Virus!?! wdokbye.dll

Question

Bonjour,

J'ai un problème avec mon ordi qui dure depuis assez longtemps. Nous ne l'avons pas utilisé et nous l'avons débranché du réseau depuis qu'il a commencé à être très lent et à mettre un paquet de pub lorsqu'on utilisait internet explorer. Il y a aussi un message d'erreur avec wdokbye.dll qui apparait lors de démarrage.

J'aimerais qu'il soit fonctionnel. Étant débranché du réseau, il n'a plus d'accès à internet. J'ai donc utilisé la clé usb pour copier les log. Les virus ont complètement envahi la mémoire et l'espace que j'avais sur l'ordinateur. Dès que je supprime des programmes pour avoir de l'espace, il sont comblés! Je n'ai plus aucun espace de libre. J'ai fait un scan avec hijackthis smitfraudfix et LopxpMH. Par contre, je suis incapable de les interpréter!! Je ne sais donc pas quoi faire.

C'est pour cette raison que je vous demande de l'aide!! J'aimerais vraiment ne pas avoir à le reformater car j'ai beaucoup de travaux d'école dessus auxquels je tiens et je n'ose pas les transférer ver un autre ordinateur étant donné que l'ordi a probablement des virus et que je ne veux pas infecter l'autre.
Je poste les 3 rapports!

Merci beaucoup!!!!

HiJackThis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:24:35, on 2009-07-05
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\System32\devldr32.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\MSN Messenger\MSNMSGR.EXE
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: (no name) - {BE89472C-B803-4D1D-9A9A-0A63660E0FE3} - (no file)
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: AzEntretien Class - {0d2def3a-f4f1-42ec-ac4f-132e7ba6e292} - %SystemRoot%\azentretien.dll (file missing)
O2 - BHO: (no name) - {40A8587C-3B3D-49E3-A066-5E9BA2B7450E} - C:\Program Files\Windows Media Player\mevoqufiw.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: winapi32.MyBHO - {B52CCF85-726D-471C-B72C-CA9F104C5B98} - C:\WINDOWS\System32\winapi32.dll (file missing)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: Windows Genuine Tool - {c815ace8-3dbf-4ffd-8231-ab1d21e8b7ee} - %SystemRoot%\system32\ir41_qcxv.dll (file missing)
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [termcaps] C:\WINDOWS\System32	ermcaps.exe
O4 - HKLM\..\Run: [ZPoint] C:\WINDOWS\System32\winmuse.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [win32hp] C:\WINDOWS\System32\winalt32.exe
O4 - HKLM\..\Run: [wdokbye.dll] C:\WINDOWS\System32undll32.exe "C:\Documents and Settings\Simon\Local Settings\Application Data\wdokbye.dll",bpzgoi
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\RunServices: [termcaps] C:\WINDOWS\System32	ermcaps.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MSNMSGR.EXE" /background
O4 - HKCU\..\Run: [slipaccel.exe] "C:\Program Files\Netscape Online Accélérateur\slipaccel.exe"
O4 - HKCU\..\Run: [NetscapeCC] "C:\Program Files\Netscape Online\ICC\NetscapeCC.exe"
O4 - HKCU\..\Run: [e350b09b.exe] C:\Documents and Settings\Marie-Eve\Application Data\e350b09b.exe
O4 - HKCU\..\Run: [termcaps] C:\WINDOWS\System32	ermcaps.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [Printing Migration] rundll32.exe C:\WINDOWS\System32\spool\migrate.dll,ProcessWin9xNetworkPrinters (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [Printing Migration] rundll32.exe C:\WINDOWS\System32\spool\migrate.dll,ProcessWin9xNetworkPrinters (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Coupons - file://C:\Program Files\couponsandoffers\System\Temp\couponsandoffers_script0.htm
O8 - Extra context menu item: Shorten URL - https://cjb.shopco.com/
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32pcc.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\System32\msasvc.exe (file missing)

kduc · Accepted Answer

Salut,

Il va peut-être falloir songer à installer le XP Service Pack 3, ainsi qu' IE 8 !

De plus, il faudrait délaisser Avast au profit d' Antivir ...

Dans l' immédiat, fais ce qui suit ...

Fais un clic-droit sur le lien ci-dessous :
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe (par AndyManchesta)

Choisis "Enregistrer sous" (dans IE c'est "Enregistrer la cible/le lien sous..")
et sauvegarde-le (Enregistrer dans) sur le Bureau.

Important : dans "Nom du fichier" enregistre (renomme) "sdfix" ou "SdFix.exe" en sd-fix.exe

Redémarre en mode sans échec ...
https://www.pcastuces.com/pratique/windows/mode_sans_echec/page2.htm
(de préférence par F8 au démarrage).

--------------------------------------------
Tu n' auras pas accès à Internet pendant le "mode sans échec". 
Aussi, copie/colle la procédure dans un fichier texte (word) et mets-la
sur le "bureau" pour l' avoir à ta disposition. 
--------------------------------------------

Sur le bureau, double-clique sur sd-fix.exe et choisis Install pour l'extraire sur le Bureau.
Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur 
RunThis.cmd  (ou RunThis.bat) pour lancer le script.

Appuie sur Y pour commencer le processus de nettoyage.
Il va supprimer les services et les entrées du Registre des trojans trouvés puis te 
demandera d'appuyer sur une touche pour redémarrer. Fais-le.

Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va 
continuer à s'exécuter et supprimer des fichiers.

Après le chargement du Bureau, l'outil terminera son travail et affichera "Finished".
Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.

Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera 
aussi dans le dossier SDFix sous le nom Report.txt.

Copie/colle le contenu du fichier Report.txt dans ta prochaine réponse.

