l0x040c -removeonly
TOSHIBA SD Memory Utilities-->MsiExec.exe /X{EBFF48F5-3CFA-436F-8FD5-94FB01D3A0A7}
TOSHIBA Software Modem-->Tosmreg -U
TOSHIBA Value Added Package-->C:\Program Files\InstallShield Installation Information\{FEDD27A0-B306-45EF-BF58-B527406B42C8}\setup.exe -runfromtemp -l0x040c
Winamp Remote-->"C:\Program Files\Winamp Remote\uninstall.exe"
Winamp Toolbar for Firefox-->"C:\Users\sophie\AppData\Roaming\Mozilla\Firefox\Profiles\z3jdzx13.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f}\uninstall.exe"
Winamp Toolbar for Internet Explorer-->"C:\Program Files\Winamp Toolbar\uninstall.exe"
Winamp-->"C:\Program Files\Winamp\UninstWA.exe"
WinAVI Video Capture 2.0-->"C:\Program Files\WinAVI Video Capture\unins000.exe"
Windows Live Messenger-->MsiExec.exe /X{BADF6744-3787-48F6-B8C9-4C4995401D65}

======Security center information======

AV: Avira AntiVir PersonalEdition Classic
AV: Norton Internet Security (outdated)
FW: Norton Internet Security (disabled)
AS: Windows Defender (outdated)
AS: Norton Internet Security

System event log

Computer Name: PC-de-sophie
Event Code: 20001
Message: La gestion des pilotes a terminé le processus d’installation du pilote FileRepository\volume.inf_9320b452\volume.inf pour l’ID d’instance de périphérique STORAGE\VOLUME\1&19F7E59C&0&SIGNATURED46ED46EOFFSET7E00LENGTH991DA0C00 avec le statut suivant : 0.
Record Number: 204460
Source Name: Microsoft-Windows-User-PnP
Time Written: 20090317185150.782731-000
Event Type: Information
User: AUTORITE NT\SYSTEM

Computer Name: PC-de-sophie
Event Code: 7036
Message: Le service Programme d’installation de modules Windows est entré dans l'état : arrêté.
Record Number: 204461
Source Name: Service Control Manager
Time Written: 20090317185203.000000-000
Event Type: Information
User: 

Computer Name: PC-de-sophie
Event Code: 7036
Message: Le service Programme d’installation de modules Windows est entré dans l'état : en cours d'exécution.
Record Number: 204462
Source Name: Service Control Manager
Time Written: 20090317185313.000000-000
Event Type: Information
User: 

Computer Name: PC-de-sophie
Event Code: 57
Message: Le système n'a pas pu vider les données du journal de transaction. Les données pourraient être endommagées.
Record Number: 204463
Source Name: volmgr
Time Written: 20090317185331.893731-000
Event Type: Avertissement
User: 

Computer Name: PC-de-sophie
Event Code: 57
Message: Le système n'a pas pu vider les données du journal de transaction. Les données pourraient être endommagées.
Record Number: 204464
Source Name: volmgr
Time Written: 20090317185432.780731-000
Event Type: Avertissement
User: 

Application event log

Computer Name: PC-de-sophie
Event Code: 5007
Message: Impossible d’analyser le fichier cible de la plateforme de signalement de problèmes Windows (fichier DLL contenant la liste des problèmes de l’ordinateur et nécessitant la collecte de données supplémentaires à des fins de diagnostic). Le code d’erreur était : 8014FFF9.
Record Number: 42093
Source Name: WerSvc
Time Written: 20090317184400.000000-000
Event Type: Erreur
User: 

Computer Name: PC-de-sophie
Event Code: 1001
Message: Les compteurs de performances pour le service WmiApRpl (WmiApRpl) ont été supprimés. Les données d'enregistrement contiennent les nouvelles valeurs du dernier compteur système et les dernières entrées du registre d'aide.
Record Number: 42094
Source Name: Microsoft-Windows-LoadPerf
Time Written: 20090317184400.000000-000
Event Type: Information
User: 

Computer Name: PC-de-sophie
Event Code: 1000
Message: Les compteurs de performances pour le service WmiApRpl (WmiApRpl) ont été chargés. Les données d'enregistrement dans la section des données contiennent les nouvelles valeurs d'index assignées à ce service.
Record Number: 42095
Source Name: Microsoft-Windows-LoadPerf
Time Written: 20090317184401.000000-000
Event Type: Information
User: 

Computer Name: PC-de-sophie
Event Code: 1001
Message: Les compteurs de performances pour le service WmiApRpl (WmiApRpl) ont été supprimés. Les données d'enregistrement contiennent les nouvelles valeurs du dernier compteur système et les dernières entrées du registre d'aide.
Record Number: 42096
Source Name: Microsoft-Windows-LoadPerf
Time Written: 20090317185509.000000-000
Event Type: Information
User: 

Computer Name: PC-de-sophie
Event Code: 1000
Message: Les compteurs de performances pour le service WmiApRpl (WmiApRpl) ont été chargés. Les données d'enregistrement dans la section des données contiennent les nouvelles valeurs d'index assignées à ce service.
Record Number: 42097
Source Name: Microsoft-Windows-LoadPerf
Time Written: 20090317185509.000000-000
Event Type: Information
User: 

Security event log

Computer Name: PC-de-sophie
Event Code: 5032
Message: Le Pare-feu Windows n’a pas pu notifier l’utilisateur qu’il a empêché une application d’accepter des connexions entrantes sur le réseau.

