Braviax.exe et autres trojans

warlock -  
 warlock -
Bonjour amis du FLNCCI (Front de Lutte National Contre les Cagades Informatiques),

Voilà, suite à la découverte de mon firewall désactivé, j'ai remis tout ça en ordre...et me voilà croulant sous une foultitude de joyeusetés Virus, Malware, Trojans, Worms...du célèbre Braviax.exe au LOADER.exe en passant par Figaro.sys (Rootkit) ou encore des fichiers type wpv731250563654.exe/install.exe (zippé) / srpira1250675299.eXE (LdPinch-CYW)..bref après avoir utilisé AVAST / CCleaner / MalwareBytes ou encore Advanced SystemCare Pro en mode sans échec...rien à faire...la plupart reviennent après les nettoyages au redémarrage d'une nouvelle cession

donc en bon élève je suis allé passer un coup de HijackThis en mode sans échec dont voici le résultat, merci pour votre aide...

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:46:37, on 19/08/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\explorer.exe
C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe
C:\HighJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE Ezonics VGA camera
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [sysldtray] C:\windows\ld12.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Advanced SystemCare 3] "C:\Program Files\IObit\Advanced SystemCare 3\AWC.exe" /startup
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Xavier\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: ikowin32.exe
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: Ajouter au fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: CabBuilder - http://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab
O16 - DPF: {2357B3CF-7F8D-4451-8D81-FD6097610AEE} (CamfrogWEB Advanced Unicode Control) - http://activex.camfrogweb.com/advanced/2.0.2.3/cfweb_activex.camfrogweb.com-advanced-2.0.2.3_instmodule.exe
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

--
End of file - 6352 bytes
Configuration: Windows XP pro
AMD Athlon XP Barton
1Go de RAM
Firefox 3.0.11

31 réponses

  • 1
  • 2
Résumé de la discussion

Infection complexe sous Windows XP, présentant Braviax.exe, LOADER.exe et Figaro.sys (rootkit), réapparaît après nettoyage malgré Avast, CCleaner et Malwarebytes en mode sans échec et résiste au redémarrage.
Plusieurs réponses évoquent l’utilisation d’outils spécialisés comme ComboFix et OTL pour repérer et supprimer les composants indésirables, notamment des services et pilotes persistants détectés par les rapports de scan.
Les échanges indiquent des éléments suspects comme DnsFilter.sys et Soqwx32.sys, des clés Run et des DLL associées, ainsi que des ports ouverts et des services tiers à examiner.
En cas de persistance, les discussions suggèrent de prolonger l’analyse avec des outils complémentaires et de vérifier les résultats sur des systèmes séparés pour éviter la propagation.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. gen-hackman
     

    /!\ ATTENTION SUIVRE SCRUPULEUSEMENT A LA LETTRE CES INDICATIONS/!\

    ▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe"


    _________________________________________________________________
    >Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
    >>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
    =====================================================</gras>

    ▶ On va utiliser ComboFix.exe. Rends toi sur cette page web pour obtenir les liens de téléchargement, ainsi que des instructions pour exécuter l'outil:

    https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

    Avant d'utiliser ComboFix :
    ______________________________________________________________________
    >> referme les fenêtres de tous les programmes en cours.
    >> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
    >>la protection en temps réel de ton Antivirus et de tes Antispywares,
    >>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

    °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°


    ▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!

    ▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

    >> Reviens sur le forum, et

    ▶ copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

    1
    1. warlock
       
      bon pour info entre la fin de l'examen et la création du rapport, il a automatiquement rebooté l'ordi et demande de ne pas le faire manuellement (c'était pas prévu dans les infos de fonctionnement) mais ça s'est terminé correctement à priori :

      voilà donc le résultat du log :

      ComboFix 09-08-19.0C - Xavier 20/08/2009 22:21.1.1 - NTFSx86
      Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.1023.660 [GMT 2:00]
      Running from: c:\documents and settings\Xavier\Bureau\Xavier.exe
      AV: avast! antivirus 4.8.1335 [VPS 090820-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}

      WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
      .

      ((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
      .

      c:\documents and settings\All Users.WINDOWS\Bureau\avast! Antivirus.lnk
      c:\documents and settings\Xavier\Application Data\wiaserva.log
      c:\program files\Mozilla Firefox\searchplugins\search.xml
      c:\program files\WinPCap
      c:\program files\WinPCap\rpcapd.exe
      c:\recycler\S-1-5-21-1177238915-1454471165-725345543-1003
      c:\recycler\S-1-5-21-1177238915-1454471165-725345543-500
      c:\windows\010112010146120114.xe
      c:\windows\0101120101464949.xe
      c:\windows\Installer\17d71a7.msp
      c:\windows\patch.exe
      c:\windows\system32\_000006_.tmp.dll
      c:\windows\system32\_000013_.tmp.dll
      c:\windows\system32\Drivers\jgjelvf.sys
      c:\windows\system32\drivers\npf.sys
      c:\windows\system32\logs
      c:\windows\system32\Packet.dll
      c:\windows\system32\pthreadVC.dll
      c:\windows\system32\WanPacket.dll
      c:\windows\system32\wpcap.dll
      D:\autorun.inf
      D:\install.exe

      .
      ((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
      .

      -------\Legacy_NPF
      -------\Service_npf
      -------\Service_SfX


      ((((((((((((((((((((((((( Files Created from 2009-07-20 to 2009-08-20 )))))))))))))))))))))))))))))))
      .

      2009-08-20 17:38 . 2009-08-20 17:43 -------- dc----w- c:\documents and settings\All Users.WINDOWS\Application Data\Google Updater
      2009-08-20 08:07 . 2009-08-20 08:07 38016 ----a-w- c:\windows\system32\drivers\DnsFilter.sys
      2009-08-20 08:07 . 2009-08-20 08:07 -------- dc----w- c:\program files\DDnsFilter
      2009-08-19 08:58 . 2009-08-19 11:46 -------- dc----w- C:\HighJackThis
      2009-08-13 10:18 . 2009-08-03 11:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
      2009-08-13 10:18 . 2009-08-13 10:18 -------- dc----w- c:\program files\Malwarebytes' Anti-Malware
      2009-08-13 10:18 . 2009-08-03 11:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
      2009-08-13 10:13 . 2009-08-13 10:13 -------- dc----w- c:\documents and settings\Xavier\Application Data\Malwarebytes
      2009-08-13 10:13 . 2009-08-13 10:13 -------- dc----w- c:\documents and settings\All Users.WINDOWS\Application Data\Malwarebytes
      2009-08-12 17:33 . 2008-04-13 19:15 574976 -c--a-w- c:\windows\system32\dllcache\ntfs.sys
      2009-08-12 09:56 . 2009-07-10 13:27 1315328 -c----w- c:\windows\system32\dllcache\msoe.dll
      2009-08-09 10:17 . 2009-08-09 10:17 -------- dc----w- c:\documents and settings\Invité
      2009-08-05 10:25 . 2009-08-05 10:25 152576 -c--a-w- c:\documents and settings\Xavier\Application Data\Sun\Java\jre1.6.0_15\lzma.dll
      2009-07-25 19:43 . 2009-07-25 19:43 76620 ---ha-w- c:\windows\system32\mlfcache.dat