kduc · Answer

Salut, (si ce n’ est déjà fait) Télécharge CCleaner : http://www.filehippo.com/download_ccleaner.html ("Download Latest Version", sur la droite) et laisse-toi guider. A un moment, il te sera demandé de cocher : "Ajouter la barre d' outils Yahoo". Refuse et … Laisse-le s’ installer tel que … Redémarre le PC en mode sans echec : https://www.pcastuces.com/pratique/windows/mode_sans_echec/page2.htm … (méthode F8 de préférence) -------------------------------------------- Tu n' auras pas accès à Internet pendant le "mode sans échec". Aussi, copie/colle la procédure dans un fichier texte (word) et mets-la sur le "bureau" pour l' avoir à ta disposition. -------------------------------------------- Double-clique sur SmitfraudFix.exe Dans le menu, fais le choix 2 et appuie sur "Entrée". Puis, aux deux questions qui te seront posées, réponds O (oui) et appuie sur "Entrée" .... Un redémarrage sera peut être nécessaire pour terminer la procédure de nettoyage. Le rapport se trouve à la racine du disque système C: apport.txt Sauvegarde-le pour le poster en fin de procédure ... Si tu as redémarré en mode normal, rebascule en mode sans échec ... Relance HijackThis et clique sur > Do a system scan only puis, coche les cases devant les lignes qui suivent (et uniquement ces lignes), si tjrs présentes : O2 - BHO: AzEntretien Class - {0d2def3a-f4f1-42ec-ac4f-132e7ba6e292} - %SystemRoot%\azentretien.dll (file missing) O2 - BHO: (no name) - {40A8587C-3B3D-49E3-A066-5E9BA2B7450E} - C:\Program Files\Windows Media Player\mevoqufiw.dll (file missing) O2 - BHO: winapi32.MyBHO - {B52CCF85-726D-471C-B72C-CA9F104C5B98} - C:\WINDOWS\System32\winapi32.dll (file missing) O2 - BHO: Windows Genuine Tool - {c815ace8-3dbf-4ffd-8231-ab1d21e8b7ee} - %SystemRoot%\system32\ir41_qcxv.dll (file missing) O4 - HKLM\..\Run: [termcaps] C:\WINDOWS\System32 ermcaps.exe O4 - HKLM\..\Run: [ZPoint] C:\WINDOWS\System32\winmuse.exe O4 - HKLM\..\RunServices: [termcaps] C:\WINDOWS\System32 ermcaps.exe O4 - HKCU\..\Run: [e350b09b.exe] C:\Documents and Settings\Marie-Eve\Application Data\e350b09b.exe O4 - HKCU\..\Run: [termcaps] C:\WINDOWS\System32 ermcaps.exe O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32 pcc.dll O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\System32\msasvc.exe (file missing) Ensuite, clique sur > Fix checked et valide par "Yes". Referme HijackThis. Affiche les fichiers et dossiers cachés … Pour ce faire, tu vas dans un dossier, par ex. "Mes Images". Ensuite, clique sur > Outils > Options des dossiers ... clique sur l' onglet « Affichage » et ... coche --> Afficher les fichiers et dossiers cachés décoche > Masquer les extensions des fichiers dont le type est connu décoche > Masquer les fichiers protégés du système d' exploitation (recommandé). « Appliquer » et « OK ». Ensuite, va dans > Démarrer > Poste de travail > C:\ et supprime le(s) fichier(s) en gras, ci-dessous, si tu le(s) trouves. C:\WINDOWS\System32 ermcaps.exe <-- C:\WINDOWS\System32\winmuse.exe <-- C:\Documents and Settings\Marie-Eve\Application Data\e350b09b.exe <-- C:\WINDOWS\System32 pcc.dll <-- Vide la Corbeille. Remet les fichiers et dossiers cachés comme tu les as trouvés ! Lance CCleaner ... Clique sur > Analyser > Nettoyer, puis sur OK dans la fenêtre qui s' affiche. (re)Lance le nettoyage et (re)confirme par OK. Redémarre le PC en mode normal ... ------ Télécharge Genproc : http://www.genproc.com/GenProc.exe ; double-clique sur GenProc.exe et poste le contenu du rapport qui s'ouvre. Poste aussi le rapport SmitFraudFix.

clochette15 · Answer

Merci beaucoup!!!

J'ai fait les étapes dans l'ordre et...

Je ne suis pas capable de supprimer rpc.dll, ça me dit que le ficher est en cours d'utilisation, même si j'étais en mode sans échec.

Voici les rapports: 

Rapport GenProc 2.600 [1] - 2009-07-05 à 20:41:21 
@ Windows XP Service Pack 1 - Mode normal
@ Internet Explorer (6.0.2800.1106) [Navigateur par défaut]

Dans CCleaner, clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures" ; par la suite, laisse-le avec ses réglages par défaut. C'est tout. 

# Etape 1/ Télécharge :
 

- rustbfix http://uploads.ejvindh.andymanchesta.com/RustbFix.exe ( (ejvindh) et sauvegarde-le sur ton Bureau.
- Double clique sur rustbfix.exe afin de lancer l'outil.
- Si une infection Rustock.b est détectée, une invite t'indiquera qu'il est nécessaire de redémarrer l'ordi. 
- Ce redémarrage pourrait être plus long que d'habitude, et il est possible que deux redémarrages soient requis. Tout cela se fera automatiquement.

- Suite au(x) redémarrage(s), deux rapports s'ouvriront : (C:\avenger.txt & C:\rustbfix\pelog.txt).
- Poste le contenu de ces deux rapports, ainsi qu'un rapport HijackThis http://forum.telecharger.01net.com/forum/high-tech/PRODUITS/Questions-techniques/hijackthis-version-install-sujet_199100_1.htm


~~ Arguments de la procédure ~~


# Détections [1] GenProc 2.600 2009-07-05 à 20:41:50 
Rustock: le 2009-07-05 à 20:41:51 "pe386" present 

----------------------------------------------------------------------
Sites officiels GenProc : www.alt-shift-return.org et www.genproc.com
----------------------------------------------------------------------

~~ Fin à 20:41:52 ~~ 


SmitFraudFix v2.423

Rapport fait à 20:10:11,33, 2009-07-05
Executé à partir de C:\Documents and Settings\Marie-Eve\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1   localhost


127.0.0.1 desktop.kazaa.com
127.0.0.1 www.altnetp2p.com
127.0.0.1 alpha.kazaa.com
127.0.0.1 shop.kazaa.com
127.0.0.1 www.bonzi.com
127.0.0.1 www.brilliantdigital.com
127.0.0.1 www.b3d.com
127.0.0.1 media.altnet.com
...

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\WINDOWS\blue-bg.gif supprimé
C:\WINDOWS\remove-spyware-btn.gif supprimé
C:\WINDOWS\win-sec-center-logo.gif supprimé
C:\WINDOWS\system32\RegistryCleanerSetup.exe supprimé
C:\WINDOWS\system32\winbrume.dll supprimé

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» RK


»»»»»»»»»»»»»»»»»»»»»»»» DNS



»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK.2



»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
 
Nettoyage terminé. 
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

clochette15 · Answer

ah oui...
 
et lors du dernier redémarage (en mode normal), le message d'erreur s'est inscrit comme à l'habitude...

clochette15 · Answer

Alors voilà, j'ai fait comme dans le rapport de GenProc. Voici les 3 résultats des rapports :

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\kfjppdlh

*******************

Script file located at: \??\C:\qqhphdyk.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Driver PE386 unloaded successfully.
Program E:\Rustbfix\2run.bat successfully set up to run once on reboot.

Completed script processing.