Code d’erreur :	2
Record Number: 170555
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090317184638.525531-000
Event Type: Échec de l'audit
User: 

Computer Name: PC-de-sophie
Event Code: 5032
Message: Le Pare-feu Windows n’a pas pu notifier l’utilisateur qu’il a empêché une application d’accepter des connexions entrantes sur le réseau.

Code d’erreur :	2
Record Number: 170556
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090317184638.541131-000
Event Type: Échec de l'audit
User: 

Computer Name: PC-de-sophie
Event Code: 4648
Message: Tentative d’ouverture de session en utilisant des informations d’identification explicites.

Sujet :
	ID de sécurité :		S-1-5-18
	Nom du compte :		PC-DE-SOPHIE$
	Domaine du compte :		WORKGROUP
	ID d’ouverture de session :		0x3e7
	GUID d’ouverture de session :		{00000000-0000-0000-0000-000000000000}

Compte dont les informations d’identification ont été utilisées :
	Nom du compte :		SYSTEM
	Domaine du compte :		AUTORITE NT
	GUID d’ouverture de session :		{00000000-0000-0000-0000-000000000000}

Serveur cible :
	Nom du serveur cible :	localhost
	Informations supplémentaires :	localhost

Informations sur le processus :
	ID du processus :		0x2b8
	Nom du processus :		C:\Windows\System32\services.exe

Informations sur le réseau :
	Adresse du réseau :	-
	Port :			-

Cet événement est généré lorsqu’un processus tente d’ouvrir une session pour un compte en spécifiant explicitement les informations d’identification de ce compte. Ceci se produit le plus souvent dans les configurations par lot comme les tâches planifiées, ou avec l’utilisation de la commande RUNAS.
Record Number: 170557
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090317185313.234731-000
Event Type: Succès de l'audit
User: 

Computer Name: PC-de-sophie
Event Code: 4624
Message: L’ouverture de session d’un compte s’est correctement déroulée.

Sujet :
	ID de sécurité :		S-1-5-18
	Nom du compte :		PC-DE-SOPHIE$
	Domaine du compte :		WORKGROUP
	ID d’ouverture de session :		0x3e7

Type d’ouverture de session :			5

Nouvelle ouverture de session :
	ID de sécurité :		S-1-5-18
	Nom du compte :		SYSTEM
	Domaine du compte :		AUTORITE NT
	ID d’ouverture de session :		0x3e7
	GUID d’ouverture de session :		{00000000-0000-0000-0000-000000000000}

Informations sur le processus :
	ID du processus :		0x2b8
	Nom du processus :		C:\Windows\System32\services.exe

Informations sur le réseau :
	Nom de la station de travail :	
	Adresse du réseau source :	-
	Port source :		-

Informations détaillées sur l’authentification :
	Processus d’ouverture de session :		Advapi  
	Package d’authentification :	Negotiate
	Services en transit :	-
	Nom du package (NTLM uniquement) :	-
	Longueur de la clé :		0

Cet événement est généré lors de la création d’une ouverture de session. Il est généré sur l’ordinateur sur lequel l’ouverture de session a été effectuée.

Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.

Le champ Type d’ouverture de session indique le type d’ouverture de session qui s’est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).

Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s’est connecté.

Les champs relatifs au réseau indiquent la provenance d’une demande d’ouverture de session à distance. Le nom de la station de travail n’étant pas toujours disponible, peut être laissé vide dans certains cas.

Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.
	- Le GUID d’ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
	- Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.
	- Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
	- La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.
Record Number: 170558
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090317185313.234731-000
Event Type: Succès de l'audit
User: 

Computer Name: PC-de-sophie
Event Code: 4672
Message: Privilèges spéciaux attribués à la nouvelle ouverture de session.

Sujet :
	ID de sécurité :		S-1-5-18
	Nom du compte :		SYSTEM
	Domaine du compte :		AUTORITE NT
	ID d’ouverture de session :		0x3e7

Privilèges :		SeAssignPrimaryTokenPrivilege
			SeTcbPrivilege
			SeSecurityPrivilege
			SeTakeOwnershipPrivilege
			SeLoadDriverPrivilege
			SeBackupPrivilege
			SeRestorePrivilege
			SeDebugPrivilege
			SeAuditPrivilege
			SeSystemEnvironmentPrivilege
			SeImpersonatePrivilege
Record Number: 170559
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090317185313.234731-000
Event Type: Succès de l'audit
User: 

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"Path"=%systemroot%\system32;%systemroot%;%systemroot%\system32\wbem;C:\PROGRA~1\COMMON~1\ULEADS~1\MPEG;C:\Program Files\QuickTime\QTSystem
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=x86
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 15 Stepping 13, GenuineIntel
"PROCESSOR_REVISION"=0f0d
"NUMBER_OF_PROCESSORS"=2
"CLASSPATH"=.;C:\Program Files\Java\jre1.6.0\lib\ext\QTJava.zip
"QTJAVA"=C:\Program Files\Java\jre1.6.0\lib\ext\QTJava.zip

-----------------EOF-----------------

laura · Answer

ok merci a toi mon gentil informaticien !!

ne t inquiete pas si je repond pas ce soir.
de toute façon je serai sur le pc demain
pour le moment ça marche beaucoup mieux !!!
plus de fenetre de pub non plus
et google marche enfin !!