      .
      (((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
      .
      2009-08-20 20:34 . 2008-04-23 20:38 -------- dc----w- c:\documents and settings\Xavier\Application Data\Skype
      2009-08-20 19:59 . 2008-04-24 15:12 -------- dc----w- c:\documents and settings\Xavier\Application Data\Azureus
      2009-08-20 19:35 . 2008-04-25 09:54 -------- dc----w- c:\program files\Azureus
      2009-08-20 18:43 . 2008-05-21 09:56 -------- dc--a-w- c:\documents and settings\All Users.WINDOWS\Application Data\TEMP
      2009-08-20 17:38 . 2004-11-05 19:44 -------- dc----w- c:\program files\Google
      2009-08-18 16:05 . 2009-08-18 16:05 2680 -c--a-w- c:\program files\zjxnuvml.txt
      2009-08-05 10:26 . 2005-08-02 09:21 -------- dc----w- c:\program files\Java
      2009-08-05 09:00 . 2006-03-02 12:00 205312 ----a-w- c:\windows\system32\mswebdvd.dll
      2009-08-03 09:03 . 2007-11-16 17:30 -------- dc----w- c:\program files\Microsoft Silverlight
      2009-07-25 03:23 . 2008-12-22 00:08 411368 ----a-w- c:\windows\system32\deploytk.dll
      2009-07-21 19:01 . 2008-05-19 09:05 -------- dc----w- c:\program files\QuickMediaConverter
      2009-07-21 00:38 . 2008-08-08 00:24 -------- dc----w- c:\documents and settings\All Users.WINDOWS\Application Data\Soulseek
      2009-07-17 19:03 . 2009-07-17 19:03 58880 ----a-w- c:\windows\system32\SETA2.tmp
      2009-07-17 19:03 . 2006-03-02 12:00 58880 ----a-w- c:\windows\system32\atl.dll
      2009-07-13 21:43 . 2006-03-02 12:00 286208 ----a-w- c:\windows\system32\wmpdxm.dll
      2009-07-07 17:05 . 2008-04-29 00:25 -------- dc----w- c:\documents and settings\Xavier\Application Data\BSplayer
      2009-07-06 12:53 . 2004-02-02 22:17 -------- dc-h--w- c:\program files\InstallShield Installation Information
      2009-07-02 08:45 . 2009-07-13 16:37 172032 -c--a-w- c:\documents and settings\Xavier\Application Data\Mozilla\Firefox\Profiles\7t008s33.default\extensions\turntoolviewer@turntool.com\plugins\nptnt.dll
      2009-07-01 01:01 . 2009-07-01 01:01 -------- dc----w- c:\program files\Foto-Mosaik-Edda
      2009-06-30 17:01 . 2007-09-03 17:06 -------- dc----w- c:\program files\AxBx
      2009-06-30 17:00 . 2008-05-19 07:35 -------- dc----w- c:\program files\Spybot - Search & Destroy
      2009-06-30 17:00 . 2008-05-19 07:35 -------- dc----w- c:\documents and settings\All Users.WINDOWS\Application Data\Spybot - Search & Destroy
      2009-06-30 08:39 . 2008-05-02 17:19 -------- dc----w- c:\documents and settings\All Users.WINDOWS\Application Data\FLEXnet
      2009-06-30 08:27 . 2009-02-16 20:15 -------- dc----w- c:\documents and settings\Xavier\Application Data\IObit
      2009-06-26 16:50 . 2006-03-02 12:00 670720 ----a-w- c:\windows\system32\wininet.dll
      2009-06-26 16:50 . 2006-03-02 12:00 81920 ----a-w- c:\windows\system32\ieencode.dll
      2009-06-25 08:26 . 2009-06-25 08:26 56832 ----a-w- c:\windows\system32\SET7E.tmp
      2009-06-25 08:26 . 2009-06-25 08:26 54272 ----a-w- c:\windows\system32\SET7D.tmp
      2009-06-25 08:26 . 2009-06-25 08:26 147456 ----a-w- c:\windows\system32\SET7F.tmp
      2009-06-25 08:26 . 2009-06-25 08:26 136192 ----a-w- c:\windows\system32\SET80.tmp
      2009-06-25 08:26 . 2006-03-02 12:00 736768 ----a-w- c:\windows\system32\lsasrv.dll
      2009-06-25 08:26 . 2009-06-25 08:26 301568 ----a-w- c:\windows\system32\SET81.tmp
      2009-06-24 11:18 . 2006-03-02 12:00 92928 ----a-w- c:\windows\system32\drivers\ksecdd.sys
      2009-06-22 13:23 . 2009-06-22 13:23 239088 -c--a-w- c:\documents and settings\Xavier\Application Data\Mozilla\plugins\npgoogletalk.dll
      2009-06-16 14:40 . 2006-03-02 12:00 81920 ----a-w- c:\windows\system32\fontsub.dll
      2009-06-16 14:40 . 2006-03-02 12:00 119808 ----a-w- c:\windows\system32\t2embed.dll
      2009-06-15 10:44 . 2006-03-02 12:00 78848 ----a-w- c:\windows\system32\telnet.exe
      2009-06-15 10:44 . 2006-03-02 12:00 82944 ----a-w- c:\windows\system32\tlntsess.exe
      2009-06-10 14:14 . 2006-03-02 12:00 85504 ----a-w- c:\windows\system32\avifil32.dll
      2009-06-10 07:21 . 2008-04-23 19:34 2066432 ----a-w- c:\windows\system32\mstscax.dll
      2009-06-10 06:15 . 2006-03-02 12:00 132096 ----a-w- c:\windows\system32\wkssvc.dll
      2009-06-03 19:10 . 2006-03-02 12:00 1297408 ----a-w- c:\windows\system32\quartz.dll
      2009-06-02 13:52 . 2008-04-23 20:04 107896 -c--a-w- c:\documents and settings\Xavier\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
      2003-12-08 13:04 . 2005-03-16 21:36 827392 -c--a-w- c:\program files\NPSWF32.dll
      .

      ((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .
      *Note* empty entries & legit default entries are not shown
      REGEDIT4

      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]
      "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Fichiers communs\Ahead\lib\NMBgMonitor.exe" [2005-10-28 94208]
      "Advanced SystemCare 3"="c:\program files\IObit\Advanced SystemCare 3\AWC.exe" [2009-01-09 2262352]
      "Skype"="c:\program files\Skype\Phone\Skype.exe" [2009-03-11 24095528]
      "Google Update"="c:\documents and settings\Xavier\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" [2009-06-08 133104]
      "swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-08-20 39408]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]
      "BigDogPath"="c:\windows\VM_STI.EXE" [2005-01-04 40960]
      "Acrobat Assistant 8.0"="c:\program files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2007-05-10 624248]
      "SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-07-25 149280]
      "TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2009-05-27 198160]
      "SoundMan"="SOUNDMAN.EXE" - c:\windows\SOUNDMAN.EXE [2003-02-27 47104]

      [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
      "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

      c:\documents and settings\Xavier\Menu D‚marrer\Programmes\D‚marrage\
      ikowin32.exe [2008-4-14 24064]

      [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
      "NoSMBalloonTip"= 0 (0x0)

      [HKLM\~\startupfolder\C:^Documents and Settings^All Users.WINDOWS^Menu Démarrer^Programmes^Démarrage^HOTSYNCSHORTCUTNAME.lnk]
      backup=c:\windows\pss\HOTSYNCSHORTCUTNAME.lnkCommon Startup