*******************

Finished!  Terminate.


Rustock.b-ADS attached to the System32-folder:
Attempting to remove ADS...

Looking for Rustock.b-files in the System32-folder:
Commande ECHO d‚sactiv‚e.


******************* Post-run Status of system *******************

Rustock.b-driver on the system: 
YOU NEED TO CONSULT MORE ADVANCED TOOLS!!
The Gmer-rootkitscanner may be a good place to start.
Gmer rootkit-scanner may be found here: http://www.gmer.net

Rustock.b-ADS attached to the System32-folder:
Commande ECHO d‚sactiv‚e.
You should either run the tool again or consult more advanced tools
The Gmer-rootkitscanner may be a good place to start.
Gmer rootkit-scanner may be found here: http://www.gmer.net

Looking for Rustock.b-files in the System32-folder:
Commande ECHO d‚sactiv‚e.
You should either run the tool again or consult more advanced tools
Swandog46's Avenger or Gmer's-rootkitscanner may be a good place to start.
Swandog46's Avenger may be found here: http://swandog46.geekstogo.com/avenger2/avenger2.html
Gmer rootkit-scanner may be found here: http://www.gmer.net


******************************* End of Logfile ********************************

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:59:15, on 2009-07-05
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\MSN Messenger\MSNMSGR.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\devldr32.exe
C:\Program Files\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: (no name) - {BE89472C-B803-4D1D-9A9A-0A63660E0FE3} - (no file)
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [win32hp] C:\WINDOWS\System32\winalt32.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [wdokbye.dll] C:\WINDOWS\System32undll32.exe "C:\Documents and Settings\Simon\Local Settings\Application Data\wdokbye.dll",bpzgoi
O4 - HKCU\..\Run: [SysOps] C:\WINDOWS\System32	ermcaps.exe
O4 - HKCU\..\Run: [SWClient] C:\WINDOWS\System32	ermcaps.exe
O4 - HKCU\..\Run: [slipaccel.exe] "C:\Program Files\Netscape Online Accélérateur\slipaccel.exe"
O4 - HKCU\..\Run: [NetscapeCC] "C:\Program Files\Netscape Online\ICC\NetscapeCC.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MSNMSGR.EXE" /background
O4 - HKCU\..\Run: [hkgaqge] C:\WINDOWS\System32	ermcaps.exe
O4 - HKCU\..\Run: [ES Current Services] C:\WINDOWS\System32	ermcaps.exe
O4 - HKCU\..\Run: [Configuration Loader] C:\WINDOWS\System32	ermcaps.exe
O4 - HKCU\..\Run: [AdRoarUpdate] C:\WINDOWS\System32	ermcaps.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [Printing Migration] rundll32.exe C:\WINDOWS\System32\spool\migrate.dll,ProcessWin9xNetworkPrinters (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [Printing Migration] rundll32.exe C:\WINDOWS\System32\spool\migrate.dll,ProcessWin9xNetworkPrinters (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32pcc.dll
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\System32\msasvc.exe (file missing)

kduc · Answer

Salut,

OK

Télécharge,  installe et mets à jour Malwarebytes Anti-Malwares …
http://forum.telecharger.01net.com/microhebdo/6/tuto-securite/tuto-malwaresbytes-anti-malware-352008/messages-1.html
puis, lance un scan COMPLET et poste le rapport.

PS : si MalwareByte's a détecté des infections, clique sur Afficher les résultats, 
puis sur Supprimer la sélection.

---
De retour fin d' AM/début de soirée ...

clochette15 · Answer

Ok je vais essayer ça en finissant de travailler.

Pour le mettre à jour, je n'aurai pas le choix de connecter mon ordi au réseau pour avoir accès à Internet. Pour les autres logiciels je les mettais sur ma clé USB et je les téléchargeait sur un et je les installait sur l'autre. Est-ce que c'est risqué pour l'autre ordi en réseau? Je ne veux pas aggraver mon problème non plus...

kduc · Answer

...

Je ne trouve pas trace de ta réponse ou du rapport de scan Malwarebytes !

edit : autant pour moi.

---
Télécharge Navilog1 (par IL-MAFIOSO) sur ton bureau : 
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe 

Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau. 
Puis, double-clique sur l’ icône Navilog1 pour lancer l'installation (Exécuter). 
Une fois l'installation terminée, double-clique sur le raccourci Navilog1 présent sur le bureau. 

Laisse-toi guider. Appuie sur une touche quand on te le demande. 
Au menu principal, choisis 1 et valide. 

< Ne fais pas le choix 2 > 

Patiente le temps du scan. 
Il te sera peut-être demandé de redémarrer ton PC. 
Laisse l'outil agir automatiquement ; sinon, redémarre le PC si demandé. 

Patiente jusqu'au message "Scan terminé le ..." 
Appuie sur une touche comme demandé ; le bloc-notes va s'ouvrir. 

Copie-colle l'intégralité dans ta réponse. Referme le bloc-notes. 

PS : le rapport est, aussi, sauvegardé à la racine du disque dur C:\cleannavi.txt

clochette15 · Answer

Ça me dit 

!!Path incorrects - Fix interrompu!!

clochette15 · Answer

Je n'ai pas encore fait le scan avec Malwarebytes.
Je veux juste savoir avant s'il y a une façon sécuritaire de le faire pour l'autre ordi en réseau. Est-ce que je peux bloquer le transfert entre les 2 ordi?

clochette15 · Answer

J'ai enfin fait le scan avec Malwarebytes

Voici le résultat. J'ai rééessayé après Navilog 1 et ça me donne le même résultat que tantôt.

au redémarage, j'ai eu un msg d'erreur comme quoi tous les malware n'avait pas pu être enlevés.

Malwarebytes' Anti-Malware 1.38
Version de la base de données: 2384
Windows 5.1.2600 Service Pack 1

2009-07-06 22:03:31
mbam-log-2009-07-06 (22-03-31).txt

Type de recherche: Examen complet (A:\|C:\|D:\|E:\|)
Eléments examinés: 126403
Temps écoulé: 30 minute(s), 29 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 4
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\CLSID\{bc97b254-b2b9-4d40-971d-78e0978f5f26} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\CLSID\{12f02779-6d88-4958-8ad3-83c12d86adc7} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\rpcc (Trojan.Spammer) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WinOpts (Trojan.Downloader) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Configuration Loader (Backdoor.Bot) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\SYSTEM32\rpcc.dll (Trojan.Spammer) -> Delete on reboot.
c:\WINDOWS\SYSTEM32\game0.exe.exe (Worm.Zhelatin) -> Quarantined and deleted successfully.
c:\WINDOWS\casino.ico (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\SYSTEM32\windev-peers.ini (Trojan.Tibs) -> Quarantined and deleted successfully.