Utilisateur anonyme · Answer

cool mai n utilise pas le pc stp sauf pour le nettoyer ,


---> Télécharge OTMoveIt3 (OldTimer) sur ton Bureau : 
http://oldtimer.geekstogo.com/OTMoveIt3.exe 

---> Double-clique sur OTMoveIt3.exe afin de le lancer. 

---> Copie (Ctrl+C) le texte suivant ci-dessous : 





:processes 
explorer.exe 

:services 
Tosrfcom

:files 
c:\users\Angélique\AppData\Roaming
idle 
c:\windows\System32\MR 
c:\windows\System32\aNI02 
c:	emp\atmp8 
c:\windows\$ntunistalls 
C:\Program Files\Winamp Toolbar
C:\Avenger 
C:\Windows\ERDNT 
C:\Program Files\Alwil Software 
C:\Program Files\Error Repair Professional 
C:\La Fouine - Mes RepÃ¨res (2009) 
C:\Windows\system32\befnpk.txt 
C:\TCleaner.txt 
C:\Windows\PSEXESVC.EXE 
C:\Windows\zip.exe 
C:\Windows\VFIND.exe 
C:\Windows\SWXCACLS.exe 
C:\Windows\SWSC.exe 
C:\Windows\SWREG.exe 
C:\Windows\sed.exe 
C:\Windows\NIRCMD.exe 
C:\Windows\grep.exe 
C:\Windows\fdsv.exe 
C:\Windows\system32\fedalajo.dll 
C:\Windows\system32\mowogova.dll 
C:\Windows\system32\hopipuwe.dll 
C:\Windows\system32\jajulaze.dll 

:reg 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{25CEE8EC-5730-41bc-8B58-22DDC8AB8C20}] 

:commands 
[emptytemp] 
[start explorer] 
[reboot] 



---> Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved. 

---> Clique maintenant sur le bouton MoveIt! puis ferme OTMoveIt3. 

Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. 
Accepte en cliquant sur YES. 

---> Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\ 
Le nom du rapport correspond au moment de sa création : date_heure.log

laura · Answer

========== PROCESSES ==========
Process explorer.exe killed successfully.
========== SERVICES/DRIVERS ==========