      [HKLM\~\startupfolder\C:^Documents and Settings^All Users.WINDOWS^Menu Démarrer^Programmes^Démarrage^NETGEAR WG311v2 Smart Configuration.lnk]
      backup=c:\windows\pss\NETGEAR WG311v2 Smart Configuration.lnkCommon Startup

      [HKLM\~\startupfolder\C:^Documents and Settings^Xavier^Menu Démarrer^Programmes^Démarrage^Adobe Gamma.lnk]
      backup=c:\windows\pss\Adobe Gamma.lnkStartup

      [HKLM\~\startupfolder\C:^Documents and Settings^Xavier^Menu Démarrer^Programmes^Démarrage^ikowin32.exe]
      path=c:\documents and settings\Xavier\Menu Démarrer\Programmes\Démarrage\ikowin32.exe
      backup=c:\windows\pss\ikowin32.exeStartup
      HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\braviax
      HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msword98

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
      "Adobe LM Service"=3 (0x3)

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
      "%windir%\\system32\\sessmgr.exe"=
      "c:\\Program Files\\Azureus\\Azureus.exe"=
      "c:\\Program Files\\SoulseekNS\\slsk.exe"=
      "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
      "c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
      "c:\\Program Files\\Google\\Google Talk\\googletalk.exe"=
      "c:\\Program Files\\eBay\\Turbo Lister2\\Tl.exe"=
      "c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
      "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
      "c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
      "c:\\Program Files\\Real\\RealPlayer\\realplay.exe"=
      "c:\\WINDOWS\\system32\\mmc.exe"=
      "c:\\Documents and Settings\\Xavier\\Local Settings\\Application Data\\Google\\Google Talk Plugin\\googletalkplugin.dll"=
      "c:\\Documents and Settings\\Xavier\\Local Settings\\Application Data\\Google\\Google Talk Plugin\\googletalkplugin.exe"=
      "c:\\Program Files\\Skype\\Phone\\Skype.exe"=

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
      "3389:TCP"= 3389:TCP:*:Disabled:@xpsp2res.dll,-22009
      "8085:TCP"= 8085:TCP:ddnsfilter

      R?2 ddnsfilter;ddnsfilter;c:\windows\sySTEM32\SvchoSt.ExE -k ddnsfilter [02/03/2006 14:00 14336]
      R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [24/04/2008 13:03 114768]
      R1 DnsFilter;DnsFilter;c:\windows\system32\drivers\DnsFilter.sys [20/08/2009 10:07 38016]
      R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [24/04/2008 13:03 20560]
      S0 ntcdrdrv;ntcdrdrv;c:\windows\system32\DRIVERS\ntcdrdrv.sys --> c:\windows\system32\DRIVERS\ntcdrdrv.sys [?]
      S0 tpcdrdrv;tpcdrdrv;c:\windows\system32\DRIVERS\tpcdrdrv.sys --> c:\windows\system32\DRIVERS\tpcdrdrv.sys [?]
      S1 soqwx32;soqwx32;\??\c:\windows\system32\drivers\soqwx32.sys --> c:\windows\system32\drivers\soqwx32.sys [?]

      [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
      ddnsfilter REG_MULTI_SZ ddnsfilter

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
      UxTuneUp
      .
      Contents of the 'Scheduled Tasks' folder

      2009-04-16 c:\windows\Tasks\AppleSoftwareUpdate.job
      - c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

      2009-08-20 c:\windows\Tasks\AWC Update.job
      - c:\program files\IObit\Advanced SystemCare 3\IObitUpdate.exe [2009-02-16 20:31]

      2009-08-20 c:\windows\Tasks\Google Software Updater.job
      - c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2007-11-07 17:38]

      2009-08-20 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-299502267-1336601894-1417001333-1003Core.job
      - c:\documents and settings\Xavier\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2009-06-08 15:46]

      2009-08-20 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-299502267-1336601894-1417001333-1003UA.job
      - c:\documents and settings\Xavier\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2009-06-08 15:46]

      2009-08-14 c:\windows\Tasks\Maintenance en 1 clic.job
      - c:\program files\TuneUp Utilities 2007\SystemOptimizer.exe [2007-08-02 17:18]
      .
      .
      ------- Supplementary Scan -------
      .
      uStart Page = hxxp://www.google.com
      uDefault_Search_URL = hxxp://www.Google.com/
      uSearchMigratedDefaultURL = hxxp://www.Google.com/
      mStart Page = hxxp://www.google.com
      mSearch Bar = hxxp://www.Google.com/
      mSearchMigratedDefaultURL = hxxp://www.Google.com/
      uInternet Settings,ProxyOverride = *.local
      uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
      mSearchURL = hxxp://www.Google.com/
      IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
      IE: Ajouter au fichier PDF existant - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
      IE: Convertir en Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
      IE: Convertir la cible du lien en Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
      IE: Convertir la cible du lien en un fichier PDF existant - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
      IE: Convertir la sélection en Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
      IE: Convertir la sélection en un fichier PDF existant - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
      IE: Convertir les liens sélectionnés en fichier Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
      IE: Convertir les liens sélectionnés en un fichier PDF existant - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
      IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
      DPF: CabBuilder - hxxp://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab
      DPF: {2357B3CF-7F8D-4451-8D81-FD6097610AEE} - hxxp://activex.camfrogweb.com/advanced/2.0.2.3/cfweb_activex.camfrogweb.com-advanced-2.0.2.3_instmodule.exe
      FF - ProfilePath - c:\documents and settings\Xavier\Application Data\Mozilla\Firefox\Profiles\7t008s33.default\
      FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr
      FF - prefs.js: network.proxy.http - 127.0.0.1
      FF - prefs.js: network.proxy.http_port - 9090
      FF - prefs.js: network.proxy.type - 4
      FF - component: c:\program files\Real\RealPlayer\browserrecord\components\nprpbrowserrecordplugin.dll
      FF - plugin: c:\documents and settings\Xavier\Application Data\Mozilla\Firefox\Profiles\7t008s33.default\extensions\turntoolviewer@turntool.com\plugins\nptnt.dll
      FF - plugin: c:\documents and settings\Xavier\Application Data\Mozilla\plugins\npgoogletalk.dll
      FF - plugin: c:\documents and settings\Xavier\Local Settings\Application Data\Google\Update\1.2.183.7\npGoogleOneClick8.dll
      FF - plugin: c:\program files\Google\Google Updater\2.4.1636.7222\npCIDetect13.dll
      FF - plugin: c:\program files\Google\Picasa3\npPicasa2.dll
      FF - plugin: c:\program files\Google\Picasa3\npPicasa3.dll
      FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
      FF - plugin: c:\program files\Mozilla Firefox\plugins\npagent.dll
      FF - plugin: c:\program files\Mozilla Firefox\plugins\npMdm.dll
      FF - plugin: c:\program files\Mozilla Firefox\plugins\npmozax.dll
      .

