Braviax.exe et autres trojans

warlock -  
 warlock -
Bonjour amis du FLNCCI (Front de Lutte National Contre les Cagades Informatiques),

Voilà, suite à la découverte de mon firewall désactivé, j'ai remis tout ça en ordre...et me voilà croulant sous une foultitude de joyeusetés Virus, Malware, Trojans, Worms...du célèbre Braviax.exe au LOADER.exe en passant par Figaro.sys (Rootkit) ou encore des fichiers type wpv731250563654.exe/install.exe (zippé) / srpira1250675299.eXE (LdPinch-CYW)..bref après avoir utilisé AVAST / CCleaner / MalwareBytes ou encore Advanced SystemCare Pro en mode sans échec...rien à faire...la plupart reviennent après les nettoyages au redémarrage d'une nouvelle cession

donc en bon élève je suis allé passer un coup de HijackThis en mode sans échec dont voici le résultat, merci pour votre aide...

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:46:37, on 19/08/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\explorer.exe
C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe
C:\HighJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE Ezonics VGA camera
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [sysldtray] C:\windows\ld12.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Advanced SystemCare 3] "C:\Program Files\IObit\Advanced SystemCare 3\AWC.exe" /startup
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Xavier\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: ikowin32.exe
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: Ajouter au fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: CabBuilder - http://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab
O16 - DPF: {2357B3CF-7F8D-4451-8D81-FD6097610AEE} (CamfrogWEB Advanced Unicode Control) - http://activex.camfrogweb.com/advanced/2.0.2.3/cfweb_activex.camfrogweb.com-advanced-2.0.2.3_instmodule.exe
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

31 réponses

  • 1
  • 2
Réponse 1 / 31
Utilisateur anonyme
 

/!\ ATTENTION SUIVRE SCRUPULEUSEMENT A LA LETTRE CES INDICATIONS/!\

▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe"

_________________________________________________________________
>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
>>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
=====================================================</gras>

▶ On va utiliser ComboFix.exe. Rends toi sur cette page web pour obtenir les liens de téléchargement, ainsi que des instructions pour exécuter l'outil:

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix


Avant d'utiliser ComboFix :
______________________________________________________________________
>> referme les fenêtres de tous les programmes en cours.
>> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
>>la protection en temps réel de ton Antivirus et de tes Antispywares,
>>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°

▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!

▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

>> Reviens sur le forum, et

▶ copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

1
warlock
 
bon pour info entre la fin de l'examen et la création du rapport, il a automatiquement rebooté l'ordi et demande de ne pas le faire manuellement (c'était pas prévu dans les infos de fonctionnement) mais ça s'est terminé correctement à priori :

voilà donc le résultat du log :

ComboFix 09-08-19.0C - Xavier 20/08/2009 22:21.1.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.1023.660 [GMT 2:00]
Running from: c:\documents and settings\Xavier\Bureau\Xavier.exe
AV: avast! antivirus 4.8.1335 [VPS 090820-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\All Users.WINDOWS\Bureau\avast! Antivirus.lnk
c:\documents and settings\Xavier\Application Data\wiaserva.log
c:\program files\Mozilla Firefox\searchplugins\search.xml
c:\program files\WinPCap
c:\program files\WinPCap\rpcapd.exe
c:\recycler\S-1-5-21-1177238915-1454471165-725345543-1003
c:\recycler\S-1-5-21-1177238915-1454471165-725345543-500
c:\windows\010112010146120114.xe
c:\windows\0101120101464949.xe
c:\windows\Installer\17d71a7.msp
c:\windows\patch.exe
c:\windows\system32\_000006_.tmp.dll
c:\windows\system32\_000013_.tmp.dll
c:\windows\system32\Drivers\jgjelvf.sys
c:\windows\system32\drivers\npf.sys
c:\windows\system32\logs
c:\windows\system32\Packet.dll
c:\windows\system32\pthreadVC.dll
c:\windows\system32\WanPacket.dll
c:\windows\system32\wpcap.dll
D:\autorun.inf
D:\install.exe

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NPF
-------\Service_npf
-------\Service_SfX


((((((((((((((((((((((((( Files Created from 2009-07-20 to 2009-08-20 )))))))))))))))))))))))))))))))
.

2009-08-20 17:38 . 2009-08-20 17:43 -------- dc----w- c:\documents and settings\All Users.WINDOWS\Application Data\Google Updater
2009-08-20 08:07 . 2009-08-20 08:07 38016 ----a-w- c:\windows\system32\drivers\DnsFilter.sys
2009-08-20 08:07 . 2009-08-20 08:07 -------- dc----w- c:\program files\DDnsFilter
2009-08-19 08:58 . 2009-08-19 11:46 -------- dc----w- C:\HighJackThis
2009-08-13 10:18 . 2009-08-03 11:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-08-13 10:18 . 2009-08-13 10:18 -------- dc----w- c:\program files\Malwarebytes' Anti-Malware
2009-08-13 10:18 . 2009-08-03 11:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-08-13 10:13 . 2009-08-13 10:13 -------- dc----w- c:\documents and settings\Xavier\Application Data\Malwarebytes
2009-08-13 10:13 . 2009-08-13 10:13 -------- dc----w- c:\documents and settings\All Users.WINDOWS\Application Data\Malwarebytes
2009-08-12 17:33 . 2008-04-13 19:15 574976 -c--a-w- c:\windows\system32\dllcache\ntfs.sys
2009-08-12 09:56 . 2009-07-10 13:27 1315328 -c----w- c:\windows\system32\dllcache\msoe.dll
2009-08-09 10:17 . 2009-08-09 10:17 -------- dc----w- c:\documents and settings\Invité
2009-08-05 10:25 . 2009-08-05 10:25 152576 -c--a-w- c:\documents and settings\Xavier\Application Data\Sun\Java\jre1.6.0_15\lzma.dll
2009-07-25 19:43 . 2009-07-25 19:43 76620 ---ha-w- c:\windows\system32\mlfcache.dat