Au rédémarage, j'avais encore le message d'erreur wdokbye.dll...

kduc · Answer

Bonsoir, bonjour 1/ Ouvre CCleaner, clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. C'est tout. 2/ Crée un nouveau document texte : Clic droit de souris sur le bureau, "Nouveau"> "Document Texte". Ouvre-le et copie-colle dedans ce qui est en gras, ci-dessous (copie tout d'un trait) : REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "wdokbye.dll"=- [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "e350b09b.exe"=- Puis "fichier"/"enregistrer sous" : dans : sur le bureau Nom du fichier : fix.reg Type de fichier : "tous les fichiers" clique sur "enregistrer" L'icône de fix.reg doit ressembler à cela ... http://images0.hiboox.com/images/4905/avnoztv.jpg *** Copie ce qui suit dans un fichier texte et redémarre en mode sans échec (choisis ta session habituelle, pas le compte "Administrateur" ou autre)*** -------------------------------------------- Tu n' auras pas accès à Internet pendant le "mode sans échec". Aussi, copie/colle la procédure dans un fichier texte (word) et mets-la sur le "bureau" pour l' avoir à ta disposition. -------------------------------------------- 3/ Assures-toi d'avoir accès aux dossiers/fichiers cachés : Ouvrir un dossier ; n'importe lequel. Aller dans : Outils > Options des dossiers > Affichage et, - cocher "Afficher les dossiers et fichiers cachés" ; - décocher "Masquer les extensions des fichiers dont le type est connu" ; - décocher "Masquer les fichiers protégés du système d'exploitation (recommandé)" "Appliquer" et "Ok" 4/ Recherche et supprime ces dossiers ou fichiers en gras, si tu les trouves : C:\Documents and Settings\Simon\Local Settings\Application Data\wdokbye.dll <-- C:\Documents and Settings\Marie-Eve\Application Data\e350b09b.exe <-- 5/ Sur le bureau, double-clique sur fix.reg => tu dois obligatoirement avoir un message "Voulez-vous vraiment ajouter les infos contenues dans ce fichier .reg au registre ?" Si c'est bien le cas, clique sur "Oui". 6/ Lance Ccleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout. 7/ Redémarre normalement et poste … un nouveau rapport HijackThis, toutes fenêtres et applications fermées. Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.

clochette15 · Answer

Allo!

Le seul problème que j'ai eu c'est que les 2 fichiers n'étaient pas là.

Par contre, pour tout le reste tout était ok.
Au redémarage, je n'ai plus le message d'erreur (yééé!!).
Mon ordi est par contre, beaucoup plus lent qu'hier, avast trouve un paquet de trojan dans ses scans (je n'en ai pas fait de nouveau aujourd'hui) et redémarre tout le temps. Spybot ne fonctionne plus du tout depuis sa mise à jour, il ne veux plus ouvrir. Je vais essayer de le désinstaller et le réinstaller!

Merci!!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:17:49, on 2009-07-07
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\iTunes\iTunesHelper.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: (no name) - {BE89472C-B803-4D1D-9A9A-0A63660E0FE3} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [win32hp] C:\WINDOWS\System32\winalt32.exe
O4 - HKLM\..\Run: [wdokbye.dll] C:\WINDOWS\System32undll32.exe "C:\Documents and Settings\Simon\Local Settings\Application Data\wdokbye.dll",bpzgoi
O4 - HKCU\..\Run: [SysOps] C:\WINDOWS\System32	ermcaps.exe
O4 - HKCU\..\Run: [SWClient] C:\WINDOWS\System32	ermcaps.exe
O4 - HKCU\..\Run: [slipaccel.exe] "C:\Program Files\Netscape Online Accélérateur\slipaccel.exe"
O4 - HKCU\..\Run: [NetscapeCC] "C:\Program Files\Netscape Online\ICC\NetscapeCC.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MSNMSGR.EXE" /background
O4 - HKCU\..\Run: [hkgaqge] C:\WINDOWS\System32	ermcaps.exe
O4 - HKCU\..\Run: [ES Current Services] C:\WINDOWS\System32	ermcaps.exe
O4 - HKCU\..\Run: [AdRoarUpdate] C:\WINDOWS\System32	ermcaps.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [Printing Migration] rundll32.exe C:\WINDOWS\System32\spool\migrate.dll,ProcessWin9xNetworkPrinters (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [Printing Migration] rundll32.exe C:\WINDOWS\System32\spool\migrate.dll,ProcessWin9xNetworkPrinters (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\System32\msasvc.exe (file missing)

gen-hackman · Answer

bonjour 

pour suivre

gen-hackman · Answer

c'est moi qui ait mis +1 parce que je trouve les canned de bonne qualité ^^

kduc · Answer

...

"C'est moi qui ait mis +1 parce que je trouve les canned de bonne qualité"

Edit : ce qui explique, peut-être, la couleur verte sur tout le message ?!

Merci de ton soutien, gen-hackman. N' hésite pas à m' épauler en cas de défaillance ...

gen-hackman · Answer

oui

clochette15 · Answer

Allo!

Le message d'erreur est revenu au redémarage mais je n'ai pas redémaré depuis le scan.

J'ai installé Antivir, merci du conseil.


[b]SDFix: Version 1.240 [/b]
Run by Marie-Eve on 2009-07-09 at 18:32

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

[b]Checking Services [/b]:

AUTOEXEC.NT Restored from backups

Restoring Default Security Values
Restoring Default Hosts File

Rebooting


[b]Checking Files [/b]: 

Trojan Files Found:

C:\WINDOWS\SYSTEM32\AZESEA~1.XML - Deleted
C:\109478~1 - Deleted
C:\WINDOWS\system32\82872.exe - Deleted
C:\WINDOWS\system32\via.exe - Deleted
C:\WINDOWS\SYSTEM32\lzx32.sys - Deleted
C:\WINDOWS\system32\lzx32.sys  - Deleted





Removing Temp Files

[b]ADS Check [/b]:
 


                                 [b]Final Check [/b]:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-07-09 23:58:55
Windows 5.1.2600 Service Pack 1 FAT NTAPI

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


[b]Remaining Services [/b]:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[b]Remaining Files [/b]:


File Backups: - C:\SDFix\backups\backups.zip

[b]Files with Hidden Attributes [/b]:

Sat 21 Feb 2004           302 ..SH. --- "C:\AUTOEXEC.BAK"
Tue 25 Apr 2006             0 A.SH. --- "C:\WINDOWS\SYSTEM32\wupdmgr.tmp"
Mon  7 Jun 2004        56,832 A.SH. --- "C:\Program Files\Outlook Express\MSIMN.EXE"
Mon 15 Sep 2008     1,562,960 A.SHR --- "C:\Program Files\SDHelper (Spybot - Search & Destroy)\SDHelper.dll"
Thu  5 Mar 2009     2,260,480 A.SHR --- "C:\Program Files\TeaTimer (Spybot - Search & Destroy)\TeaTimer.exe"
Wed 22 Oct 2008       962,896 A.SHR --- "C:\Program Files\Misc. Support Library (Spybot - Search & Destroy)\Tools.dll"
Wed 22 Oct 2008       949,072 A.SHR --- "C:\Program Files\File Scanner Library (Spybot - Search & Destroy)\advcheck.dll"
Sat  1 May 2004        35,328 ...H. --- "C:\Documents and Settings\Marie-Eve\Mes documents\Travaux scolaires\diash\~WRL3014.tmp"
Sun  2 May 2004        52,224 ...H. --- "C:\Documents and Settings\Marie-Eve\Mes documents\Travaux scolaires\diash\~WRL3763.tmp"
Sun  2 May 2004        35,840 ...H. --- "C:\Documents and Settings\Marie-Eve\Application Data\Microsoft\Word\~WRL0004.tmp"
Sun  2 May 2004        35,840 ...H. --- "C:\Documents and Settings\Marie-Eve\Application Data\Microsoft\Word\~WRL3781.tmp"
Sun  2 May 2004        37,376 ...H. --- "C:\Documents and Settings\Marie-Eve\Application Data\Microsoft\Word\~WRL1201.tmp"
Sun  2 May 2004        39,424 ...H. --- "C:\Documents and Settings\Marie-Eve\Application Data\Microsoft\Word\~WRL0208.tmp"
Sun  2 May 2004        37,888 ...H. --- "C:\Documents and Settings\Marie-Eve\Application Data\Microsoft\Word\~WRL3329.tmp"
Sun  2 May 2004        38,400 ...H. --- "C:\Documents and Settings\Marie-Eve\Application Data\Microsoft\Word\~WRL1905.tmp"
Sun  2 May 2004        38,400 ...H. --- "C:\Documents and Settings\Marie-Eve\Application Data\Microsoft\Word\~WRL0769.tmp"
Sun  2 May 2004        38,912 ...H. --- "C:\Documents and Settings\Marie-Eve\Application Data\Microsoft\Word\~WRL1709.tmp"
Sun  2 May 2004        38,912 ...H. --- "C:\Documents and Settings\Marie-Eve\Application Data\Microsoft\Word\~WRL2933.tmp"
Sun  2 May 2004        42,496 ...H. --- "C:\Documents and Settings\Marie-Eve\Application Data\Microsoft\Word\~WRL2538.tmp"
Sun  2 May 2004        43,008 ...H. --- "C:\Documents and Settings\Marie-Eve\Application Data\Microsoft\Word\~WRL0899.tmp"
Sun  2 May 2004        44,544 ...H. --- "C:\Documents and Settings\Marie-Eve\Application Data\Microsoft\Word\~WRL2240.tmp"
Sun  2 May 2004        49,152 ...H. --- "C:\Documents and Settings\Marie-Eve\Application Data\Microsoft\Word\~WRL1199.tmp"
Sun  2 May 2004        49,664 ...H. --- "C:\Documents and Settings\Marie-Eve\Application Data\Microsoft\Word\~WRL3956.tmp"
Sun  2 May 2004        52,224 ...H. --- "C:\Documents and Settings\Marie-Eve\Application Data\Microsoft\Word\~WRL3375.tmp"
Sun  2 May 2004        53,760 ...H. --- "C:\Documents and Settings\Marie-Eve\Application Data\Microsoft\Word\~WRL1668.tmp"
Sun  2 May 2004        57,344 ...H. --- "C:\Documents and Settings\Marie-Eve\Application Data\Microsoft\Word\~WRL2473.tmp"
Sun  2 May 2004        58,880 ...H. --- "C:\Documents and Settings\Marie-Eve\Application Data\Microsoft\Word\~WRL2644.tmp"
Sun  2 May 2004        58,368 ...H. --- "C:\Documents and Settings\Marie-Eve\Application Data\Microsoft\Word\~WRL3391.tmp"
Sun  2 May 2004        60,416 ...H. --- "C:\Documents and Settings\Marie-Eve\Application Data\Microsoft\Word\~WRL3961.tmp"
Sun  3 Dec 2006        37,376 ...H. --- "C:\Documents and Settings\Marie-Eve\Application Data\Microsoft\Word\~WRL1203.tmp"
Sun  3 Dec 2006        38,400 ...H. --- "C:\Documents and Settings\Marie-Eve\Application Data\Microsoft\Word\~WRL0234.tmp"
Sun  3 Dec 2006        37,888 ...H. --- "C:\Documents and Settings\Marie-Eve\Application Data\Microsoft\Word\~WRL0017.tmp"
Sun  3 Dec 2006        39,424 ...H. --- "C:\Documents and Settings\Marie-Eve\Application Data\Microsoft\Word\~WRL0586.tmp"

[b]Finished![/b]

kduc · Answer

Salut,

Clique droit sur UN de ces 3 liens pour installer ComboFix :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
http://www.geekstogo.com/forum/files/file/197-combofix-by-subs/
ou https://forospyware.com (par sUBs). 

Choisis "Enregistrer sous" (dans IE c'est "Enregistrer la cible/le lien sous..")
et sauvegarde-le (Enregistrer dans) sur le Bureau.

Important : dans "Nom du fichier" enregistre (renomme) "combofix" en combo-fix.exe

Prends connaissance de ce tutoriel : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Ferme toutes les fenêtres et applications. 
Déconnecte-toi du net et désactive tes protections résidentes :
https://forum.pcastuces.com/default.asp

Sur le bureau, double clique combo-fix.exe.
Tape sur la touche Y (Yes) pour démarrer le scan.
ComboFix redémarrera ton PC.
Lorsque le scan sera complété, un rapport apparaîtra. 
Copie/colle ce rapport dans ta prochaine réponse et nouveau rapport hijackthis.

PS : Le rapport se trouve également ici : C:\Combofix.txt

Ne pas cliquer dans la fenêtre de Combofix durant l’analyse, cela pourrait provoquer le gel du programme!

clochette15 · Answer

Allo!!