Service\Driver Tosrfcom deleted successfully.
========== FILES ==========
File/Folder c:\users\Angélique\AppData\Roaming
idle not found.
c:\windows\System32\MR moved successfully.
c:\windows\System32\aNI02 moved successfully.
c:	emp\atmp8 moved successfully.
c:\windows\$ntunistalls moved successfully.
C:\Program Files\Winamp Toolbar moved successfully.
C:\Avenger\Searched moved successfully.
C:\Avenger moved successfully.
C:\Windows\ERDNT\subs moved successfully.
C:\Windows\ERDNT\Hiv-backup\Users\00000004 moved successfully.
C:\Windows\ERDNT\Hiv-backup\Users\00000003 moved successfully.
C:\Windows\ERDNT\Hiv-backup\Users\00000002 moved successfully.
C:\Windows\ERDNT\Hiv-backup\Users\00000001 moved successfully.
C:\Windows\ERDNT\Hiv-backup\Users moved successfully.
C:\Windows\ERDNT\Hiv-backup moved successfully.
C:\Windows\ERDNT moved successfully.
C:\Program Files\Alwil Software\Avast4\Setup moved successfully.
C:\Program Files\Alwil Software\Avast4 moved successfully.
C:\Program Files\Alwil Software moved successfully.
C:\Program Files\Error Repair Professional\startbug moved successfully.
C:\Program Files\Error Repair Professional\Backups moved successfully.
C:\Program Files\Error Repair Professional moved successfully.
C:\La Fouine - Mes RepÃ¨res (2009) moved successfully.
C:\Windows\system32\befnpk.txt moved successfully.
C:\TCleaner.txt moved successfully.
C:\Windows\PSEXESVC.EXE moved successfully.
C:\Windows\zip.exe moved successfully.
C:\Windows\VFIND.exe moved successfully.
C:\Windows\SWXCACLS.exe moved successfully.
C:\Windows\SWSC.exe moved successfully.
C:\Windows\SWREG.exe moved successfully.
C:\Windows\sed.exe moved successfully.
C:\Windows\NIRCMD.exe moved successfully.
C:\Windows\grep.exe moved successfully.
C:\Windows\fdsv.exe moved successfully.
DllUnregisterServer procedure not found in C:\Windows\system32\fedalajo.dll
C:\Windows\system32\fedalajo.dll NOT unregistered.
C:\Windows\system32\fedalajo.dll moved successfully.
DllUnregisterServer procedure not found in C:\Windows\system32\mowogova.dll
C:\Windows\system32\mowogova.dll NOT unregistered.
C:\Windows\system32\mowogova.dll moved successfully.
DllUnregisterServer procedure not found in C:\Windows\system32\hopipuwe.dll
C:\Windows\system32\hopipuwe.dll NOT unregistered.
C:\Windows\system32\hopipuwe.dll moved successfully.
DllUnregisterServer procedure not found in C:\Windows\system32\jajulaze.dll
C:\Windows\system32\jajulaze.dll NOT unregistered.
C:\Windows\system32\jajulaze.dll moved successfully.
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{25CEE8EC-5730-41bc-8B58-22DDC8AB8C20}\ deleted successfully.
========== COMMANDS ==========
File delete failed. C:\Users\ANGLIQ~1\AppData\Local\Temp\etilqs_34QINvyjoSJg2gIAO2mO scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
Local Service Temporary Internet Files folder emptied.
Windows Temp folder emptied.
File delete failed. C:\Users\Angélique\AppData\Local\Mozilla\Firefox\Profiles\19mwtt7n.default\Cache\_CACHE_001_ scheduled to be deleted on reboot.
File delete failed. C:\Users\Angélique\AppData\Local\Mozilla\Firefox\Profiles\19mwtt7n.default\Cache\_CACHE_002_ scheduled to be deleted on reboot.
File delete failed. C:\Users\Angélique\AppData\Local\Mozilla\Firefox\Profiles\19mwtt7n.default\Cache\_CACHE_003_ scheduled to be deleted on reboot.
File delete failed. C:\Users\Angélique\AppData\Local\Mozilla\Firefox\Profiles\19mwtt7n.default\Cache\_CACHE_MAP_ scheduled to be deleted on reboot.
File delete failed. C:\Users\Angélique\AppData\Local\Mozilla\Firefox\Profiles\19mwtt7n.default\urlclassifier3.sqlite scheduled to be deleted on reboot.
File delete failed. C:\Users\Angélique\AppData\Local\Mozilla\Firefox\Profiles\19mwtt7n.default\XUL.mfl scheduled to be deleted on reboot.
FireFox cache emptied.
Temp folders emptied.
Explorer started successfully
 
OTMoveIt3 by OldTimer - Version 1.0.9.0 log created on 03172009_202511

Files moved on Reboot...
File C:\Users\ANGLIQ~1\AppData\Local\Temp\etilqs_34QINvyjoSJg2gIAO2mO not found!
C:\Users\Angélique\AppData\Local\Mozilla\Firefox\Profiles\19mwtt7n.default\Cache\_CACHE_001_ moved successfully.
C:\Users\Angélique\AppData\Local\Mozilla\Firefox\Profiles\19mwtt7n.default\Cache\_CACHE_002_ moved successfully.
C:\Users\Angélique\AppData\Local\Mozilla\Firefox\Profiles\19mwtt7n.default\Cache\_CACHE_003_ moved successfully.
C:\Users\Angélique\AppData\Local\Mozilla\Firefox\Profiles\19mwtt7n.default\Cache\_CACHE_MAP_ moved successfully.
C:\Users\Angélique\AppData\Local\Mozilla\Firefox\Profiles\19mwtt7n.default\urlclassifier3.sqlite moved successfully.
C:\Users\Angélique\AppData\Local\Mozilla\Firefox\Profiles\19mwtt7n.default\XUL.mfl moved successfully.

Utilisateur anonyme · Answer

ok soit tu eteind le pc soit tu m envoi un nouveau rapport rsit ...;)