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-20 20:34 . 2008-04-23 20:38 -------- dc----w- c:\documents and settings\Xavier\Application Data\Skype
2009-08-20 19:59 . 2008-04-24 15:12 -------- dc----w- c:\documents and settings\Xavier\Application Data\Azureus
2009-08-20 19:35 . 2008-04-25 09:54 -------- dc----w- c:\program files\Azureus
2009-08-20 18:43 . 2008-05-21 09:56 -------- dc--a-w- c:\documents and settings\All Users.WINDOWS\Application Data\TEMP
2009-08-20 17:38 . 2004-11-05 19:44 -------- dc----w- c:\program files\Google
2009-08-18 16:05 . 2009-08-18 16:05 2680 -c--a-w- c:\program files\zjxnuvml.txt
2009-08-05 10:26 . 2005-08-02 09:21 -------- dc----w- c:\program files\Java
2009-08-05 09:00 . 2006-03-02 12:00 205312 ----a-w- c:\windows\system32\mswebdvd.dll
2009-08-03 09:03 . 2007-11-16 17:30 -------- dc----w- c:\program files\Microsoft Silverlight
2009-07-25 03:23 . 2008-12-22 00:08 411368 ----a-w- c:\windows\system32\deploytk.dll
2009-07-21 19:01 . 2008-05-19 09:05 -------- dc----w- c:\program files\QuickMediaConverter
2009-07-21 00:38 . 2008-08-08 00:24 -------- dc----w- c:\documents and settings\All Users.WINDOWS\Application Data\Soulseek
2009-07-17 19:03 . 2009-07-17 19:03 58880 ----a-w- c:\windows\system32\SETA2.tmp
2009-07-17 19:03 . 2006-03-02 12:00 58880 ----a-w- c:\windows\system32\atl.dll
2009-07-13 21:43 . 2006-03-02 12:00 286208 ----a-w- c:\windows\system32\wmpdxm.dll
2009-07-07 17:05 . 2008-04-29 00:25 -------- dc----w- c:\documents and settings\Xavier\Application Data\BSplayer
2009-07-06 12:53 . 2004-02-02 22:17 -------- dc-h--w- c:\program files\InstallShield Installation Information
2009-07-02 08:45 . 2009-07-13 16:37 172032 -c--a-w- c:\documents and settings\Xavier\Application Data\Mozilla\Firefox\Profiles\7t008s33.default\extensions\turntoolviewer@turntool.com\plugins\nptnt.dll
2009-07-01 01:01 . 2009-07-01 01:01 -------- dc----w- c:\program files\Foto-Mosaik-Edda
2009-06-30 17:01 . 2007-09-03 17:06 -------- dc----w- c:\program files\AxBx
2009-06-30 17:00 . 2008-05-19 07:35 -------- dc----w- c:\program files\Spybot - Search & Destroy
2009-06-30 17:00 . 2008-05-19 07:35 -------- dc----w- c:\documents and settings\All Users.WINDOWS\Application Data\Spybot - Search & Destroy
2009-06-30 08:39 . 2008-05-02 17:19 -------- dc----w- c:\documents and settings\All Users.WINDOWS\Application Data\FLEXnet
2009-06-30 08:27 . 2009-02-16 20:15 -------- dc----w- c:\documents and settings\Xavier\Application Data\IObit
2009-06-26 16:50 . 2006-03-02 12:00 670720 ----a-w- c:\windows\system32\wininet.dll
2009-06-26 16:50 . 2006-03-02 12:00 81920 ----a-w- c:\windows\system32\ieencode.dll
2009-06-25 08:26 . 2009-06-25 08:26 56832 ----a-w- c:\windows\system32\SET7E.tmp
2009-06-25 08:26 . 2009-06-25 08:26 54272 ----a-w- c:\windows\system32\SET7D.tmp
2009-06-25 08:26 . 2009-06-25 08:26 147456 ----a-w- c:\windows\system32\SET7F.tmp
2009-06-25 08:26 . 2009-06-25 08:26 136192 ----a-w- c:\windows\system32\SET80.tmp
2009-06-25 08:26 . 2006-03-02 12:00 736768 ----a-w- c:\windows\system32\lsasrv.dll
2009-06-25 08:26 . 2009-06-25 08:26 301568 ----a-w- c:\windows\system32\SET81.tmp
2009-06-24 11:18 . 2006-03-02 12:00 92928 ----a-w- c:\windows\system32\drivers\ksecdd.sys
2009-06-22 13:23 . 2009-06-22 13:23 239088 -c--a-w- c:\documents and settings\Xavier\Application Data\Mozilla\plugins\npgoogletalk.dll
2009-06-16 14:40 . 2006-03-02 12:00 81920 ----a-w- c:\windows\system32\fontsub.dll
2009-06-16 14:40 . 2006-03-02 12:00 119808 ----a-w- c:\windows\system32\t2embed.dll
2009-06-15 10:44 . 2006-03-02 12:00 78848 ----a-w- c:\windows\system32\telnet.exe
2009-06-15 10:44 . 2006-03-02 12:00 82944 ----a-w- c:\windows\system32\tlntsess.exe
2009-06-10 14:14 . 2006-03-02 12:00 85504 ----a-w- c:\windows\system32\avifil32.dll
2009-06-10 07:21 . 2008-04-23 19:34 2066432 ----a-w- c:\windows\system32\mstscax.dll
2009-06-10 06:15 . 2006-03-02 12:00 132096 ----a-w- c:\windows\system32\wkssvc.dll
2009-06-03 19:10 . 2006-03-02 12:00 1297408 ----a-w- c:\windows\system32\quartz.dll
2009-06-02 13:52 . 2008-04-23 20:04 107896 -c--a-w- c:\documents and settings\Xavier\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2003-12-08 13:04 . 2005-03-16 21:36 827392 -c--a-w- c:\program files\NPSWF32.dll
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Fichiers communs\Ahead\lib\NMBgMonitor.exe" [2005-10-28 94208]
"Advanced SystemCare 3"="c:\program files\IObit\Advanced SystemCare 3\AWC.exe" [2009-01-09 2262352]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2009-03-11 24095528]
"Google Update"="c:\documents and settings\Xavier\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" [2009-06-08 133104]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-08-20 39408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]
"BigDogPath"="c:\windows\VM_STI.EXE" [2005-01-04 40960]
"Acrobat Assistant 8.0"="c:\program files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2007-05-10 624248]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-07-25 149280]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2009-05-27 198160]
"SoundMan"="SOUNDMAN.EXE" - c:\windows\SOUNDMAN.EXE [2003-02-27 47104]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\Xavier\Menu D‚marrer\Programmes\D‚marrage\
ikowin32.exe [2008-4-14 24064]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMBalloonTip"= 0 (0x0)

[HKLM\~\startupfolder\C:^Documents and Settings^All Users.WINDOWS^Menu Démarrer^Programmes^Démarrage^HOTSYNCSHORTCUTNAME.lnk]
backup=c:\windows\pss\HOTSYNCSHORTCUTNAME.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users.WINDOWS^Menu Démarrer^Programmes^Démarrage^NETGEAR WG311v2 Smart Configuration.lnk]
backup=c:\windows\pss\NETGEAR WG311v2 Smart Configuration.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^Xavier^Menu Démarrer^Programmes^Démarrage^Adobe Gamma.lnk]
backup=c:\windows\pss\Adobe Gamma.lnkStartup

[HKLM\~\startupfolder\C:^Documents and Settings^Xavier^Menu Démarrer^Programmes^Démarrage^ikowin32.exe]
path=c:\documents and settings\Xavier\Menu Démarrer\Programmes\Démarrage\ikowin32.exe
backup=c:\windows\pss\ikowin32.exeStartup
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\braviax
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msword98

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"Adobe LM Service"=3 (0x3)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Azureus\\Azureus.exe"=
"c:\\Program Files\\SoulseekNS\\slsk.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\Google\\Google Talk\\googletalk.exe"=
"c:\\Program Files\\eBay\\Turbo Lister2\\Tl.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Program Files\\Real\\RealPlayer\\realplay.exe"=
"c:\\WINDOWS\\system32\\mmc.exe"=
"c:\\Documents and Settings\\Xavier\\Local Settings\\Application Data\\Google\\Google Talk Plugin\\googletalkplugin.dll"=
"c:\\Documents and Settings\\Xavier\\Local Settings\\Application Data\\Google\\Google Talk Plugin\\googletalkplugin.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:*:Disabled:@xpsp2res.dll,-22009
"8085:TCP"= 8085:TCP:ddnsfilter

R?2 ddnsfilter;ddnsfilter;c:\windows\sySTEM32\SvchoSt.ExE -k ddnsfilter [02/03/2006 14:00 14336]
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [24/04/2008 13:03 114768]
R1 DnsFilter;DnsFilter;c:\windows\system32\drivers\DnsFilter.sys [20/08/2009 10:07 38016]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [24/04/2008 13:03 20560]
S0 ntcdrdrv;ntcdrdrv;c:\windows\system32\DRIVERS\ntcdrdrv.sys --> c:\windows\system32\DRIVERS\ntcdrdrv.sys [?]
S0 tpcdrdrv;tpcdrdrv;c:\windows\system32\DRIVERS\tpcdrdrv.sys --> c:\windows\system32\DRIVERS\tpcdrdrv.sys [?]
S1 soqwx32;soqwx32;\??\c:\windows\system32\drivers\soqwx32.sys --> c:\windows\system32\drivers\soqwx32.sys [?]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
ddnsfilter REG_MULTI_SZ ddnsfilter