Voici le log de combo

ComboFix 09-07-09.08 - Marie-Eve 2009-07-11 18:19.1.1 - FAT32x86
Lancé depuis: c:\documents and settings\Marie-Eve\Bureau\combo-fix.exe
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:ecycled\NPROTECT
c:\windows\Installer\436ecb64.msi
c:\windows\Installer\d3fa4.msi
c:\windows\patch.exe
c:\windows\start.exe
c:\windows\system\msvbvm60.dll
c:\windows\system32\404Fix.exe
c:\windows\system32\Agent.OMZ.Fix.exe
c:\windows\system32\dumphive.exe
c:\windows\system32\IEDFix.C.exe
c:\windows\system32\IEDFix.exe
c:\windows\system32\imas3r
c:\windows\system32\o4Patch.exe
c:\windows\system32\Process.exe
c:\windows\system32\SrchSTS.exe
c:\windows\system32\VACFix.exe
c:\windows\system32\VCCLSID.exe
c:\windows\system32\windows.scr
c:\windows\system32\WS2Fix.exe
c:\windows\Web\default.htt

.
(((((((((((((((((((((((((((((((((((((((   Pilotes/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_MSASVC
-------\Legacy_WINCOM32
-------\Service_MsaSvc


(((((((((((((((((((((((((((((   Fichiers créés du 2009-06-11 au 2009-07-11  ))))))))))))))))))))))))))))))))))))
.

2018-04-02 23:15 . 2003-11-04 19:10	69632	----a-w-	c:\windows\system32\lfgif13n.dll
2018-04-02 23:15 . 2004-05-14 20:53	462848	----a-w-	c:\windows\system32\ltkrn13n.dll
2018-04-02 23:15 . 2004-05-14 20:53	450560	----a-w-	c:\windows\system32\ltimg13n.dll
2018-04-02 23:15 . 2004-05-14 20:53	299008	----a-w-	c:\windows\system32\ltdis13n.dll
2018-04-02 23:15 . 2004-05-14 20:53	163840	----a-w-	c:\windows\system32\ltfil13n.dll
2018-04-02 23:15 . 2004-05-14 20:53	57344	----a-w-	c:\windows\system32\lfbmp13n.dll
2018-04-02 23:15 . 2004-05-14 20:53	401408	----a-w-	c:\windows\system32\lfcmp13n.dll
2018-04-02 23:15 . 2004-01-12 06:09	206336	----a-w-	c:\windows\system32\ltefx13n.dll
2018-03-29 01:31 . 2002-08-29 05:27	4992	----a-w-	c:\windows\system32\drivers\MSTEE.sys
2018-03-29 01:30 . 2001-08-18 02:07	8064	----a-w-	c:\windows\system32\drivers\NdisIP.sys
2018-03-29 01:30 . 2001-08-18 02:07	14592	----a-w-	c:\windows\system32\drivers\StreamIP.sys
2018-03-29 01:30 . 2001-08-18 02:07	10752	----a-w-	c:\windows\system32\drivers\SLIP.sys
2018-03-29 01:30 . 2001-08-18 02:07	18560	----a-w-	c:\windows\system32\drivers\WSTCODEC.SYS
2018-03-29 01:30 . 2001-08-18 02:07	83712	----a-w-	c:\windows\system32\drivers\NABTSFEC.sys
2018-03-29 01:30 . 2002-08-29 05:33	16384	----a-w-	c:\windows\system32\drivers\CCDECODE.sys
2018-03-29 01:30 . 2001-08-23 21:47	45568	----a-w-	c:\windows\system\IYUV_32.DLL
2018-03-29 01:30 . 2002-08-29 15:45	286720	----a-w-	c:\windows\system\MSH263.DRV
2018-03-29 01:30 . 2002-08-29 15:45	50688	----a-w-	c:\windows\system32\vfwwdm32.dll
2018-03-29 01:29 . 2002-08-29 05:32	56832	----a-w-	c:\windows\system32\drivers\USBAUDIO.sys
2018-02-09 03:13 . 2018-02-09 03:13	499712	----a-w-	c:\windows\system32\msvcp71.dll
2018-02-09 03:13 . 2018-02-09 03:13	348160	----a-w-	c:\windows\system32\msvcr71.dll
2018-02-08 23:19 . 2004-12-20 17:37	20016	------w-	c:\windows\system32\drivers\pxhelp20.sys
2018-02-01 20:44 . 2002-10-21 15:37	515803	----a-w-	c:\windows\system32\drivers\Ca533av.sys
2018-02-01 20:44 . 2002-07-25 15:19	10986	----a-w-	c:\windows\system32\drivers\Bulk533.sys
2018-02-01 20:44 . 2002-01-19 19:33	131072	----a-w-	c:\windows\system32\Sp5x_32.dll
2018-02-01 20:44 . 2002-01-19 19:33	131072	----a-w-	c:\windows\system\SP5X_32.DLL
2018-02-01 20:44 . 2018-02-01 20:44	--------	d-----w-	c:\windows\Setup533
2018-02-01 20:43 . 2018-02-01 20:43	--------	d-----w-	c:\windows\CameraInstall
2018-01-30 16:19 . 2018-01-30 16:19	333	------w-	c:	emp\msbb_gdf.dat
2018-01-30 16:15 . 2018-02-07 18:47	8457743	----a-w-	c:	emp\msbb_kyf.dat
2009-07-11 22:03 . 2009-07-11 22:03	--------	d-s---w-	C:\ComboFix
2009-07-09 22:29 . 2009-07-09 22:29	--------	d-----w-	c:\windows\ERUNT
2009-07-09 22:27 . 2008-11-06 06:03	--------	d-----w-	C:\SDFix
2009-07-09 21:49 . 2009-03-30 14:33	96104	----a-w-	c:\windows\system32\drivers\avipbb.sys
2009-07-09 21:49 . 2009-02-13 16:29	22360	----a-w-	c:\windows\system32\drivers\avgntmgr.sys
2009-07-09 21:49 . 2009-02-13 16:17	45416	----a-w-	c:\windows\system32\drivers\avgntdd.sys
2009-07-09 21:48 . 2009-07-09 21:48	--------	d-----w-	c:\program files\Avira
2009-07-09 21:48 . 2009-07-09 21:48	--------	d-----w-	c:\documents and settings\All Users\Application Data\Avira
2009-07-07 20:29 . 2003-03-18 19:20	1060864	----a-w-	c:\windows\system32\MFC71.dll
2009-07-07 20:29 . 2009-07-07 20:29	--------	d-----w-	c:\program files\Alwil Software
2009-07-07 18:04 . 2009-07-07 18:04	--------	d-----w-	c:\program files\TeaTimer (Spybot - Search & Destroy)
2009-07-07 18:04 . 2009-07-07 18:04	--------	d-----w-	c:\program files\SDHelper (Spybot - Search & Destroy)
2009-07-07 18:04 . 2009-07-07 18:04	--------	d-----w-	c:\program files\Misc. Support Library (Spybot - Search & Destroy)
2009-07-07 18:04 . 2009-07-07 18:04	--------	d-----w-	c:\program files\File Scanner Library (Spybot - Search & Destroy)
2009-07-07 01:20 . 2009-07-07 01:20	--------	d-----w-	c:\documents and settings\Marie-Eve\Application Data\Malwarebytes
2009-07-07 01:20 . 2009-07-07 01:20	--------	d-----w-	c:\documents and settings\Marie-Eve\Application Data\Malwarebytes
2009-07-07 01:19 . 2009-06-17 15:27	38160	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-07-07 01:19 . 2009-07-07 01:19	--------	d-----w-	c:\documents and settings\All Users\Application Data\Malwarebytes
2009-07-07 01:19 . 2009-06-17 15:27	18456	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-07-07 01:19 . 2009-07-07 01:19	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2009-07-06 23:47 . 2009-07-06 23:47	--------	d-----w-	c:\program files\Navilog1
2009-07-06 00:41 . 2009-07-06 00:41	--------	d-----w-	C:\GenProc
2009-07-06 00:22 . 2009-07-06 00:22	--------	d-----w-	c:\program files\backups
2009-07-05 23:56 . 2009-07-05 23:56	--------	d-----w-	c:\program files\CCleaner
2009-07-05 21:46 . 2009-07-05 21:46	--------	d-----w-	c:\documents and settings\All Users\Application Data\Avg7
2009-07-05 20:36 . 2009-07-05 20:36	--------	d-----w-	C:\VundoFix Backups
2009-07-05 19:22 . 2009-07-05 19:22	396288	----a-w-	c:\program files\HijackThis.exe