      **************************************************************************

      catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
      Rootkit scan 2009-08-20 22:34
      Windows 5.1.2600 Service Pack 3 NTFS

      scanning hidden processes ...

      scanning hidden autostart entries ...

      scanning hidden files ...

      scan completed successfully
      hidden files: 0

      **************************************************************************
      .
      --------------------- LOCKED REGISTRY KEYS ---------------------

      [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|ÿÿÿÿÀ•€|ù•9~*]
      "C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
      .
      --------------------- DLLs Loaded Under Running Processes ---------------------

      - - - - - - - > 'explorer.exe'(796)
      c:\windows\system32\eappprxy.dll
      c:\windows\system32\WPDShServiceObj.dll
      c:\windows\system32\PortableDeviceTypes.dll
      c:\windows\system32\PortableDeviceApi.dll
      .
      ------------------------ Other Running Processes ------------------------
      .
      c:\program files\Alwil Software\Avast4\aswUpdSv.exe
      c:\program files\Alwil Software\Avast4\ashServ.exe
      c:\program files\Bonjour\mDNSResponder.exe
      c:\program files\Java\jre6\bin\jqs.exe
      c:\program files\Alwil Software\Avast4\ashWebSv.exe
      c:\program files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
      .
      **************************************************************************
      .
      Completion time: 2009-08-20 22:46 - machine was rebooted
      ComboFix-quarantined-files.txt 2009-08-20 20:46

      Pre-Run: 7 914 500 096 octets libres
      Post-Run: 7 878 090 752 octets libres

      261 --- E O F --- 2009-08-14 00:51
      0
      1. warlock > warlock
         
        sinon en regardant dans C: j'ai trouvé un fichier "List'em.txt" mais qui ne ressemble pas à l'exemple que tu m'as donné plus haut...tu veux que je te le colle aussi ?
        0
  2. gen-hackman
     
    non justement c'est le contraire warlock :)

    rien ne t'etais destiné

    ▶ Double clic sur OTL.exe pour le lancer.

    ▶Copie la liste qui se trouve en gras ci-dessous,

    ▶ colle-la dans la zone sous Customs Scans/Fixes :

    :processes
    explorer.exe
    iexplore.exe
    firefox.exe
    msnmsgr.exe
    Teatimer.exe

    :services
    ddnsfilter
    DnsFilter
    soqwx32

    :reg
    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\stan­dardprofile\GloballyOpenPorts\List]
    "8085:TCP"=-
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    "ddnsfilter"=-

    :files
    c:\windows\system32\drivers\DnsFilter.sys
    c:\program files\DDnsFilter
    c:\windows\system32\drivers\soqwx32.sys

    :commands
    [emptytemp]
    [reboot]


    ▶ Clique sur RunFix pour lancer la suppression.

    ▶ Poste le rapport.
    1
  3. gen-hackman
     
    salut :

    Desactive ton antivirus le temps de la manip ainsi que ton parefeu si présent

    ▶ Télécharge List&Kill'em et enregistre le sur ton bureau

    Il ne necessite pas d'installation

    ▶double clic (clic droit "executer en tant qu'administrateur" pour Vista) pour lancer le scan

    choisis la langue puis choisis l'option 1 = Mode Recherche

    ▶laisse travailler l'outil

    le rapport va s'afficher , une fois le scan fini

    ▶colle le contenu dans ta prochaine réponse
    0
    1. warlock
       
      bon j'ai lancé le logiciel, j'ai eu droit à une analyse rapide sur fond bleu et puis il s'est arrêté à une phrase rouge sur fond noir pendant plusieurs minutes :


      Key : HKLM\Software\Microsoft\Windows\CurrentVersion\Run : Client Server Runtime Process


      je ne sais pas si ça a une signification ou si c'est un bug ??
      0
      1. warlock > warlock
         
        bon après un coup de regedit, je me doute qu'il s'agit du dossier Hkey Local Machine, je suis bien remonté jusqu'au dossier spécifié mais je ne sais pas quoi en faire ?
        0
  4. gen-hackman
     
    il n'a pas fini sa recherche ?
    0
    1. warlock
       
      ben comme je l'ai marqué + haut, il reste sur la dernière phrase que j'ai marqué + haut..je ne sais pas à quoi ressemble la dernière phase de l'analyse. j'ai vu qu'il fouillait windows/system32 et un peu après, puis la phrase rouge sur fond noir..that's all
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. gen-hackman
     
    ok essaie de le passer en mode sans echec stp
    0
    1. warlock
       
      bon j'ai fait un petit cleaning en mode sans échec avec Advanced systemcare pro, il m'a trouvé quelques erreurs dans les registres et j'ai ensuite passé ton logiciel...rien n'y fait, il se "conclut" toujours par la même phrase rouge sur fond noir "Key : HKLM..." avec le curseur qui clignote en dessous et on ne peut rien marquer...
      0
    2. warlock
       
      Bon apparemment mes dernières analyses t'ont laissé sans voix :p j'ai réinstallé spyware doctor à partir du google pack en complément de MalwareBytes, il me trouve des trucs aussi mais après chaque redémarrage d'ordi les merdes sont tjs là...Je pars k jours du Dimanche 23 au 4 septembre, il ne me reste plus que demain pour résorber mes problèmes une bonne fois pour toute...Help !!! et j'ai tjs essayé de lancer ton logiciel, mais j'ai tjs la même finalité :'(
      0
  7. gen-hackman
     
    hello

    spyware doctor >> poubelle

    supprime listékill'em puis :

    Desactive ton antivirus le temps de la manip ainsi que ton parefeu si présent

    ▶ Télécharge List&Kill'em et enregistre-le sur ton bureau

    Il ne necessite pas d'installation

    ▶double clic (clic droit "executer en tant qu'administrateur" pour Vista) pour lancer le scan

    choisis la langue puis choisis l'option 1 = Mode Recherche

    ▶laisse travailler l'outil

    le rapport va s'afficher , une fois le scan fini

    ▶▶▶▶▶▶▶ ATTENTION : supprime ton adresse IP stp !!!!

    ici :

    [121]: KB973815 - Update
    [122]: KB973869 - Update
    [123]: XpsEPSC
    Carte(s) r‚seau: 4 carte(s) r‚seau install‚e(s).
    [01]: Bluetooth PAN Network Adapter
    Nom de la connexion : Connexion au r‚seau local 2
    tat : Support d‚connect‚
    [02]: Intel(R) PRO/1000 CT Network Connection
    Nom de la connexion : Connexion au r‚seau local
    DHCP activ‚ : Non
    Adresse(s) IP
    [01] : 192.168.0.11
    [03]: VirtualBox Host-Only Ethernet Adapter
    Nom de la connexion : VirtualBox Host-Only Network
    DHCP activ‚ : Non
    Adresse(s) IP
    [01] : 192.168.56.1
    [04]: VirtualBox Host-Only Ethernet Adapter
    Nom de la connexion : VirtualBox Host-Only Network #2
    DHCP activ‚ : Non
    Adresse(s) IP
    [01] : 192.168.217.1

    Nom de l'image PIDÿ Nom de la sessio Num‚ro d Utilisation
    ========================= ====== ================ ======== ============
    System Idle Process 0 Console 0 16 Ko
    System 4 Console 0 244 Ko
    smss.exe 916 Console 0 400 Ko
    csrss.exe 972 Console 0 4ÿ456 Ko
    winlogon.exe 996 Console 0 3ÿ536 Ko

    ▶colle le contenu dans ta prochaine réponse
    0
    1. warlock
       
      idem l'analyse s'arrête tjs à la phrase rouge sur fond noir

      Key : HKLM\Software\Microsoft\Windows\CurrentVersion\Run : Client Server Runtime Process

      et ça ne va pas au delà.. je vois qu'il passe windows puis document & settings mais je n'arrive pas à lire le moment où il s'arrête sur la phrase. :(
      0
  8. gen-hackman
     
    passe-le en mode sans echec
    0
    1. warlock
       
      Comme auparavant avec ton ancienne version du logiciel...mêmes conséquences, toujours la même phrase qui doit s'arrêter aux alentours du dossier local settings
      0
  9. gen-hackman
     
    ok maintenant tu dois pouvoir reprendre ce que je t ai donné ici

    https://forums.commentcamarche.net/forum/affich-13956694-braviax-exe-et-autres-trojans#9
    0
    1. warlock
       
      c'est sur ça marche mieux :p

      voici le log de ton logiciel List'em :