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Contents of the 'Scheduled Tasks' folder

2009-04-16 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

2009-08-20 c:\windows\Tasks\AWC Update.job
- c:\program files\IObit\Advanced SystemCare 3\IObitUpdate.exe [2009-02-16 20:31]

2009-08-20 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2007-11-07 17:38]

2009-08-20 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-299502267-1336601894-1417001333-1003Core.job
- c:\documents and settings\Xavier\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2009-06-08 15:46]

2009-08-20 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-299502267-1336601894-1417001333-1003UA.job
- c:\documents and settings\Xavier\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2009-06-08 15:46]

2009-08-14 c:\windows\Tasks\Maintenance en 1 clic.job
- c:\program files\TuneUp Utilities 2007\SystemOptimizer.exe [2007-08-02 17:18]
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.google.com
uDefault_Search_URL = hxxp://www.Google.com/
uSearchMigratedDefaultURL = hxxp://www.Google.com/
mStart Page = hxxp://www.google.com
mSearch Bar = hxxp://www.Google.com/
mSearchMigratedDefaultURL = hxxp://www.Google.com/
uInternet Settings,ProxyOverride = *.local
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
mSearchURL = hxxp://www.Google.com/
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: Ajouter au fichier PDF existant - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir en Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir la cible du lien en Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir la cible du lien en un fichier PDF existant - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir la sélection en Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir la sélection en un fichier PDF existant - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir les liens sélectionnés en fichier Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Convertir les liens sélectionnés en un fichier PDF existant - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
DPF: CabBuilder - hxxp://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab
DPF: {2357B3CF-7F8D-4451-8D81-FD6097610AEE} - hxxp://activex.camfrogweb.com/advanced/2.0.2.3/cfweb_activex.camfrogweb.com-advanced-2.0.2.3_instmodule.exe
FF - ProfilePath - c:\documents and settings\Xavier\Application Data\Mozilla\Firefox\Profiles\7t008s33.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr
FF - prefs.js: network.proxy.http - 127.0.0.1
FF - prefs.js: network.proxy.http_port - 9090
FF - prefs.js: network.proxy.type - 4
FF - component: c:\program files\Real\RealPlayer\browserrecord\components\nprpbrowserrecordplugin.dll
FF - plugin: c:\documents and settings\Xavier\Application Data\Mozilla\Firefox\Profiles\7t008s33.default\extensions\turntoolviewer@turntool.com\plugins\nptnt.dll
FF - plugin: c:\documents and settings\Xavier\Application Data\Mozilla\plugins\npgoogletalk.dll
FF - plugin: c:\documents and settings\Xavier\Local Settings\Application Data\Google\Update\1.2.183.7\npGoogleOneClick8.dll
FF - plugin: c:\program files\Google\Google Updater\2.4.1636.7222\npCIDetect13.dll
FF - plugin: c:\program files\Google\Picasa3\npPicasa2.dll
FF - plugin: c:\program files\Google\Picasa3\npPicasa3.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npagent.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npMdm.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npmozax.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-20 22:34
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
--------------------- LOCKED REGISTRY KEYS ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|ÿÿÿÿÀ•€|ù•9~*]
"C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'explorer.exe'(796)
c:\windows\system32\eappprxy.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Other Running Processes ------------------------
.
c:\program files\Alwil Software\Avast4\aswUpdSv.exe
c:\program files\Alwil Software\Avast4\ashServ.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Alwil Software\Avast4\ashWebSv.exe
c:\program files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
.
**************************************************************************
.
Completion time: 2009-08-20 22:46 - machine was rebooted
ComboFix-quarantined-files.txt 2009-08-20 20:46

Pre-Run: 7 914 500 096 octets libres
Post-Run: 7 878 090 752 octets libres

261 --- E O F --- 2009-08-14 00:51
0
warlock > warlock
 
sinon en regardant dans C: j'ai trouvé un fichier "List'em.txt" mais qui ne ressemble pas à l'exemple que tu m'as donné plus haut...tu veux que je te le colle aussi ?
0
Réponse 2 / 31
Utilisateur anonyme
 
non justement c'est le contraire warlock :)

rien ne t'etais destiné

▶ Double clic sur OTL.exe pour le lancer.


▶Copie la liste qui se trouve en gras ci-dessous,

▶ colle-la dans la zone sous Customs Scans/Fixes :

:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe

:services
ddnsfilter
DnsFilter
soqwx32

:reg
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\stan­dardprofile\GloballyOpenPorts\List]
"8085:TCP"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
"ddnsfilter"=-

:files
c:\windows\system32\drivers\DnsFilter.sys
c:\program files\DDnsFilter
c:\windows\system32\drivers\soqwx32.sys

:commands
[emptytemp]
[reboot]


▶ Clique sur RunFix pour lancer la suppression.


▶ Poste le rapport.
1
Réponse 3 / 31
Utilisateur anonyme
 
salut :

Desactive ton antivirus le temps de la manip ainsi que ton parefeu si présent

▶ Télécharge List&Kill'em et enregistre le sur ton bureau

Il ne necessite pas d'installation

▶double clic (clic droit "executer en tant qu'administrateur" pour Vista) pour lancer le scan

choisis la langue puis choisis l'option 1 = Mode Recherche

▶laisse travailler l'outil

le rapport va s'afficher , une fois le scan fini

▶colle le contenu dans ta prochaine réponse
0
warlock
 
bon j'ai lancé le logiciel, j'ai eu droit à une analyse rapide sur fond bleu et puis il s'est arrêté à une phrase rouge sur fond noir pendant plusieurs minutes :


Key : HKLM\Software\Microsoft\Windows\CurrentVersion\Run : Client Server Runtime Process


je ne sais pas si ça a une signification ou si c'est un bug ??
0
warlock > warlock
 
bon après un coup de regedit, je me doute qu'il s'agit du dossier Hkey Local Machine, je suis bien remonté jusqu'au dossier spécifié mais je ne sais pas quoi en faire ?
0
Réponse 4 / 31
Utilisateur anonyme
 
il n'a pas fini sa recherche ?
0
warlock
 
ben comme je l'ai marqué + haut, il reste sur la dernière phrase que j'ai marqué + haut..je ne sais pas à quoi ressemble la dernière phase de l'analyse. j'ai vu qu'il fouillait windows/system32 et un peu après, puis la phrase rouge sur fond noir..that's all
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 31
Utilisateur anonyme
 
ok essaie de le passer en mode sans echec stp
0
warlock
 
bon j'ai fait un petit cleaning en mode sans échec avec Advanced systemcare pro, il m'a trouvé quelques erreurs dans les registres et j'ai ensuite passé ton logiciel...rien n'y fait, il se "conclut" toujours par la même phrase rouge sur fond noir "Key : HKLM..." avec le curseur qui clignote en dessous et on ne peut rien marquer...
0
warlock
 
Bon apparemment mes dernières analyses t'ont laissé sans voix :p j'ai réinstallé spyware doctor à partir du google pack en complément de MalwareBytes, il me trouve des trucs aussi mais après chaque redémarrage d'ordi les merdes sont tjs là...Je pars k jours du Dimanche 23 au 4 septembre, il ne me reste plus que demain pour résorber mes problèmes une bonne fois pour toute...Help !!! et j'ai tjs essayé de lancer ton logiciel, mais j'ai tjs la même finalité :'(
0
Réponse 6 / 31
Utilisateur anonyme
 
hello

spyware doctor >> poubelle

supprime listékill'em puis :