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2018-02-01 01:05 . 2004-03-09 21:38	12400	----a-w-	c:\windows\system32\drivers\secdrv.sys
2018-02-01 01:04 . 2002-11-21 17:33	1844	----a-w-	c:\windows\eReg.dat
2009-07-08 00:17 . 2009-07-05 19:24	4755	----a-w-	c:\program files\hijackthis.log
2009-07-07 01:13 . 2004-03-09 21:44	48616	----a-w-	c:\windows\system32\perfc00C.dat
2009-07-07 01:13 . 2004-03-09 21:44	367658	----a-w-	c:\windows\system32\perfh00C.dat
2002-11-14 01:15 . 2002-11-14 01:15	23506	---h--w-	c:\program files\folder.htt
2006-04-26 00:58 . 2006-04-26 00:58	0	--sha-w-	c:\windows\SYSTEM32\wupdmgr.tmp
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\MSN Messenger\MSNMSGR.EXE" [2006-01-25 7094272]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2005-12-21 278528]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2002-09-07 13312]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"Printing Migration"="c:\windows\System32\spool\migrate.dll" [2002-09-07 30720]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [2000-1-21 65588]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversionun-]
"msnmsgr"="c:\program files\MSN MESSENGER\MSNMSGR.EXE" /background

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversionun-]
"3dfx Tools"=rundll32.exe 3dfxCmn.dll,CMNUpdateOnBoot
"WinampAgent"="c:\program files\WINAMP\WINAMPa.exe"
"AudioHQ"=c:\program files\Creative\SBLive\AudioHQ\AHQTB.EXE
"KAZAA"="c:\program files\KAZAA LITE K++\KPP.EXE" "c:\program files\KAZAA LITE K++\KAZAA.KPP" /SYSTRAY

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\setup\disabledrunkeys]
"LoadPowerProfile"=Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
"SM56ACL"=sm56hlpr.exe
"LoadQM"=loadqm.exe
"NewsUpd"=c:\program files\Creative\News\NewsUpd.EXE /q
"Détecteur de disque"=c:\program files\Creative\ShareDLL\CtNotify.exe
"couponsandoffers"=wjview /cp:p "c:\program files\couponsandoffers\System\Code" Main lp: "c:\program files\couponsandoffers"
"ccApp"="c:\program files\Fichiers communs\Symantec Shared\ccApp.exe"
"Advanced Tools Check"=c:\progra~1\NORTON~1\ADVTOOLS\ADVCHK.EXE
"NPROTECT"=c:\progra~1\NORTON~1\ADVTOOLS\NPROTECT.EXE

R0 avgntmgr;avgntmgr;c:\windows\SYSTEM32\DRIVERS\avgntmgr.sys [2009-07-09 22360]
R1 avgntdd;avgntdd;c:\windows\SYSTEM32\DRIVERS\avgntdd.sys [2009-07-09 45416]
R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\program files\Avira\AntiVir Desktop\sched.exe [2009-07-09 108289]
R3 3dfxvs;3dfxvs;c:\windows\SYSTEM32\DRIVERS\3dfxvsm.sys [2001-10-03 148352]
S2 Ca533av;Polaroid Digital Cam Video;c:\windows\SYSTEM32\DRIVERS\Ca533av.sys [2018-02-01 515803]
S3 Ip6FwHlp;Pare-feu de connexion Internet IPv6;c:\windows\System32\svchost.exe -k netsvcs [2004-03-09 12800]
S3 NtApm;Pilote d'interface NT APM/hérité;c:\windows\SYSTEM32\DRIVERS\NtApm.sys [2004-03-09 9472]
S3 USBCamera;Icatch(IV) Still Camera Device;c:\windows\SYSTEM32\DRIVERS\Bulk533.sys [2018-02-01 10986]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}]
"c:\progra~1\OUTLOO~1\setup50.exe" /APP:OE /CALLER:WIN9X /user /install

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}]
"c:\progra~1\OUTLOO~1\setup50.exe" /APP:OE /CALLER:WIN9X /user /install
"c:\progra~1\OUTLOO~1\setup50.exe" /APP:OE /CALLER:IE50 /user /install

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7790769C-0471-11d2-AF11-00C04FA35D02}]
"c:\progra~1\OUTLOO~1\setup50.exe" /APP:WAB /CALLER:WIN9X /user /install

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7790769C-0471-11d2-AF11-00C04FA35D02}]
"c:\progra~1\OUTLOO~1\setup50.exe" /APP:WAB /CALLER:WIN9X /user /install
"c:\progra~1\OUTLOO~1\setup50.exe" /APP:WAB /CALLER:IE50 /user /install

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{9EF0045A-CDD9-438e-95E6-02B9AFEC8E11}]
c:\windows\SYSTEM32\updcrl.exe -e -u c:\windows\SYSTEM\verisignpub1.crl
.
Contenu du dossier 'Tâches planifiées'

2009-07-11 c:\windows\Tasks\Rappel d'expiration de la désinstallation.job
- c:\windows\System32\OOBE\oobebaln.exe [2004-03-09 04:00]
.
- - - - ORPHELINS SUPPRIMES - - - -