      List'em by g3n-h@ckm@n 1.0.2.6

      updated on 20.08.2009 ::::: 00.30


      Microsoft Windows XP [version 5.1.2600]


      20/08/2009 23:51:43,37


      Nom de l'h“te: XAVIER-DUCAMP
      Nom du systŠme d'exploitation: Microsoft Windows XP Professionnel
      Version du systŠme: 5.1.2600 Service Pack 3 version 2600
      Fabricant du systŠme d'exploitation: Microsoft Corporation
      Configuration du systŠme d'exploitation: Station de travail autonome
      Type de version du systŠme d'exploitation: Uniprocessor Free
      Propri‚taire enregistr‚ÿ: XAVIER
      Organisation enregistr‚eÿ:
      Identificateur de produit: 76413-019-6657864-22518
      Date d'installation originale: 23/04/2008, 21:44:36
      Dur‚e d'activit‚ systŠme: 0 jours, 1 heures, 19 minutes, 25 secondes
      Fabricant du systŠme: ASUSTeK Computer INC.
      ModŠle du systŠme: A7N8X-X
      Type du systŠme: X86-based PC
      Processeur(s): 1 processeur(s) install‚(s).
      [01]: x86 Family 6 Model 10 Stepping 0 AuthenticAMD ~1094 MHz
      Version du BIOS: Nvidia - 42302e31
      R‚pertoire Windows: C:\WINDOWS
      R‚pertoire systŠme: C:\WINDOWS\system32
      P‚riph‚rique d'amor‡age: \Device\HarddiskVolume1
      Option r‚gionale du systŠme: fr;Fran‡ais (France)
      ParamŠtres r‚gionaux d'entr‚eÿ: fr;Fran‡ais (France)
      Fuseau horaire: N/D
      M‚moire physique totale: 1ÿ023 Mo
      M‚moire physique disponible: 358 Mo
      M‚moire virtuelle : taille maximale: 2ÿ048 Mo
      M‚moire virtuelle : disponible: 2ÿ008 Mo
      M‚moire virtuelle : en cours d'utilisation: 40 Mo
      Emplacements des fichiers d'‚change: C:\pagefile.sys
      Domaine: MSHOME
      Serveur d'ouverture de session: \\XAVIER-DUCAMP
      Correctif(s): 138 Corrections install‚es.
      [01]: File 1
      [02]: File 1
      [03]: File 1
      [04]: File 1
      [05]: File 1
      [06]: File 1
      [07]: File 1
      [08]: File 1
      [09]: File 1
      [10]: File 1
      [11]: File 1
      [12]: File 1
      [13]: File 1
      [14]: File 1
      [15]: File 1
      [16]: File 1
      [17]: File 1
      [18]: File 1
      [19]: File 1
      [20]: File 1
      [21]: File 1
      [22]: File 1
      [23]: File 1
      [24]: File 1
      [25]: File 1
      [26]: File 1
      [27]: File 1
      [28]: File 1
      [29]: File 1
      [30]: File 1
      [31]: File 1
      [32]: File 1
      [33]: File 1
      [34]: File 1
      [35]: File 1
      [36]: File 1
      [37]: File 1
      [38]: File 1
      [39]: File 1
      [40]: File 1
      [41]: File 1
      [42]: File 1
      [43]: File 1
      [44]: File 1
      [45]: File 1
      [46]: File 1
      [47]: File 1
      [48]: File 1
      [49]: File 1
      [50]: File 1
      [51]: File 1
      [52]: File 1
      [53]: File 1
      [54]: File 1
      [55]: File 1
      [56]: File 1
      [57]: File 1
      [58]: File 1
      [59]: File 1
      [60]: File 1
      [61]: File 1
      [62]: Q147222
      [63]: Q936181
      [64]: Q954430
      [65]: KB929399
      [66]: KB952069_WM9
      [67]: KB973540_WM9
      [68]: KB936782_WMP10
      [69]: KB936782_WMP11
      [70]: KB939683
      [71]: KB954154_WM11
      [72]: KB959772_WM11
      [73]: KB925398_WMP64
      [74]: KB923689
      [75]: KB941569
      [76]: MSCompPackV1 - Update
      [77]: KB936929 - Service Pack
      [78]: KB923561 - Update
      [79]: KB938464 - Update
      [80]: KB946648 - Update
      [81]: KB950759 - Update
      [82]: KB950760 - Update
      [83]: KB950762 - Update
      [84]: KB950974 - Update
      [85]: KB951066 - Update
      [86]: KB951072-v2 - Update
      [87]: KB951376 - Update
      [88]: KB951376-v2 - Update
      [89]: KB951698 - Update
      [90]: KB951748 - Update
      [91]: KB951978 - Update
      [92]: KB952004 - Update
      [93]: KB952287 - Update
      [94]: KB952954 - Update
      [95]: KB953838 - Update
      [96]: KB953839 - Update
      [97]: KB954211 - Update
      [98]: KB954459 - Update
      [99]: KB954600 - Update
      [100]: KB955069 - Update
      [101]: KB955839 - Update
      [102]: KB956390 - Update
      [103]: KB956391 - Update
      [104]: KB956572 - Update
      [105]: KB956744 - Update
      [106]: KB956802 - Update
      [107]: KB956803 - Update
      [108]: KB956841 - Update
      [109]: KB957095 - Update
      [110]: KB957097 - Update
      [111]: KB958215 - Update
      [112]: KB958644 - Update
      [113]: KB958687 - Update
      [114]: KB958690 - Update
      [115]: KB959426 - Update
      [116]: KB960225 - Update
      [117]: KB960715 - Update
      [118]: KB960803 - Update
      [119]: KB960859 - Update
      [120]: KB961371 - Update
      [121]: KB961373 - Update
      [122]: KB961501 - Update
      [123]: KB963027 - Update
      [124]: KB967715 - Update
      [125]: KB968389 - Update
      [126]: KB968537 - Update
      [127]: KB969897 - Update
      [128]: KB969898 - Update
      [129]: KB970238 - Update
      [130]: KB971557 - Update
      [131]: KB971633 - Update
      [132]: KB971657 - Update
      [133]: KB972260 - Update
      [134]: KB973346 - Update
      [135]: KB973354 - Update
      [136]: KB973507 - Update
      [137]: KB973815 - Update
      [138]: KB973869 - Update
      Carte(s) r‚seau: 3 carte(s) r‚seau install‚e(s).
      [01]: Carte r‚seau 1394
      Nom de la connexion : Connexion 1394
      [02]: NVIDIA nForce MCP Networking Adapter
      Nom de la connexion : carte Ethernet
      [03]: NETGEAR WG311v2 802.11g Wireless PCI Adapter
      Nom de la connexion : Connexion r‚seau sans fil