Desactive ton antivirus le temps de la manip ainsi que ton parefeu si présent

▶ Télécharge List&Kill'em et enregistre-le sur ton bureau

Il ne necessite pas d'installation

▶double clic (clic droit "executer en tant qu'administrateur" pour Vista) pour lancer le scan

choisis la langue puis choisis l'option 1 = Mode Recherche

▶laisse travailler l'outil

le rapport va s'afficher , une fois le scan fini

▶▶▶▶▶▶▶ ATTENTION : supprime ton adresse IP stp !!!!

ici :

[121]: KB973815 - Update
[122]: KB973869 - Update
[123]: XpsEPSC
Carte(s) r‚seau: 4 carte(s) r‚seau install‚e(s).
[01]: Bluetooth PAN Network Adapter
Nom de la connexion : Connexion au r‚seau local 2
tat : Support d‚connect‚
[02]: Intel(R) PRO/1000 CT Network Connection
Nom de la connexion : Connexion au r‚seau local
DHCP activ‚ : Non
Adresse(s) IP
[01] : 192.168.0.11
[03]: VirtualBox Host-Only Ethernet Adapter
Nom de la connexion : VirtualBox Host-Only Network
DHCP activ‚ : Non
Adresse(s) IP
[01] : 192.168.56.1
[04]: VirtualBox Host-Only Ethernet Adapter
Nom de la connexion : VirtualBox Host-Only Network #2
DHCP activ‚ : Non
Adresse(s) IP
[01] : 192.168.217.1

Nom de l'image PIDÿ Nom de la sessio Num‚ro d Utilisation
========================= ====== ================ ======== ============
System Idle Process 0 Console 0 16 Ko
System 4 Console 0 244 Ko
smss.exe 916 Console 0 400 Ko
csrss.exe 972 Console 0 4ÿ456 Ko
winlogon.exe 996 Console 0 3ÿ536 Ko

▶colle le contenu dans ta prochaine réponse
0
warlock
 
idem l'analyse s'arrête tjs à la phrase rouge sur fond noir

Key : HKLM\Software\Microsoft\Windows\CurrentVersion\Run : Client Server Runtime Process

et ça ne va pas au delà.. je vois qu'il passe windows puis document & settings mais je n'arrive pas à lire le moment où il s'arrête sur la phrase. :(
0
Réponse 7 / 31
Utilisateur anonyme
 
passe-le en mode sans echec
0
warlock
 
Comme auparavant avec ton ancienne version du logiciel...mêmes conséquences, toujours la même phrase qui doit s'arrêter aux alentours du dossier local settings
0
Réponse 8 / 31
Utilisateur anonyme
 
ok maintenant tu dois pouvoir reprendre ce que je t ai donné ici

https://forums.commentcamarche.net/forum/affich-13956694-braviax-exe-et-autres-trojans#9
0
warlock
 
c'est sur ça marche mieux :p

voici le log de ton logiciel List'em :

List'em by g3n-h@ckm@n 1.0.2.6

updated on 20.08.2009 ::::: 00.30


Microsoft Windows XP [version 5.1.2600]


20/08/2009 23:51:43,37


Nom de l'h“te: XAVIER-DUCAMP
Nom du systŠme d'exploitation: Microsoft Windows XP Professionnel
Version du systŠme: 5.1.2600 Service Pack 3 version 2600
Fabricant du systŠme d'exploitation: Microsoft Corporation
Configuration du systŠme d'exploitation: Station de travail autonome
Type de version du systŠme d'exploitation: Uniprocessor Free
Propri‚taire enregistr‚ÿ: XAVIER
Organisation enregistr‚eÿ:
Identificateur de produit: 76413-019-6657864-22518
Date d'installation originale: 23/04/2008, 21:44:36
Dur‚e d'activit‚ systŠme: 0 jours, 1 heures, 19 minutes, 25 secondes
Fabricant du systŠme: ASUSTeK Computer INC.
ModŠle du systŠme: A7N8X-X
Type du systŠme: X86-based PC
Processeur(s): 1 processeur(s) install‚(s).
[01]: x86 Family 6 Model 10 Stepping 0 AuthenticAMD ~1094 MHz
Version du BIOS: Nvidia - 42302e31
R‚pertoire Windows: C:\WINDOWS
R‚pertoire systŠme: C:\WINDOWS\system32
P‚riph‚rique d'amor‡age: \Device\HarddiskVolume1
Option r‚gionale du systŠme: fr;Fran‡ais (France)
ParamŠtres r‚gionaux d'entr‚eÿ: fr;Fran‡ais (France)
Fuseau horaire: N/D
M‚moire physique totale: 1ÿ023 Mo
M‚moire physique disponible: 358 Mo
M‚moire virtuelle : taille maximale: 2ÿ048 Mo
M‚moire virtuelle : disponible: 2ÿ008 Mo
M‚moire virtuelle : en cours d'utilisation: 40 Mo
Emplacements des fichiers d'‚change: C:\pagefile.sys
Domaine: MSHOME
Serveur d'ouverture de session: \\XAVIER-DUCAMP
Correctif(s): 138 Corrections install‚es.
[01]: File 1
[02]: File 1
[03]: File 1
[04]: File 1
[05]: File 1
[06]: File 1
[07]: File 1
[08]: File 1
[09]: File 1
[10]: File 1
[11]: File 1
[12]: File 1
[13]: File 1
[14]: File 1
[15]: File 1
[16]: File 1
[17]: File 1
[18]: File 1
[19]: File 1
[20]: File 1
[21]: File 1
[22]: File 1
[23]: File 1
[24]: File 1
[25]: File 1
[26]: File 1
[27]: File 1
[28]: File 1
[29]: File 1
[30]: File 1
[31]: File 1
[32]: File 1
[33]: File 1
[34]: File 1
[35]: File 1
[36]: File 1
[37]: File 1
[38]: File 1
[39]: File 1
[40]: File 1
[41]: File 1
[42]: File 1
[43]: File 1
[44]: File 1
[45]: File 1
[46]: File 1
[47]: File 1
[48]: File 1
[49]: File 1
[50]: File 1
[51]: File 1
[52]: File 1
[53]: File 1
[54]: File 1
[55]: File 1
[56]: File 1
[57]: File 1
[58]: File 1
[59]: File 1
[60]: File 1
[61]: File 1
[62]: Q147222
[63]: Q936181
[64]: Q954430
[65]: KB929399
[66]: KB952069_WM9
[67]: KB973540_WM9
[68]: KB936782_WMP10
[69]: KB936782_WMP11
[70]: KB939683
[71]: KB954154_WM11
[72]: KB959772_WM11
[73]: KB925398_WMP64
[74]: KB923689
[75]: KB941569
[76]: MSCompPackV1 - Update
[77]: KB936929 - Service Pack
[78]: KB923561 - Update
[79]: KB938464 - Update
[80]: KB946648 - Update
[81]: KB950759 - Update
[82]: KB950760 - Update
[83]: KB950762 - Update
[84]: KB950974 - Update
[85]: KB951066 - Update
[86]: KB951072-v2 - Update
[87]: KB951376 - Update
[88]: KB951376-v2 - Update
[89]: KB951698 - Update
[90]: KB951748 - Update
[91]: KB951978 - Update
[92]: KB952004 - Update
[93]: KB952287 - Update
[94]: KB952954 - Update
[95]: KB953838 - Update
[96]: KB953839 - Update
[97]: KB954211 - Update
[98]: KB954459 - Update
[99]: KB954600 - Update
[100]: KB955069 - Update
[101]: KB955839 - Update
[102]: KB956390 - Update
[103]: KB956391 - Update
[104]: KB956572 - Update
[105]: KB956744 - Update
[106]: KB956802 - Update
[107]: KB956803 - Update
[108]: KB956841 - Update
[109]: KB957095 - Update
[110]: KB957097 - Update
[111]: KB958215 - Update
[112]: KB958644 - Update
[113]: KB958687 - Update
[114]: KB958690 - Update
[115]: KB959426 - Update
[116]: KB960225 - Update
[117]: KB960715 - Update
[118]: KB960803 - Update
[119]: KB960859 - Update
[120]: KB961371 - Update
[121]: KB961373 - Update
[122]: KB961501 - Update
[123]: KB963027 - Update
[124]: KB967715 - Update
[125]: KB968389 - Update
[126]: KB968537 - Update
[127]: KB969897 - Update
[128]: KB969898 - Update
[129]: KB970238 - Update
[130]: KB971557 - Update
[131]: KB971633 - Update
[132]: KB971657 - Update
[133]: KB972260 - Update
[134]: KB973346 - Update
[135]: KB973354 - Update
[136]: KB973507 - Update
[137]: KB973815 - Update
[138]: KB973869 - Update
Carte(s) r‚seau: 3 carte(s) r‚seau install‚e(s).
[01]: Carte r‚seau 1394
Nom de la connexion : Connexion 1394
[02]: NVIDIA nForce MCP Networking Adapter
Nom de la connexion : carte Ethernet
[03]: NETGEAR WG311v2 802.11g Wireless PCI Adapter
Nom de la connexion : Connexion r‚seau sans fil