laura · Answer

voila
j ai redemarrer et refait un rapport


Logfile of random's system information tool 1.05 (written by random/random)
Run by Angélique at 2009-03-17 23:13:52
Microsoft® Windows Vista™ Édition Familiale Premium  
System drive C: has 4 GB (5%) free of 76 GB
Total RAM: 2038 MB (41% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:12:42, on 17/03/2009
Platform: Windows Vista  (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16809)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32	askeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Common Files\Real\Update_OBealsched.exe
C:\Program Files\Orange\Systray\SystrayApp.exe
C:\Windows\vsnpstd.exe
C:\Windows\RtHDVCpl.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\TOSHIBA\Utilities\KeNotify.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Windows\System32\igfxtray.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Windows\System32\hkcmd.exe
C:\Program Files\Camera Assistant Software for Toshiba	raybar.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Windows\ehome\ehtray.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Camera Assistant Software for Toshiba\CEC_MAIN.exe
C:\Program Files\Synaptics\SynTP\SynToshiba.exe
C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
C:\Windows\system32\igfxsrvc.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\NOTEPAD.EXE
C:\Windows\system32\SearchFilterHost.exe
C:\Users\Angélique\Downloads\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\Orange\SearchURLHook\SearchPageURL.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files\Winamp Toolbar\winamptb.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayerpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Skyrock Toolbar - {A057A204-BACC-4D26-969A-2AB983EE729B} - C:\PROGRA~1\SKYROC~1\SKYROC~1.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll
O3 - Toolbar: Skyrock Toolbar - {A057A204-BACC-4D26-969A-2AB983EE729B} - C:\PROGRA~1\SKYROC~1\SKYROC~1.DLL
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [topi] C:\Program Files\TOSHIBA\Toshiba Online Product Information	opi.exe -startup
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [SystrayORAHSS] "C:\Program Files\Orange\Systray\SystrayApp.exe"
O4 - HKLM\..\Run: [SynTPStart] C:\Program Files\Synaptics\SynTP\SynTPStart.exe
O4 - HKLM\..\Run: [SVPWUTIL] C:\Program Files\TOSHIBA\Utilities\SVPWUTIL.exe SVPwUTIL
O4 - HKLM\..\Run: [snpstd] C:\Windows\vsnpstd.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [ORAHSSSessionManager] C:\Program Files\Orange\SessionManager\SessionManager.exe
O4 - HKLM\..\Run: [KeNotify] C:\Program Files\TOSHIBA\Utilities\KeNotify.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Camera Assistant Software] "C:\Program Files\Camera Assistant Software for Toshiba	raybar.exe"
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\RunOnce: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O9 - Extra button: eBay - Achetez, Vendez - {76577871-04EC-495E-A12B-91F7C3600AFA} - https://www.ebay.fr (file missing)
O9 - Extra button: (no name) - Cmdmapping - (no file) (HKCU)
O13 - Gopher Prefix: 
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - https://www.touslesdrivers.com/index.php?v_page=29
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: TOSHIBA Optical Disc Drive Service (TODDSrv) - TOSHIBA Corporation - C:\Windows\system32\TODDSrv.exe
O23 - Service: TOSHIBA Power Saver (TosCoSrv) - TOSHIBA Corporation - C:\Program Files\TOSHIBA\Power Saver\TosCoSrv.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe

laura · Answer

tu es plus la chiquitine??

laura · Answer

oui merci mais je dis ça car aucun de ses messages n apparait
c'est pour ça,comme si quelqun les a effacè

laura · Answer

ah d'accord :)
bien j attend merci a toi aussi

Utilisateur anonyme · Answer

Salut Laura , désolé du retard ,


comment va le pc ? 

---> Double-clique sur OTMoveIt3.exe afin de le lancer. 

---> Copie (Ctrl+C) le texte suivant ci-dessous : 





:processes 
explorer.exe 

:files 
c:\windows\system32\fedalajo.dll 
c:\windows\system32\mowogova.dll 
c:\windows\system32\hopipuwe.dll 
c:\windows\system32\jajulaze.dll

:reg 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] 
"AppInit_DLLS"=""
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] 
"CPMf9d15570"=-

:commands 
[purity]
[emptytemp] 
[start explorer] 
[reboot] 



---> Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved. 

---> Clique maintenant sur le bouton MoveIt! puis ferme OTMoveIt3. 

Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. 
Accepte en cliquant sur YES. 

---> Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\ 
Le nom du rapport correspond au moment de sa création : date_heure.log


ensuite :

Télécharge JavaRa.zip de Paul 'Prm753' McLain et Fred de Vries. 
Décompresse le fichier sur ton bureau (clique droit > Extraire tout.) 
Double-clique sur le répertoire JavaRa obtenu. 
Puis double-clique sur le fichier JavaRa.exe (le .exe peut ne pas s'afficher) 
Clique sur Search For Updates. 
Sélectionne Update Using jucheck.exe puis clique sur Search. 
Autorise le processus à se connecter s'il te le demande, clique sur Install et suis les instructions d'installation. Cela prendra quelques minutes. 
Quand l'installation est terminée, revient à l'écran de JavaRa et clique sur Remove Older Versions. 
Clique sur Oui pour confirmer. L'outil va travailler, clique ensuite sur Ok, puis une deuxième fois sur Ok. 
Un rapport va s'ouvrir, copie-colle le dans ta prochaine réponse. 
Note : le rapport se trouve aussi à la racine de la partition système, en général C:\ sous le nom JavaRa.log 
(c:\JavaRa.log) 
Ferme l'application.

Utilisateur anonyme · Answer

re Laura , je reposte car en fait il y avait un blem avec ma signature ... 


pas grave .

comment va le pc ? 


---> Double-clique sur OTMoveIt3.exe afin de le lancer. 

---> Copie (Ctrl+C) le texte suivant ci-dessous : 





:processes 
explorer.exe 

:files 
c:\windows\system32\fedalajo.dll 
c:\windows\system32\mowogova.dll 
c:\windows\system32\hopipuwe.dll 
c:\windows\system32\jajulaze.dll

:reg 
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] 
"CPMf9d15570"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] 
"AppInit_DLLS"=""

:commands 
[purity]
[emptytemp] 
[start explorer] 
[reboot] 


---> Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved. 