      Nom de l'image PIDÿ Nom de la sessio Num‚ro d Utilisation
      ========================= ====== ================ ======== ============
      System Idle Process 0 Console 0 16 Ko
      System 4 Console 0 220 Ko
      smss.exe 416 Console 0 404 Ko
      csrss.exe 464 Console 0 5ÿ192 Ko
      winlogon.exe 488 Console 0 3ÿ724 Ko
      services.exe 532 Console 0 3ÿ584 Ko
      lsass.exe 544 Console 0 2ÿ280 Ko
      svchost.exe 692 Console 0 4ÿ704 Ko
      svchost.exe 772 Console 0 3ÿ704 Ko
      svchost.exe 808 Console 0 27ÿ804 Ko
      svchost.exe 852 Console 0 2ÿ236 Ko
      svchost.exe 1000 Console 0 3ÿ484 Ko
      svchost.exe 1092 Console 0 1ÿ880 Ko
      aswUpdSv.exe 1208 Console 0 344 Ko
      ashServ.exe 1256 Console 0 26ÿ468 Ko
      spoolsv.exe 1836 Console 0 5ÿ576 Ko
      mDNSResponder.exe 2024 Console 0 3ÿ480 Ko
      svchost.exe 192 Console 0 3ÿ472 Ko
      jqs.exe 324 Console 0 1ÿ396 Ko
      ashDisp.exe 1464 Console 0 10ÿ456 Ko
      SOUNDMAN.EXE 1480 Console 0 2ÿ932 Ko
      VM_STI.EXE 1508 Console 0 3ÿ104 Ko
      acrotray.exe 1512 Console 0 8ÿ300 Ko
      jusched.exe 1548 Console 0 2ÿ468 Ko
      realsched.exe 1552 Console 0 588 Ko
      NMBgMonitor.exe 1576 Console 0 4ÿ988 Ko
      AWC.exe 1640 Console 0 23ÿ224 Ko
      svchost.exe 2152 Console 0 5ÿ656 Ko
      FNPLicensingService.exe 3024 Console 0 2ÿ536 Ko
      alg.exe 3412 Console 0 3ÿ564 Ko
      explorer.exe 796 Console 0 20ÿ884 Ko
      firefox.exe 2276 Console 0 133ÿ648 Ko
      usnsvc.exe 3360 Console 0 2ÿ688 Ko
      svchost.exe 2244 Console 0 3ÿ036 Ko
      wpv771250518331.exe 440 Console 0 3ÿ576 Ko
      INSTALL.EXE 3768 Console 0 2ÿ060 Ko
      explorer.exe 3128 Console 0 5ÿ852 Ko
      svchost.exe 628 Console 0 3ÿ444 Ko
      Azureus.exe 2528 Console 0 104ÿ344 Ko
      WINWORD.EXE 652 Console 0 9ÿ520 Ko
      wuauclt.exe 988 Console 0 6ÿ924 Ko
      wscntfy.exe 2520 Console 0 2ÿ468 Ko
      List_Killem.exe 1580 Console 0 4ÿ480 Ko
      cmd.exe 2148 Console 0 1ÿ760 Ko
      wmiprvse.exe 1568 Console 0 7ÿ836 Ko
      wmiprvse.exe 584 Console 0 4ÿ856 Ko
      tasklist.exe 3836 Console 0 4ÿ428 Ko

      Infections :
      ==========


      ¤¤¤¤¤¤¤¤¤¤ Fichiers et dossiers presents :

      "C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat"
      "C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat"
      "C:\Program Files\AGI"
      "C:\WINDOWS\system32\braviax.exe"
      C:\WINDOWS\System32\SET7D.tmp
      C:\WINDOWS\System32\SET7E.tmp
      C:\WINDOWS\System32\SET7F.tmp
      C:\WINDOWS\System32\SET80.tmp
      C:\WINDOWS\System32\SET81.tmp
      C:\WINDOWS\System32\SETA2.tmp
      C:\Documents and Settings\Xavier\LOCAL Settings\Temp\INSTALL.EXE
      C:\Documents and Settings\Xavier\LOCAL Settings\Temp\LOADER.EXE
      "C:\Documents and Settings\Xavier\Menu Démarrer\Programmes\Démarrage\ikowin32.exe"

      ¤¤¤¤¤¤¤¤¤¤ Clés de registre Presentes :


      ¤¤¤¤¤¤¤¤¤¤ C:\WINDOWS\Prefetch :