HKCU-Run-SysOps - c:\windows\System32	ermcaps.exe
HKCU-Run-SWClient - c:\windows\System32	ermcaps.exe
HKCU-Run-slipaccel.exe - c:\program files\Netscape Online Accélérateur\slipaccel.exe
HKCU-Run-NetscapeCC - c:\program files\Netscape Online\ICC\NetscapeCC.exe
HKCU-Run-hkgaqge - c:\windows\System32	ermcaps.exe
HKCU-Run-AdRoarUpdate - c:\windows\System32	ermcaps.exe
HKLM-Run-win32hp - c:\windows\System32\winalt32.exe
HKLM-Run-wdokbye.dll - c:\documents and settings\Simon\Local Settings\Application Data\wdokbye.dll
HKLM-Run-avast! - c:\progra~1\ALWILS~1\Avast4\ashDisp.exe


.
------- Examen supplémentaire -------
.
Trusted Zone: microsoft.com\v4.windowsupdate
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-07-11 18:36
Windows 5.1.2600 Service Pack 1 FAT NTAPI

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(508)
c:\windows\System32\ODBC32.dll

- - - - - - - > 'lsass.exe'(564)
c:\windows\System32\dssenh.dll

- - - - - - - > 'explorer.exe'(164)
c:\windows\System32\msi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\AVIRA\ANTIVIR DESKTOP\AVGUARD.EXE
c:\windows\SYSTEM32\WDFMGR.EXE
c:\program files\iPod\bin\iPodService.exe
c:\windows\System32\devldr32.exe
.
**************************************************************************
.
Heure de fin: 2009-07-11 18:44 - La machine a redémarré
ComboFix-quarantined-files.txt  2009-07-11 22:44

Avant-CF: 109 641 728 octets libres
Après-CF: 220 168 192 octets libres

winxpsp1_fr_pro_bf.exe
[boot loader]
timeout = 30
default = multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS = "Microsoft Windows XP Professionnel" /fastdetect

215

kduc · Answer

Salut,

"... qu'il a commencé à être très lent et à mettre un paquet de pub lorsqu'on utilisait internet explorer. 
Il y a aussi un message d'erreur avec wdokbye.dll qui apparait lors de démarrage. "

C' est toujours le cas ?

--------
Relance un scan HijackThis et poste le rapport, stp.

clochette15 · Answer

Non ce n'est plus le cas!!!

Voici le log

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:45:45, on 2009-07-13
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\MSN Messenger\MSNMSGR.EXE
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: (no name) - {BE89472C-B803-4D1D-9A9A-0A63660E0FE3} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MSNMSGR.EXE" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [Printing Migration] rundll32.exe C:\WINDOWS\System32\spool\migrate.dll,ProcessWin9xNetworkPrinters (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [Printing Migration] rundll32.exe C:\WINDOWS\System32\spool\migrate.dll,ProcessWin9xNetworkPrinters (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

kduc · Answer

Salut,

Télécharge et installe FindyKill ...
http://sd-1.archive-host.com/membres/up/127028005715545653/FindyKill.exe

Important :
Branche tes sources de données externes au PC, (clé USB, disque dur externe, etc...) 
susceptibles d'avoir été infectées et ce, sans les ouvrir. 

Double-clique sur le raccourci FindyKill présent sur ton bureau . 

Choisis l'option 1 ( Recherche ) 

Laisse travailler l'outil. 

Ensuite post le rapport FindyKill.txt qui apparaitra. 

Note : Le rapport FindyKill.txt est sauvegardé a la racine du disque. (C:\FindyKill.txt) 

(CTRL+A pour tout selectionner, CTRL+C pour copier et CTRL+V pour coller) 

Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus 
(AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité 
(Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

clochette15 · Answer

Voici le log


############################## | FindyKill V6.006 |

# User : Marie-Eve (Administrateurs) # MARCUS
# Update on 14/07/09 by Chiquitine29 & C_XX
# Start at: 15:08:48 | 2009-07-14
# Website : http://pagesperso-orange.fr/NosTools/index.html

# Processeur Intel Pentium III
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 1
# Internet Explorer 6.0.2800.1106

# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 9,54 Go (211,74 Mo free) [WINME] # FAT32
# D:\ # Disque CD-ROM
# E:\ # Disque amovible # 62,3 Mo (5,37 Mo free) # FAT

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\System32\devldr32.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\wbem\wmiprvse.exe

################## | Registre Startup |

R1 - HKCU\..\Main: "Local Page"="C:\windows\system32\blank.htm" 
R1 - HKCU\..\Main: "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch" 
R1 - HKCU\..\Main: "Start Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome" 
F2 - HKLM\..\logon:"Userinit"="C:\WINDOWS\system32\userinit.exe," 
F2 - HKLM\..\logon:"DefaultUserName"="Marie-Eve" 
F2 - HKLM\..\logon:"AltDefaultUserName"="Marie-Eve" 
F2 - HKLM\..\logon:"LegalNoticeCaption"="" 
F2 - HKLM\..\logon:"LegalNoticeText"="" 
04 - HKLM\..\Run:  iTunesHelper="C:\Program Files\iTunes\iTunesHelper.exe" 
04 - HKLM\..\Run:  avgnt="C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min 
04 - HKLM\..\Run:  HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversionun\OptionalComponents= 
04 - HKCU\..\Run:  msnmsgr#"C:\Program Files\MSN Messenger\MSNMSGR.EXE" /background#  
04 - HKCU\..\Run:  SpybotSD TeaTimer#C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe#  

################## | Fichiers # Dossiers infectieux |


################## | C:\Documents and Settings\Marie-Eve\Temporary Internet Files |


################## | All Drives ... |


################## | Registre # Clés Run infectieuses |


################## | Registre # Mountpoints2 |


################## | Etat / Services / Informations |

# Affichage des fichiers cachés : OK
# Mode sans echec : OK
# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 ) 
# Ip6Fw -> Start = 3 ( Good = 2 | Bad = 4 ) 
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 ) 


################## | Cracks / Keygens / Serials |


################## | ! Fin du rapport # FindyKill V6.006 ! |

clochette15 · Answer

Est-ce que tout est réparé??

kduc · Answer

Salut,

Il semblerait que oui ...

Cependant, tu n' as pas (encore) envisagé de mettre à jour ...

"Platform: Windows XP SP1 (WinNT 5.01.2600) 
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)" 

-----
Lance un scan Antivir, après l' avoir mis à jour, et poste le rapport.

Virus!?! wdokbye.dll

26 réponses

Votre réponse

Discussions similaires

Newsletters