---> Clique maintenant sur le bouton MoveIt! puis ferme OTMoveIt3. 

Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. 
Accepte en cliquant sur YES. 

---> Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\ 
Le nom du rapport correspond au moment de sa création : date_heure.log


ensuite :

Télécharge JavaRa.zip de Paul 'Prm753' McLain et Fred de Vries. 
Décompresse le fichier sur ton bureau (clique droit > Extraire tout.) 
Double-clique sur le répertoire JavaRa obtenu. 
Puis double-clique sur le fichier JavaRa.exe (le .exe peut ne pas s'afficher) 
Clique sur Search For Updates. 
Sélectionne Update Using jucheck.exe puis clique sur Search. 
Autorise le processus à se connecter s'il te le demande, clique sur Install et suis les instructions d'installation. Cela prendra quelques minutes. 
Quand l'installation est terminée, revient à l'écran de JavaRa et clique sur Remove Older Versions. 
Clique sur Oui pour confirmer. L'outil va travailler, clique ensuite sur Ok, puis une deuxième fois sur Ok. 
Un rapport va s'ouvrir, copie-colle le dans ta prochaine réponse. 
Note : le rapport se trouve aussi à la racine de la partition système, en général C:\ sous le nom JavaRa.log 
(c:\JavaRa.log) 
Ferme l'application.

laura · Answer

salut chiquitine

en faite il va beaucoup mieux sauf tout a l heure
en cherchant le site amazon via google,il m a redirigè sur un site porno

je fais la manip de suite et te poste le rapport

laura · Answer

========== PROCESSES ==========
Process explorer.exe killed successfully.
========== FILES ==========
File/Folder c:\windows\system32\fedalajo.dll not found.
File/Folder c:\windows\system32\mowogova.dll not found.
File/Folder c:\windows\system32\hopipuwe.dll not found.
File/Folder c:\windows\system32\jajulaze.dll not found.
========== REGISTRY ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\CPMf9d15570 deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\"AppInit_DLLS"|"" /E : value set successfully!
========== COMMANDS ==========
File delete failed. C:\Users\sophie\AppData\Local\Temp\etilqs_tUmfZuhVi2Nybo9BkAqp scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
Local Service Temporary Internet Files folder emptied.
Windows Temp folder emptied.
File delete failed. C:\Users\sophie\AppData\Local\Mozilla\Firefox\Profiles\z3jdzx13.default\Cache\_CACHE_001_ scheduled to be deleted on reboot.
File delete failed. C:\Users\sophie\AppData\Local\Mozilla\Firefox\Profiles\z3jdzx13.default\Cache\_CACHE_002_ scheduled to be deleted on reboot.
File delete failed. C:\Users\sophie\AppData\Local\Mozilla\Firefox\Profiles\z3jdzx13.default\Cache\_CACHE_003_ scheduled to be deleted on reboot.
File delete failed. C:\Users\sophie\AppData\Local\Mozilla\Firefox\Profiles\z3jdzx13.default\Cache\_CACHE_MAP_ scheduled to be deleted on reboot.
File delete failed. C:\Users\sophie\AppData\Local\Mozilla\Firefox\Profiles\z3jdzx13.default\urlclassifier3.sqlite scheduled to be deleted on reboot.
FireFox cache emptied.
Temp folders emptied.
Explorer started successfully
 
OTMoveIt3 by OldTimer - Version 1.0.9.0 log created on 03182009_142509

Utilisateur anonyme · Answer

Purge de la restauration système 
*Désactive ta restauration : 
Clique droit sur poste de travail/propriétés/Restauration système/coche la case désactiver la restauration, appliquer, OK 
---> Redémarre ton PC ... 

*Réactive ta restauration : 
Clique droit sur poste de travail/propriétés/Restauration système/décoche la case désactiver la restauration, appliquer, OK 
--->Redémarre ton PC ... 

( Note : tu peux aussi y accéder via panneau de configuration->" système "->" restauration système " ). 


ensuite refais un scan rapide  avec malewarebytes stp

laura · Answer

JavaRa 1.12 Removal Log.

Report follows after line.

------------------------------------

The JavaRa removal process was started on Wed Mar 18 14:37:23 2009

Found and removed: C:\Program Files\Java\jre1.6.0

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0000-ABCDEFFEDCBA}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0000-ABCDEFFEDCBB}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0000-ABCDEFFEDCBC}

Found and removed: SOFTWARE\Classes\Installer\Features\8A0F842331866D117AB7000B0D610000

Found and removed: SOFTWARE\Classes\Installer\Products\8A0F842331866D117AB7000B0D610000

Found and removed: SOFTWARE\Classes\Installer\UpgradeCodes\7A0F842331866D117AB7000B0D610000

Found and removed: SOFTWARE\Classes\JavaPlugin.160

Found and removed: SOFTWARE\JavaSoft\Java Plug-in\1.6.0

Found and removed: SOFTWARE\JavaSoft\Java Runtime Environment\1.6.0

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UpgradeCodes\7A0F842331866D117AB7000B0D610000

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\ACBB9B2318A96D117A58000B0D610000

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\8A0F842331866D117AB7000B0D610000

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{3248F0A8-6813-11D6-A77B-00B0D0160000}

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_02

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_03

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_04

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.2

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.2.0_01

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.6.0

Found and removed: Software\JavaSoft\Java2D\1.6.0

Found and removed: Software\JavaSoft\Java Runtime Environment\1.6.0

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders\C:\Program Files\Java\jre1.6.0\

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders\C:\Program Files\Java\jre1.6.0\bin\

------------------------------------

Finished reporting.