      11514064.EXE-1B9D908E.pf
      ACRODIST.EXE-3A6154BC.pf
      ACROTRAY.EXE-22EC0150.pf
      ADOBELMSVC.EXE-004A961E.pf
      ADOBELM_CLEANUP.0001-261553E7.pf
      ALG.EXE-0F138680.pf
      ASHDISP.EXE-0B874892.pf
      ASHWEBSV.EXE-0548EF0A.pf
      AVAST.SETUP-032170A8.pf
      AWC.EXE-11349AC7.pf
      AZUREUS.EXE-008B7A30.pf
      BSPLAYER.EXE-14B7F352.pf
      CCLEANER.EXE-0BCE437C.pf
      CHKDSK.EXE-2CC4C59D.pf
      CMD.EXE-087B4001.pf
      CONTROL.EXE-013DBFB5.pf
      CONVERTER.EXE-292756E9.pf
      CRASHREPORTER.EXE-29951F6F.pf
      DEFRAG.EXE-273F131E.pf
      DFRGNTFS.EXE-269967DF.pf
      DRWTSN32.EXE-2B4B52AC.pf
      DWWIN.EXE-30875ADC.pf
      EDEN.EXE-0670A8CA.pf
      EXPLORER.EXE-082F38A9.pf
      FFMPEG.EXE-3779074C.pf
      FIREFOX.EXE-28641590.pf
      FNPLICENSINGSERVICE.EXE-057818D9.pf
      GOOGLE UPDATER.EXE-290B89DF.pf
      GOOGLECRASHHANDLER.EXE-201B327B.pf
      GOOGLETOOLBARNOTIFIER.EXE-3629C61D.pf
      GOOGLEUPDATE.EXE-0D5E1867.pf
      GOOGLEUPDATER.EXE-2A979B86.pf
      GOOGLEUPDATERADMINPREFS.EXE-16CFA298.pf
      GOOGLEUPDATERINSTALLMGR.EXE-1E98B0B4.pf
      GOOGLEUPDATERSERVICE.EXE-0D3352BC.pf
      GOOGLEUPDATERSERVICE.EXE-3AB369BE.pf
      GOOGLEUPDATERSETUP.EXE-141A2F6D.pf
      GTDISETUP.EXE-2121C0FC.pf
      GTDISETUP.TMP-226A115D.pf
      HIJACKTHIS.EXE-31A5B052.pf
      IKOWIN32.EXE-2F74A5BE.pf
      IMAPI.EXE-0BF740A4.pf
      INSTALL.EXE-30D649ED.pf
      INTEGRATOR.EXE-2F2D54A9.pf
      IOBITUPDATE.EXE-22537929.pf
      IPCONFIG.EXE-2395F30B.pf
      JQSNOTIFY.EXE-24AE4A36.pf
      JUSCHED.EXE-25206883.pf
      KDSSETUP.EXE-24866A27.pf
      KDSSETUP.TMP-1A025C6F.pf
      Layout.ini
      LIST_KILLEM.EXE-27A7AE63.pf
      LOGONUI.EXE-0AF22957.pf
      MAGNIFIER.EXE-299347B0.pf
      MBAM.EXE-0BEE0439.pf
      MMC.EXE-39071BCC.pf
      MODE.COM-31685BAE.pf
      MPLAYER.EXE-3B50ED0A.pf
      MSIMN.EXE-38BA891D.pf
      MSNMSGR.EXE-030AB647.pf
      MYMP3.EXE-18563E40.pf
      NERO.EXE-11EFF40F.pf
      NEROSTARTSMART.EXE-34F7076D.pf
      NET.EXE-01A53C2F.pf
      NET1.EXE-029B9DB4.pf
      NETSH.EXE-085CFFDE.pf
      NMBGMONITOR.EXE-241A04E8.pf
      NMINDEXSTORESVR.EXE-22A7DEEF.pf
      NOTEPAD.EXE-336351A9.pf
      NS79.TMP-092F814B.pf
      NS7A.TMP-2ACDACDF.pf
      NTOSBOOT-B00DFAAD.pf
      ONECLICKMAINTENANCE.EXE-367AA48E.pf
      PCTSAUXS.EXE-1E8D77A6.pf
      PCTSGUI.EXE-281B8AB7.pf
      PCTSSVC.EXE-3A239962.pf
      PCTSTRAY.EXE-29391146.pf
      PHOTOSHOP.EXE-0234D846.pf
      PICASAPHOTOVIEWER.EXE-1247CDA5.pf
      PICASAUPDATER.EXE-032BAF6F.pf
      REALONEMESSAGECENTER.EXE-1B5B11B5.pf
      REALPLAY.EXE-1BF219BD.pf
      REALSCHED.EXE-04BEC5CC.pf
      RECORDINGMANAGER.EXE-34557554.pf
      REG.EXE-0D2A95F7.pf
      REGEDIT.EXE-1B606482.pf
      REGISTRYCLEANER.EXE-0BAC2A6C.pf
      REGSVR32.EXE-25EEFE2F.pf
      RSTRUI.EXE-03C49A96.pf
      RUNDLL32.EXE-13DA0E71.pf
      RUNDLL32.EXE-13E68835.pf
      RUNDLL32.EXE-188DF14E.pf
      RUNDLL32.EXE-1A0CEA1E.pf
      RUNDLL32.EXE-22E35C38.pf
      RUNDLL32.EXE-3EB8FC85.pf
      RUNDLL32.EXE-451FC2C0.pf
      SC.EXE-012262AF.pf
      SDSETUP.EXE-3531D1F5.pf
      SDSETUP.TMP-31397BE3.pf
      SEARCHWITHGOOGLEUPDATE.EXE-050F70A6.pf
      SKYPE.EXE-30AE1A60.pf
      SOL.EXE-1C0C14EB.pf
      SOUNDMAN.EXE-19745A34.pf
      SPIDER.EXE-2D998CA6.pf
      SUP_SMARTRAM.EXE-3325BB95.pf
      SVCHOST.EXE-3530F672.pf
      SYSTEMOPTIMIZER.EXE-393C20C0.pf
      TASKMGR.EXE-20256C55.pf
      TMP75.TMP-142ECD79.pf
      UNINS000.EXE-32AB790B.pf
      UNZIP.EXE-1C4DD949.pf
      UPDATE.EXE-1A7E7F45.pf
      UPDATEWIZARD.EXE-1C989925.pf
      USNSVC.EXE-2DF2835C.pf
      VERCLSID.EXE-3667BD89.pf
      VKL_1250710337-00E44AD9.pf
      VKL_1250755626-2680A0BF.pf
      VKL_1250755626.EXE-17961568.pf
      VKL_1250765103-010E5DD9.pf
      VM_STI.EXE-0DA15610.pf
      WINWORD.EXE-37F6AE09.pf
      WMIAPSRV.EXE-1E2270A5.pf
      WMIPRVSE.EXE-28F301A9.pf
      WPV011250518331.EXE-1DE8616D.pf
      WPV081250688751.EXE-356A4368.pf
      WSCNTFY.EXE-1B24F5EB.pf
      WUAUCLT.EXE-399A8E72.pf
      _EX-08.EXE-2630CB5F.pf
      _EX-68.EXE-08054179.pf
      _IU14D2N.TMP-055BA337.pf




      ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤


      je n'ai pas vu les adresses IP
      0
  10. gen-hackman
     
    tant mieux nous non plus mdr !!

    Ferme toutes tes fenetres(y compris internet et windows live messenger) , puis :

    ▶ Relance List&Kill'em comme tu as fait pour l'option 1 (soit en clic droit pour vista),

    mais cette fois-ci :

    ▶ choisis l'option 2 = Mode Destruction

    laisse travailler l'outil

    apres les verifications , un rapport va s'ouvrir.

    ▶ ferme-le.

    un deuxieme rapport va s'ouvrir ,

    ▶ colle son contenu dans ta reponse
    0
    1. warlock
       
      tadaaaaa ! le log :

      Kill'em by g3n-h@ckm@n 1.0.2.6

      updated on 20.08.2009 ::::: 00.30


      Microsoft Windows XP [version 5.1.2600]


      21/08/2009 0:07:42,64

      Fichiers analysés :
      =================


      ¤¤¤¤¤¤¤¤¤¤ Fichiers et dossiers presents :

      "C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat"
      "C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat"
      "C:\Program Files\AGI"
      "C:\WINDOWS\system32\braviax.exe"
      C:\WINDOWS\System32\SET7D.tmp
      C:\WINDOWS\System32\SET7E.tmp
      C:\WINDOWS\System32\SET7F.tmp
      C:\WINDOWS\System32\SET80.tmp
      C:\WINDOWS\System32\SET81.tmp
      C:\WINDOWS\System32\SETA2.tmp
      C:\Documents and Settings\Xavier\LOCAL Settings\Temp\INSTALL.EXE
      C:\Documents and Settings\Xavier\LOCAL Settings\Temp\LOADER.EXE
      "C:\Documents and Settings\Xavier\Menu Démarrer\Programmes\Démarrage\ikowin32.exe"


      ¤¤¤¤¤¤¤¤¤¤ Action sur les fichiers :

      Quarantaine :

      AGI.Kill'em
      braviax.exe.Kill'em
      ikowin32.exe.Kill'em
      INSTALL.EXE.Kill'em
      LOADER.EXE.Kill'em
      qmgr0.dat.Kill'em
      qmgr1.dat.Kill'em
      SET7D.tmp.Kill'em
      SET7E.tmp.Kill'em
      SET7F.tmp.Kill'em
      SET80.tmp.Kill'em
      SET81.tmp.Kill'em
      SETA2.tmp.Kill'em

      ¤¤¤¤¤¤¤¤¤¤ Verification :



      Infections :
      ==========


      ¤¤¤¤¤¤¤¤¤¤ Fichiers et dossiers presents :


      ¤¤¤¤¤¤¤¤¤¤ Clés de registre Presentes :


      ¤¤¤¤¤¤¤¤¤¤ C:\WINDOWS\Prefetch :

      Layout.ini
      NTOSBOOT-B00DFAAD.pf
      VKL_1250710337-00E44AD9.pf
      VKL_1250755626-2680A0BF.pf
      VKL_1250765103-010E5DD9.pf




      ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
      0
  11. gen-hackman
     
    bien on avance :

    Télécharge OTL de OLDTimer

    enregistre le sur ton Bureau.

    ▶ Double clic sur OTL.exe pour le lancer.

    ▶ Coche les 2 cases Lop et Purity

    ▶ Coche la case devant scan all users

    ▶ règle-le sur "60 Days"

    ▶ dans la colonne de gauche , mets tout sur all

    ▶Clic sur Run Scan.