Nom de l'image PIDÿ Nom de la sessio Num‚ro d Utilisation
========================= ====== ================ ======== ============
System Idle Process 0 Console 0 16 Ko
System 4 Console 0 220 Ko
smss.exe 416 Console 0 404 Ko
csrss.exe 464 Console 0 5ÿ192 Ko
winlogon.exe 488 Console 0 3ÿ724 Ko
services.exe 532 Console 0 3ÿ584 Ko
lsass.exe 544 Console 0 2ÿ280 Ko
svchost.exe 692 Console 0 4ÿ704 Ko
svchost.exe 772 Console 0 3ÿ704 Ko
svchost.exe 808 Console 0 27ÿ804 Ko
svchost.exe 852 Console 0 2ÿ236 Ko
svchost.exe 1000 Console 0 3ÿ484 Ko
svchost.exe 1092 Console 0 1ÿ880 Ko
aswUpdSv.exe 1208 Console 0 344 Ko
ashServ.exe 1256 Console 0 26ÿ468 Ko
spoolsv.exe 1836 Console 0 5ÿ576 Ko
mDNSResponder.exe 2024 Console 0 3ÿ480 Ko
svchost.exe 192 Console 0 3ÿ472 Ko
jqs.exe 324 Console 0 1ÿ396 Ko
ashDisp.exe 1464 Console 0 10ÿ456 Ko
SOUNDMAN.EXE 1480 Console 0 2ÿ932 Ko
VM_STI.EXE 1508 Console 0 3ÿ104 Ko
acrotray.exe 1512 Console 0 8ÿ300 Ko
jusched.exe 1548 Console 0 2ÿ468 Ko
realsched.exe 1552 Console 0 588 Ko
NMBgMonitor.exe 1576 Console 0 4ÿ988 Ko
AWC.exe 1640 Console 0 23ÿ224 Ko
svchost.exe 2152 Console 0 5ÿ656 Ko
FNPLicensingService.exe 3024 Console 0 2ÿ536 Ko
alg.exe 3412 Console 0 3ÿ564 Ko
explorer.exe 796 Console 0 20ÿ884 Ko
firefox.exe 2276 Console 0 133ÿ648 Ko
usnsvc.exe 3360 Console 0 2ÿ688 Ko
svchost.exe 2244 Console 0 3ÿ036 Ko
wpv771250518331.exe 440 Console 0 3ÿ576 Ko
INSTALL.EXE 3768 Console 0 2ÿ060 Ko
explorer.exe 3128 Console 0 5ÿ852 Ko
svchost.exe 628 Console 0 3ÿ444 Ko
Azureus.exe 2528 Console 0 104ÿ344 Ko
WINWORD.EXE 652 Console 0 9ÿ520 Ko
wuauclt.exe 988 Console 0 6ÿ924 Ko
wscntfy.exe 2520 Console 0 2ÿ468 Ko
List_Killem.exe 1580 Console 0 4ÿ480 Ko
cmd.exe 2148 Console 0 1ÿ760 Ko
wmiprvse.exe 1568 Console 0 7ÿ836 Ko
wmiprvse.exe 584 Console 0 4ÿ856 Ko
tasklist.exe 3836 Console 0 4ÿ428 Ko

Infections :
==========


¤¤¤¤¤¤¤¤¤¤ Fichiers et dossiers presents :

"C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat"
"C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat"
"C:\Program Files\AGI"
"C:\WINDOWS\system32\braviax.exe"
C:\WINDOWS\System32\SET7D.tmp
C:\WINDOWS\System32\SET7E.tmp
C:\WINDOWS\System32\SET7F.tmp
C:\WINDOWS\System32\SET80.tmp
C:\WINDOWS\System32\SET81.tmp
C:\WINDOWS\System32\SETA2.tmp
C:\Documents and Settings\Xavier\LOCAL Settings\Temp\INSTALL.EXE
C:\Documents and Settings\Xavier\LOCAL Settings\Temp\LOADER.EXE
"C:\Documents and Settings\Xavier\Menu Démarrer\Programmes\Démarrage\ikowin32.exe"

¤¤¤¤¤¤¤¤¤¤ Clés de registre Presentes :


¤¤¤¤¤¤¤¤¤¤ C:\WINDOWS\Prefetch :