Utilisateur anonyme · Answer

ok laura 

ceci maintenant : http://www.commentcamarche.net/forum/affich 11559389 tres grosse infection?page=4#69

laura · Answer

je n ai pas poste de travail
juste " ordinateur" car je suis sous  vista

Utilisateur anonyme · Answer

désolé , 

tuto vista : Désactive et reactive ta restauration

laura · Answer

desolè j'etaois partie
pour la restauration systeme c'est ok
je te fais un rapport malwre de suite

laura · Answer

c'est bizard y avait encore des infections 


Malwarebytes' Anti-Malware 1.34
Database version: 1857
Windows 6.0.6000 

18/03/2009 17:29:48
mbam-log-2009-03-18 (17-29-48).txt

Scan type: Quick Scan
Objects scanned: 61332
Time elapsed: 3 minute(s), 13 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 1
Registry Values Infected: 2
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
HKEY_CLASSES_ROOT\CLSID\{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4} (Trojan.BHO) -> Quarantined and deleted successfully.

Registry Values Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\ssodl (Trojan.BHO) -> Quarantined and deleted successfully.

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
(No malicious items detected)

Utilisateur anonyme · Answer

Salut Laura ,

désolé du retard 

réouvre malewarebyte , va sur quarantaine et suprime tout

dis moi comment va le pc et réenvoi un nouveau rsit stp

laura · Answer

c'est pas grave


quarantaine vidèè


Logfile of random's system information tool 1.05 (written by random/random)
Run by Angélique at 2009-03-19 15:13:05
Microsoft® Windows Vista™ Édition Familiale Premium  
System drive C: has 5 GB (6%) free of 76 GB
Total RAM: 2038 MB (46% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:13:12, on 19/03/2009
Platform: Windows Vista  (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16809)
Boot mode: Normal

Running processes:
C:\Windows\system32	askeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Common Files\Real\Update_OBealsched.exe
C:\Program Files\Orange\Systray\SystrayApp.exe
C:\Windows\vsnpstd.exe
C:\Windows\RtHDVCpl.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\TOSHIBA\Utilities\KeNotify.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Windows\System32\igfxtray.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Windows\System32\hkcmd.exe
C:\Program Files\Camera Assistant Software for Toshiba	raybar.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Windows\ehome\ehtray.exe
C:\Windows\system32\igfxsrvc.exe
C:\Program Files\Synaptics\SynTP\SynToshiba.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Camera Assistant Software for Toshiba\CEC_MAIN.exe
C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Windows\system32\wuauclt.exe
D:\k9-webprotection(2).exe
C:\Windows\system32\conime.exe
C:\Windows\System32\mobsync.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\Angélique\Desktop\RSIT.exe
C:\Users\Angélique\Downloads\Angélique.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\Orange\SearchURLHook\SearchPageURL.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayerpbrowserrecordplugin.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Skyrock Toolbar - {A057A204-BACC-4D26-969A-2AB983EE729B} - C:\PROGRA~1\SKYROC~1\SKYROC~1.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: (no name) - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - (no file)
O3 - Toolbar: Skyrock Toolbar - {A057A204-BACC-4D26-969A-2AB983EE729B} - C:\PROGRA~1\SKYROC~1\SKYROC~1.DLL
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [topi] C:\Program Files\TOSHIBA\Toshiba Online Product Information	opi.exe -startup
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [SystrayORAHSS] "C:\Program Files\Orange\Systray\SystrayApp.exe"
O4 - HKLM\..\Run: [SynTPStart] C:\Program Files\Synaptics\SynTP\SynTPStart.exe
O4 - HKLM\..\Run: [SVPWUTIL] C:\Program Files\TOSHIBA\Utilities\SVPWUTIL.exe SVPwUTIL
O4 - HKLM\..\Run: [snpstd] C:\Windows\vsnpstd.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [ORAHSSSessionManager] C:\Program Files\Orange\SessionManager\SessionManager.exe
O4 - HKLM\..\Run: [KeNotify] C:\Program Files\TOSHIBA\Utilities\KeNotify.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Camera Assistant Software] "C:\Program Files\Camera Assistant Software for Toshiba	raybar.exe"
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [MSConfig] "C:\Windows\system32\msconfig.exe" /auto
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O9 - Extra button: eBay - Achetez, Vendez - {76577871-04EC-495E-A12B-91F7C3600AFA} - http://rover.ebay.com/rover/1/709-44555-9400-3/4 (file missing)
O13 - Gopher Prefix: 
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - http://fichiers.touslesdrivers.com/...
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Blue Coat K9 Web Protection (bckwfs) - Unknown owner - C:\Program Files\Blue Coat K9 Web Protection\k9filter.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: TOSHIBA Optical Disc Drive Service (TODDSrv) - TOSHIBA Corporation - C:\Windows\system32\TODDSrv.exe
O23 - Service: TOSHIBA Power Saver (TosCoSrv) - TOSHIBA Corporation - C:\Program Files\TOSHIBA\Power Saver\TosCoSrv.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe

laura · Answer

le pc va  super bien grace a toi  !!!!

merci beaucoup !!!