11514064.EXE-1B9D908E.pf
ACRODIST.EXE-3A6154BC.pf
ACROTRAY.EXE-22EC0150.pf
ADOBELMSVC.EXE-004A961E.pf
ADOBELM_CLEANUP.0001-261553E7.pf
ALG.EXE-0F138680.pf
ASHDISP.EXE-0B874892.pf
ASHWEBSV.EXE-0548EF0A.pf
AVAST.SETUP-032170A8.pf
AWC.EXE-11349AC7.pf
AZUREUS.EXE-008B7A30.pf
BSPLAYER.EXE-14B7F352.pf
CCLEANER.EXE-0BCE437C.pf
CHKDSK.EXE-2CC4C59D.pf
CMD.EXE-087B4001.pf
CONTROL.EXE-013DBFB5.pf
CONVERTER.EXE-292756E9.pf
CRASHREPORTER.EXE-29951F6F.pf
DEFRAG.EXE-273F131E.pf
DFRGNTFS.EXE-269967DF.pf
DRWTSN32.EXE-2B4B52AC.pf
DWWIN.EXE-30875ADC.pf
EDEN.EXE-0670A8CA.pf
EXPLORER.EXE-082F38A9.pf
FFMPEG.EXE-3779074C.pf
FIREFOX.EXE-28641590.pf
FNPLICENSINGSERVICE.EXE-057818D9.pf
GOOGLE UPDATER.EXE-290B89DF.pf
GOOGLECRASHHANDLER.EXE-201B327B.pf
GOOGLETOOLBARNOTIFIER.EXE-3629C61D.pf
GOOGLEUPDATE.EXE-0D5E1867.pf
GOOGLEUPDATER.EXE-2A979B86.pf
GOOGLEUPDATERADMINPREFS.EXE-16CFA298.pf
GOOGLEUPDATERINSTALLMGR.EXE-1E98B0B4.pf
GOOGLEUPDATERSERVICE.EXE-0D3352BC.pf
GOOGLEUPDATERSERVICE.EXE-3AB369BE.pf
GOOGLEUPDATERSETUP.EXE-141A2F6D.pf
GTDISETUP.EXE-2121C0FC.pf
GTDISETUP.TMP-226A115D.pf
HIJACKTHIS.EXE-31A5B052.pf
IKOWIN32.EXE-2F74A5BE.pf
IMAPI.EXE-0BF740A4.pf
INSTALL.EXE-30D649ED.pf
INTEGRATOR.EXE-2F2D54A9.pf
IOBITUPDATE.EXE-22537929.pf
IPCONFIG.EXE-2395F30B.pf
JQSNOTIFY.EXE-24AE4A36.pf
JUSCHED.EXE-25206883.pf
KDSSETUP.EXE-24866A27.pf
KDSSETUP.TMP-1A025C6F.pf
Layout.ini
LIST_KILLEM.EXE-27A7AE63.pf
LOGONUI.EXE-0AF22957.pf
MAGNIFIER.EXE-299347B0.pf
MBAM.EXE-0BEE0439.pf
MMC.EXE-39071BCC.pf
MODE.COM-31685BAE.pf
MPLAYER.EXE-3B50ED0A.pf
MSIMN.EXE-38BA891D.pf
MSNMSGR.EXE-030AB647.pf
MYMP3.EXE-18563E40.pf
NERO.EXE-11EFF40F.pf
NEROSTARTSMART.EXE-34F7076D.pf
NET.EXE-01A53C2F.pf
NET1.EXE-029B9DB4.pf
NETSH.EXE-085CFFDE.pf
NMBGMONITOR.EXE-241A04E8.pf
NMINDEXSTORESVR.EXE-22A7DEEF.pf
NOTEPAD.EXE-336351A9.pf
NS79.TMP-092F814B.pf
NS7A.TMP-2ACDACDF.pf
NTOSBOOT-B00DFAAD.pf
ONECLICKMAINTENANCE.EXE-367AA48E.pf
PCTSAUXS.EXE-1E8D77A6.pf
PCTSGUI.EXE-281B8AB7.pf
PCTSSVC.EXE-3A239962.pf
PCTSTRAY.EXE-29391146.pf
PHOTOSHOP.EXE-0234D846.pf
PICASAPHOTOVIEWER.EXE-1247CDA5.pf
PICASAUPDATER.EXE-032BAF6F.pf
REALONEMESSAGECENTER.EXE-1B5B11B5.pf
REALPLAY.EXE-1BF219BD.pf
REALSCHED.EXE-04BEC5CC.pf
RECORDINGMANAGER.EXE-34557554.pf
REG.EXE-0D2A95F7.pf
REGEDIT.EXE-1B606482.pf
REGISTRYCLEANER.EXE-0BAC2A6C.pf
REGSVR32.EXE-25EEFE2F.pf
RSTRUI.EXE-03C49A96.pf
RUNDLL32.EXE-13DA0E71.pf
RUNDLL32.EXE-13E68835.pf
RUNDLL32.EXE-188DF14E.pf
RUNDLL32.EXE-1A0CEA1E.pf
RUNDLL32.EXE-22E35C38.pf
RUNDLL32.EXE-3EB8FC85.pf
RUNDLL32.EXE-451FC2C0.pf
SC.EXE-012262AF.pf
SDSETUP.EXE-3531D1F5.pf
SDSETUP.TMP-31397BE3.pf
SEARCHWITHGOOGLEUPDATE.EXE-050F70A6.pf
SKYPE.EXE-30AE1A60.pf
SOL.EXE-1C0C14EB.pf
SOUNDMAN.EXE-19745A34.pf
SPIDER.EXE-2D998CA6.pf
SUP_SMARTRAM.EXE-3325BB95.pf
SVCHOST.EXE-3530F672.pf
SYSTEMOPTIMIZER.EXE-393C20C0.pf
TASKMGR.EXE-20256C55.pf
TMP75.TMP-142ECD79.pf
UNINS000.EXE-32AB790B.pf
UNZIP.EXE-1C4DD949.pf
UPDATE.EXE-1A7E7F45.pf
UPDATEWIZARD.EXE-1C989925.pf
USNSVC.EXE-2DF2835C.pf
VERCLSID.EXE-3667BD89.pf
VKL_1250710337-00E44AD9.pf
VKL_1250755626-2680A0BF.pf
VKL_1250755626.EXE-17961568.pf
VKL_1250765103-010E5DD9.pf
VM_STI.EXE-0DA15610.pf
WINWORD.EXE-37F6AE09.pf
WMIAPSRV.EXE-1E2270A5.pf
WMIPRVSE.EXE-28F301A9.pf
WPV011250518331.EXE-1DE8616D.pf
WPV081250688751.EXE-356A4368.pf
WSCNTFY.EXE-1B24F5EB.pf
WUAUCLT.EXE-399A8E72.pf
_EX-08.EXE-2630CB5F.pf
_EX-68.EXE-08054179.pf
_IU14D2N.TMP-055BA337.pf




¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤


je n'ai pas vu les adresses IP
0
Réponse 9 / 31
Utilisateur anonyme
 
tant mieux nous non plus mdr !!

Ferme toutes tes fenetres(y compris internet et windows live messenger) , puis :

▶ Relance List&Kill'em comme tu as fait pour l'option 1 (soit en clic droit pour vista),

mais cette fois-ci :

▶ choisis l'option 2 = Mode Destruction

laisse travailler l'outil

apres les verifications , un rapport va s'ouvrir.

▶ ferme-le.

un deuxieme rapport va s'ouvrir ,

▶ colle son contenu dans ta reponse
0
warlock
 
tadaaaaa ! le log :

Kill'em by g3n-h@ckm@n 1.0.2.6

updated on 20.08.2009 ::::: 00.30


Microsoft Windows XP [version 5.1.2600]


21/08/2009 0:07:42,64

Fichiers analysés :
=================


¤¤¤¤¤¤¤¤¤¤ Fichiers et dossiers presents :

"C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat"
"C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat"
"C:\Program Files\AGI"
"C:\WINDOWS\system32\braviax.exe"
C:\WINDOWS\System32\SET7D.tmp
C:\WINDOWS\System32\SET7E.tmp
C:\WINDOWS\System32\SET7F.tmp
C:\WINDOWS\System32\SET80.tmp
C:\WINDOWS\System32\SET81.tmp
C:\WINDOWS\System32\SETA2.tmp
C:\Documents and Settings\Xavier\LOCAL Settings\Temp\INSTALL.EXE
C:\Documents and Settings\Xavier\LOCAL Settings\Temp\LOADER.EXE
"C:\Documents and Settings\Xavier\Menu Démarrer\Programmes\Démarrage\ikowin32.exe"


¤¤¤¤¤¤¤¤¤¤ Action sur les fichiers :

Quarantaine :

AGI.Kill'em
braviax.exe.Kill'em
ikowin32.exe.Kill'em
INSTALL.EXE.Kill'em
LOADER.EXE.Kill'em
qmgr0.dat.Kill'em
qmgr1.dat.Kill'em
SET7D.tmp.Kill'em
SET7E.tmp.Kill'em
SET7F.tmp.Kill'em
SET80.tmp.Kill'em
SET81.tmp.Kill'em
SETA2.tmp.Kill'em

¤¤¤¤¤¤¤¤¤¤ Verification :



Infections :
==========


¤¤¤¤¤¤¤¤¤¤ Fichiers et dossiers presents :


¤¤¤¤¤¤¤¤¤¤ Clés de registre Presentes :


¤¤¤¤¤¤¤¤¤¤ C:\WINDOWS\Prefetch :

Layout.ini
NTOSBOOT-B00DFAAD.pf
VKL_1250710337-00E44AD9.pf
VKL_1250755626-2680A0BF.pf
VKL_1250765103-010E5DD9.pf




¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
0
Réponse 10 / 31
Utilisateur anonyme
 
bien on avance :

Télécharge OTL de OLDTimer

enregistre le sur ton Bureau.

▶ Double clic sur OTL.exe pour le lancer.

▶ Coche les 2 cases Lop et Purity

▶ Coche la case devant scan all users

▶ règle-le sur "60 Days"

▶ dans la colonne de gauche , mets tout sur all

▶Clic sur Run Scan.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

▶▶▶ NE LE POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

ou celui-ci : https://www.cjoint.com/

▶ Clique sur Parcourir et cherche le fichier ci-dessus.

▶ Clique sur Ouvrir.

▶ Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

▶ Copie ce lien dans ta réponse.

Tu feras la meme chose avec le "Extra.txt".
0
warlock
 
lien OTL

http://www.cijoint.fr/cjlink.php?file=cj200908/cijMr42xNs.txt

lien Extras

http://www.cijoint.fr/cjlink.php?file=cj200908/cij0dzg6b5.txt
0
Réponse 11 / 31
Utilisateur anonyme
 
ok cijoint.fr est infecté tu peux passer par ce lien pour me les remettre stp ?

https://www.cjoint.com/
0
Réponse 12 / 31
warlock
 
ok

voilà pour log OTL :

https://www.cjoint.com/?ivby53Nrng

et log Extras :

https://www.cjoint.com/?ivbAtvIuNW
0
Réponse 13 / 31
warlock
 
Dodo time pour moi !! see you plus tard et merci ;)
0
Réponse 14 / 31
Utilisateur anonyme
 
▶ Télécharge Zeb-Restoreet enregistre ce fichier sur le bureau.

▶-Clic droit Zeb-Restore.zip ==> Extraire tout choisis comme lieu d'enregistrement le bureau.

▶-Ouvre le dossier ZR_1.0.0.37 ==> double clic sur Zeb-Restore.exe

▶- Coche la case devant :sites de confiance

▶- Ne coche aucune autre case

▶-Clique sur Restaurer

▶-Redémarre ton PC

ensuite :

▶ Double clic sur OTL.exe pour le lancer.


▶Copie la liste qui se trouve en gras ci-dessous,

▶ colle-la dans la zone sous Customs Scans/Fixes :

:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe
wpv771250518331.exe

:services
abp480n5
catchme

:OTL
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab (Reg Error: Value error.)
O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab (Reg Error: Value error.)
O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Reg Error: Value error.)
O16 - DPF: CabBuilder http://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab (Reg Error: Key error.)
O18 - Protocol\Handler\ipp - No CLSID value found
O18 - Protocol\Handler\msdaipp - No CLSID value found
@Alternate Data Stream - 98 bytes -> C:\Documents and Settings\All Users.WINDOWS\Application Data\TEMP:88050731
@Alternate Data Stream - 135 bytes -> C:\Documents and Settings\All Users.WINDOWS\Application Data\TEMP:31D9EFCC
@Alternate Data Stream - 130 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:DFC5A2B2
@Alternate Data Stream - 123 bytes -> C:\Documents and Settings\All Users.WINDOWS\Application Data\TEMP:66E02052
@Alternate Data Stream - 114 bytes -> C:\Documents and Settings\All Users.WINDOWS\Application Data\TEMP:FA5F15C4
@Alternate Data Stream - 110 bytes -> C:\Documents and Settings\All Users.WINDOWS\Application Data\TEMP:DFC5A2B2
@Alternate Data Stream - 109 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:58CF2C8C

:reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"=-
"TkBellExe"-

:files
C:\WINDOWS\Temp\wpv771250518331.exe
C:\DOCUME~1\Xavier\LOCALS~1\Temp\INSTALL.EXE
C:\WINDOWS\vkl_1250710337
C:\WINDOWS\0535251103110107106.yux
C:\WINDOWS\aucfg.ini
C:\Documents and Settings\All Users\Application Data\{70FE9869-8D38-4EB3-8541-A735C2285CF7}
C:\Documents and Settings\All Users.WINDOWS\Application Data\{70FE9869-8D38-4EB3-8541-A735C2285CF7}

:commands
[emptytemp]
[reboot]


▶ Clique sur RunFix pour lancer la suppression.


▶ Poste le rapport.
0
Réponse 15 / 31
warlock
 
heuuuu, c'est sensé durer longtemps le fix...parce que là ça fait bien 20 mn que c'est resté bloqué en bas sous Customs Scans/Fixes sur - Data processing "TkBellExe" et sans pouvoir bouger quoi que ce soit autour, comme s'il y avait un gel d'écran sauf quand je passe sur la fenêtre du logiciel, je vois le sablier...je vais tester une autre fois...
0
Réponse 16 / 31
warlock
 
bon idem...il s'arrête à : registry processing data "TkBellExe" puis plus rien...ne reste que le fond d'écran et la fenêtre du logiciel
0
Réponse 17 / 31
Utilisateur anonyme
 
desolé erreur de syntaxe de ma part , il pouvait pas fonctionner :


:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe
wpv771250518331.exe

:services
abp480n5
catchme

:OTL
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab (Reg Error: Value error.)
O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab (Reg Error: Value error.)
O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Reg Error: Value error.)
O16 - DPF: CabBuilder http://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab (Reg Error: Key error.)
O18 - Protocol\Handler\ipp - No CLSID value found
O18 - Protocol\Handler\msdaipp - No CLSID value found
@Alternate Data Stream - 98 bytes -> C:\Documents and Settings\All Users.WINDOWS\Application Data\TEMP:88050731
@Alternate Data Stream - 135 bytes -> C:\Documents and Settings\All Users.WINDOWS\Application Data\TEMP:31D9EFCC
@Alternate Data Stream - 130 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:DFC5A2B2
@Alternate Data Stream - 123 bytes -> C:\Documents and Settings\All Users.WINDOWS\Application Data\TEMP:66E02052
@Alternate Data Stream - 114 bytes -> C:\Documents and Settings\All Users.WINDOWS\Application Data\TEMP:FA5F15C4
@Alternate Data Stream - 110 bytes -> C:\Documents and Settings\All Users.WINDOWS\Application Data\TEMP:DFC5A2B2
@Alternate Data Stream - 109 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:58CF2C8C

:reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"=-
"TkBellExe"=-

:files
C:\WINDOWS\Temp\wpv771250518331.exe
C:\DOCUME~1\Xavier\LOCALS~1\Temp\INSTALL.EXE
C:\WINDOWS\vkl_1250710337
C:\WINDOWS\0535251103110107106.yux
C:\WINDOWS\aucfg.ini
C:\Documents and Settings\All Users\Application Data\{70FE9869-8D38-4EB3-8541-A735C2285CF7}
C:\Documents and Settings\All Users.WINDOWS\Application Data\{70FE9869-8D38-4EB3-8541-A735C2285CF7}

:commands
[emptytemp]
[reboot]
0
Réponse 18 / 31
warlock
 
hop hop hop...voilà le log ;)