Utilisateur anonyme · Answer

OK ,

fais un clic droit sur ce fichier :

C:\Program Files	rend micro\Angélique.exe et choisi "executer en tant qu administrateur" pour lancer hijackthis

fais scan only
coches ces lignes :

O3 - Toolbar: (no name) - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - (no file) 

O9 - Extra button: eBay - Achetez, Vendez - {76577871-04EC-495E-A12B-91F7C3600AFA} - https://www.ebay.fr (file missing) 
O13 - Gopher Prefix: 
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab 
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - https://www.touslesdrivers.com

et clic sur fix checked 


ensuite :

* pour supprimer les outils/fix utilisés : 

Télécharge ToolsCleaner sur ton bureau. 
--> 
http://pc-system.fr/ 
http://www.commentcamarche.net/telecharger/telecharger 34055291 toolscleaner

# Fais un clic droit sur toolcleaner
# Choisi executer en tant qu administrateur
# Clique sur Recherche et laisse le scan agir ... 
# Clique sur Suppression pour finaliser. 
# Tu peux, si tu le souhaites, te servir des Options facultatives. 
# Clique sur Quitter pour obtenir le rapport. 
# Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\). 

n oublie pas de réactiver le controle des comptes

laura · Answer

apres 5 tentatives  toolcleaner ne repond pas et se bloque.
que faire?

Utilisateur anonyme · Answer

pas grave , supprime le et 

supprime :

C:\_OTMoveIt 
C:\Program Files	rend micro 
C:sit

laura · Answer

erratum !!!

[ Rapport ToolsCleaner version 2.3.2 (par A.Rothstein & dj QUIOU) ]

-->- Recherche: 

C:\_OtMoveIt: trouvé !
C:\Rsit: trouvé !
C:\Program Files	rend micro\HijackThis.exe: trouvé !
C:\Program Files	rend micro\hijackthis.log: trouvé !
C:\Users\Angélique\Desktop\OTMoveIt3.exe: trouvé !
C:\Users\Angélique\Desktop\Rsit.exe: trouvé !
C:\Users\Angélique\Downloads\ComboFix.exe: trouvé !
C:\Users\Angélique\Downloads\HijackThis.exe: trouvé !
C:\Users\Angélique\Downloads\hijackthis.log: trouvé !
C:\_OTMoveIt\MovedFiles\03172009_202511\avenger: trouvé !

---------------------------------
-->- Suppression: 

C:\Program Files	rend micro\HijackThis.exe: ERREUR DE SUPPRESSION !!
C:\Users\Angélique\Downloads\ComboFix.exe: ERREUR DE SUPPRESSION !!
C:\Users\Angélique\Downloads\HijackThis.exe: supprimé !
C:\Program Files	rend micro\hijackthis.log: ERREUR DE SUPPRESSION !!
C:\Users\Angélique\Desktop\OTMoveIt3.exe: supprimé !
C:\Users\Angélique\Desktop\Rsit.exe: supprimé !
C:\Users\Angélique\Downloads\hijackthis.log: supprimé !
C:\_OtMoveIt: ERREUR DE SUPPRESSION !!
C:\Rsit: supprimé !
C:\_OTMoveIt\MovedFiles\03172009_202511\avenger: supprimé !

Utilisateur anonyme · Answer

moué mais bon : C:\_OtMoveIt (dossier) C:\Program Files\trend micro (dossier) C:\Users\Angélique\Downloads\ComboFix.exe il est dans telechargement >>>>poubelle tout ça ;)

laura · Answer

voila c'est fait et maintenant?

Utilisateur anonyme · Answer

Bah maintenant c est finit sauf si t as encore besoin de moi

laura · Answer

je te fais un gros bisou !!!

merci a toi!!!!

Utilisateur anonyme · Answer

;)

idem , bon futur week end

sims de toi · Answer

b0njour à toi ou plutôt bonjour à vous,
sur ce coups là je ne pas tros t'aider malgré sa je te conseille d'appeller un informatitiens qu'il regarde tout sa ou alors d'installer un antivirus car moi aussi j'ai été infecté un jour et j'ai donc du installer un antivirus et l'antivirus a supprimer le fichier infecter ;) j'espère t'avoir aider Bisoux à tous.

Tres grosse infection !!

85 réponses

Votre réponse

Discussions similaires

Newsletters