All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
No active process named iexplore.exe was found!
No active process named firefox.exe was found!
No active process named msnmsgr.exe was found!
No active process named Teatimer.exe was found!
No active process named wpv771250518331.exe was found!
========== SERVICES/DRIVERS ==========
Service\Driver abp480n5 not found.
Service\Driver abp480n5 not found.
Service\Driver catchme not found.
Service\Driver catchme not found.
========== OTL ==========
Starting removal of ActiveX control {8FFBE65D-2C9C-4669-84BD-5829DC0B603C}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}\ not found.
Starting removal of ActiveX control {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}\ not found.
Starting removal of ActiveX control {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}\ not found.
Starting removal of ActiveX control CabBuilder
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\CabBuilder\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\CabBuilder\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler\ipp\ not found.
File Protocol\Handler\ipp - No CLSID value found not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler\msdaipp\ not found.
File Protocol\Handler\msdaipp - No CLSID value found not found.
Unable to delete ADS C:\Documents and Settings\All Users.WINDOWS\Application Data\TEMP:88050731 .
Unable to delete ADS C:\Documents and Settings\All Users.WINDOWS\Application Data\TEMP:31D9EFCC .
Unable to delete ADS C:\Documents and Settings\All Users\Application Data\TEMP:DFC5A2B2 .
Unable to delete ADS C:\Documents and Settings\All Users.WINDOWS\Application Data\TEMP:66E02052 .
Unable to delete ADS C:\Documents and Settings\All Users.WINDOWS\Application Data\TEMP:FA5F15C4 .
Unable to delete ADS C:\Documents and Settings\All Users.WINDOWS\Application Data\TEMP:DFC5A2B2 .
Unable to delete ADS C:\Documents and Settings\All Users\Application Data\TEMP:58CF2C8C .
========== REGISTRY ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\SoundMan not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\TkBellExe deleted successfully.
========== FILES ==========
C:\WINDOWS\Temp\wpv771250518331.exe moved successfully.
File\Folder C:\DOCUME~1\Xavier\LOCALS~1\Temp\INSTALL.EXE not found.
C:\WINDOWS\vkl_1250710337 moved successfully.
C:\WINDOWS\0535251103110107106.yux moved successfully.
C:\WINDOWS\aucfg.ini moved successfully.
C:\Documents and Settings\All Users\Application Data\{70FE9869-8D38-4EB3-8541-A735C2285CF7} moved successfully.
C:\Documents and Settings\All Users.WINDOWS\Application Data\{70FE9869-8D38-4EB3-8541-A735C2285CF7} moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrateur
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

User: All Users

User: All Users.WINDOWS

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

User: Default User.WINDOWS
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

User: Invité
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
->FireFox cache emptied: 18675043 bytes

User: LocalService
->Temp folder emptied: 65984 bytes
->Temporary Internet Files folder emptied: 32902 bytes

User: LocalService.AUTORITE NT
->Temp folder emptied: 0 bytes
File delete failed. C:\Documents and Settings\LocalService.AUTORITE NT\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 2170829 bytes

User: NetworkService.AUTORITE NT
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

User: Secours
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
->FireFox cache emptied: 3367597 bytes

User: Utilisateur
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 242455 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 26478562 bytes

User: Xavier
->Temp folder emptied: 2303198 bytes
->Temporary Internet Files folder emptied: 463653 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 65523722 bytes
->Apple Safari cache emptied: 7391894 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
File delete failed. C:\WINDOWS\temp\_avast4_\Webshlock.txt scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_fc.dat scheduled to be deleted on reboot.
Windows Temp folder emptied: 265795 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 121,13 mb


OTL by OldTimer - Version 3.0.10.7 log created on 08212009_150600

Files\Folders moved on Reboot...
File\Folder C:\WINDOWS\temp\_avast4_\Webshlock.txt not found!
C:\WINDOWS\temp\Perflib_Perfdata_fc.dat moved successfully.

Registry entries deleted on Reboot...
0
Réponse 19 / 31
Utilisateur anonyme
 
repasse-le en mode sans echec stp
0
Réponse 20 / 31
warlock
 
j'ai bien galéré avec mon 17' en mode sans échec en 800x600 pour essayer d'atteindre l'espace sous Customs Scans/Fixes pour coller ton code...mais bon houla-up-Barbatruc !!

All processes killed
========== PROCESSES ==========
Process explorer.exe killed successfully!
No active process named iexplore.exe was found!
No active process named firefox.exe was found!
No active process named msnmsgr.exe was found!
No active process named Teatimer.exe was found!
No active process named wpv771250518331.exe was found!
========== SERVICES/DRIVERS ==========
Service\Driver abp480n5 not found.
Service\Driver abp480n5 not found.
Service\Driver catchme not found.
Service\Driver catchme not found.
========== OTL ==========
Starting removal of ActiveX control {8FFBE65D-2C9C-4669-84BD-5829DC0B603C}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}\ not found.
Starting removal of ActiveX control {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}\ not found.
Starting removal of ActiveX control {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}\ not found.
Starting removal of ActiveX control CabBuilder
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\CabBuilder\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\CabBuilder\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler\ipp\ not found.
File Protocol\Handler\ipp - No CLSID value found not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler\msdaipp\ not found.
File Protocol\Handler\msdaipp - No CLSID value found not found.
Unable to delete ADS C:\Documents and Settings\All Users.WINDOWS\Application Data\TEMP:88050731 .
Unable to delete ADS C:\Documents and Settings\All Users.WINDOWS\Application Data\TEMP:31D9EFCC .
Unable to delete ADS C:\Documents and Settings\All Users\Application Data\TEMP:DFC5A2B2 .
Unable to delete ADS C:\Documents and Settings\All Users.WINDOWS\Application Data\TEMP:66E02052 .
Unable to delete ADS C:\Documents and Settings\All Users.WINDOWS\Application Data\TEMP:FA5F15C4 .
Unable to delete ADS C:\Documents and Settings\All Users.WINDOWS\Application Data\TEMP:DFC5A2B2 .
Unable to delete ADS C:\Documents and Settings\All Users\Application Data\TEMP:58CF2C8C .
========== REGISTRY ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\SoundMan not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\TkBellExe not found.
========== FILES ==========
File\Folder C:\WINDOWS\Temp\wpv771250518331.exe not found.
File\Folder C:\DOCUME~1\Xavier\LOCALS~1\Temp\INSTALL.EXE not found.
File\Folder C:\WINDOWS\vkl_1250710337 not found.
File\Folder C:\WINDOWS\0535251103110107106.yux not found.
File\Folder C:\WINDOWS\aucfg.ini not found.
File\Folder C:\Documents and Settings\All Users\Application Data\{70FE9869-8D38-4EB3-8541-A735C2285CF7} not found.
File\Folder C:\Documents and Settings\All Users.WINDOWS\Application Data\{70FE9869-8D38-4EB3-8541-A735C2285CF7} not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrateur
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: All Users

User: All Users.WINDOWS

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Default User.WINDOWS
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Invité
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->FireFox cache emptied: 0 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: LocalService.AUTORITE NT
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: NetworkService.AUTORITE NT
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Secours
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->FireFox cache emptied: 0 bytes

User: Utilisateur
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes

User: Xavier
->Temp folder emptied: 38530 bytes
->Temporary Internet Files folder emptied: 136335 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 16775453 bytes
->Apple Safari cache emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
Windows Temp folder emptied: 17179 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 16,21 mb


OTL by OldTimer - Version 3.0.10.7 log created on 08212009_154520

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...
0

Discussions similaires

Trojans Sirefef.b et Sirefef.p
momarqc -
momarqc -

33 réponses
des spywares et Trojans envahissent mon pc
titite_baby -
titite_baby -

37 réponses
Trojan Barys et autres virus
WishIwasageek -
g3n-h@ckm@n -

41 réponses
infesté de trojan et autres virus, HELP!!
kary77 -
jlpjlp -

23 réponses
Activité réseau anormale: trojan et autres...
sapiens-sapiens -
sapiens-sapiens -

47 réponses