    A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

    Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

    ▶▶▶ NE LE POSTE PAS SUR LE FORUM

    Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

    ou celui-ci : https://www.cjoint.com/

    ▶ Clique sur Parcourir et cherche le fichier ci-dessus.

    ▶ Clique sur Ouvrir.

    ▶ Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

    est ajouté dans la page.

    ▶ Copie ce lien dans ta réponse.

    Tu feras la meme chose avec le "Extra.txt".
    0
    1. warlock
       
      lien OTL

      http://www.cijoint.fr/cjlink.php?file=cj200908/cijMr42xNs.txt

      lien Extras

      http://www.cijoint.fr/cjlink.php?file=cj200908/cij0dzg6b5.txt
      0
  12. warlock
     
    Dodo time pour moi !! see you plus tard et merci ;)
    0
  13. gen-hackman
     
    ▶ Télécharge Zeb-Restoreet enregistre ce fichier sur le bureau.

    ▶-Clic droit Zeb-Restore.zip ==> Extraire tout choisis comme lieu d'enregistrement le bureau.

    ▶-Ouvre le dossier ZR_1.0.0.37 ==> double clic sur Zeb-Restore.exe

    ▶- Coche la case devant :sites de confiance

    ▶- Ne coche aucune autre case

    ▶-Clique sur Restaurer

    ▶-Redémarre ton PC

    ensuite :

    ▶ Double clic sur OTL.exe pour le lancer.

    ▶Copie la liste qui se trouve en gras ci-dessous,

    ▶ colle-la dans la zone sous Customs Scans/Fixes :

    :processes
    explorer.exe
    iexplore.exe
    firefox.exe
    msnmsgr.exe
    Teatimer.exe
    wpv771250518331.exe

    :services
    abp480n5
    catchme

    :OTL
    O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab (Reg Error: Value error.)
    O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab (Reg Error: Value error.)
    O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Reg Error: Value error.)
    O16 - DPF: CabBuilder http://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab (Reg Error: Key error.)
    O18 - Protocol\Handler\ipp - No CLSID value found
    O18 - Protocol\Handler\msdaipp - No CLSID value found
    @Alternate Data Stream - 98 bytes -> C:\Documents and Settings\All Users.WINDOWS\Application Data\TEMP:88050731
    @Alternate Data Stream - 135 bytes -> C:\Documents and Settings\All Users.WINDOWS\Application Data\TEMP:31D9EFCC
    @Alternate Data Stream - 130 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:DFC5A2B2
    @Alternate Data Stream - 123 bytes -> C:\Documents and Settings\All Users.WINDOWS\Application Data\TEMP:66E02052
    @Alternate Data Stream - 114 bytes -> C:\Documents and Settings\All Users.WINDOWS\Application Data\TEMP:FA5F15C4
    @Alternate Data Stream - 110 bytes -> C:\Documents and Settings\All Users.WINDOWS\Application Data\TEMP:DFC5A2B2
    @Alternate Data Stream - 109 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:58CF2C8C

    :reg
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    "SoundMan"=-
    "TkBellExe"-

    :files
    C:\WINDOWS\Temp\wpv771250518331.exe
    C:\DOCUME~1\Xavier\LOCALS~1\Temp\INSTALL.EXE
    C:\WINDOWS\vkl_1250710337
    C:\WINDOWS\0535251103110107106.yux
    C:\WINDOWS\aucfg.ini
    C:\Documents and Settings\All Users\Application Data\{70FE9869-8D38-4EB3-8541-A735C2285CF7}
    C:\Documents and Settings\All Users.WINDOWS\Application Data\{70FE9869-8D38-4EB3-8541-A735C2285CF7}

    :commands
    [emptytemp]
    [reboot]


    ▶ Clique sur RunFix pour lancer la suppression.

    ▶ Poste le rapport.
    0
  14. warlock
     
    heuuuu, c'est sensé durer longtemps le fix...parce que là ça fait bien 20 mn que c'est resté bloqué en bas sous Customs Scans/Fixes sur - Data processing "TkBellExe" et sans pouvoir bouger quoi que ce soit autour, comme s'il y avait un gel d'écran sauf quand je passe sur la fenêtre du logiciel, je vois le sablier...je vais tester une autre fois...
    0
  15. warlock
     
    bon idem...il s'arrête à : registry processing data "TkBellExe" puis plus rien...ne reste que le fond d'écran et la fenêtre du logiciel
    0
  16. gen-hackman
     
    desolé erreur de syntaxe de ma part , il pouvait pas fonctionner :


    :processes
    explorer.exe
    iexplore.exe
    firefox.exe
    msnmsgr.exe
    Teatimer.exe
    wpv771250518331.exe

    :services
    abp480n5
    catchme

    :OTL
    O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab (Reg Error: Value error.)
    O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab (Reg Error: Value error.)
    O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Reg Error: Value error.)
    O16 - DPF: CabBuilder http://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab (Reg Error: Key error.)
    O18 - Protocol\Handler\ipp - No CLSID value found
    O18 - Protocol\Handler\msdaipp - No CLSID value found
    @Alternate Data Stream - 98 bytes -> C:\Documents and Settings\All Users.WINDOWS\Application Data\TEMP:88050731
    @Alternate Data Stream - 135 bytes -> C:\Documents and Settings\All Users.WINDOWS\Application Data\TEMP:31D9EFCC
    @Alternate Data Stream - 130 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:DFC5A2B2
    @Alternate Data Stream - 123 bytes -> C:\Documents and Settings\All Users.WINDOWS\Application Data\TEMP:66E02052
    @Alternate Data Stream - 114 bytes -> C:\Documents and Settings\All Users.WINDOWS\Application Data\TEMP:FA5F15C4
    @Alternate Data Stream - 110 bytes -> C:\Documents and Settings\All Users.WINDOWS\Application Data\TEMP:DFC5A2B2
    @Alternate Data Stream - 109 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:58CF2C8C

    :reg
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    "SoundMan"=-
    "TkBellExe"=-

    :files
    C:\WINDOWS\Temp\wpv771250518331.exe
    C:\DOCUME~1\Xavier\LOCALS~1\Temp\INSTALL.EXE
    C:\WINDOWS\vkl_1250710337
    C:\WINDOWS\0535251103110107106.yux
    C:\WINDOWS\aucfg.ini
    C:\Documents and Settings\All Users\Application Data\{70FE9869-8D38-4EB3-8541-A735C2285CF7}
    C:\Documents and Settings\All Users.WINDOWS\Application Data\{70FE9869-8D38-4EB3-8541-A735C2285CF7}

    :commands
    [emptytemp]
    [reboot]
    0
  17. warlock
     
    hop hop hop...voilà le log ;)

    All processes killed
    ========== PROCESSES ==========
    No active process named explorer.exe was found!
    No active process named iexplore.exe was found!
    No active process named firefox.exe was found!
    No active process named msnmsgr.exe was found!
    No active process named Teatimer.exe was found!
    No active process named wpv771250518331.exe was found!
    ========== SERVICES/DRIVERS ==========
    Service\Driver abp480n5 not found.
    Service\Driver abp480n5 not found.
    Service\Driver catchme not found.
    Service\Driver catchme not found.
    ========== OTL ==========
    Starting removal of ActiveX control {8FFBE65D-2C9C-4669-84BD-5829DC0B603C}
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}\ not found.
    Starting removal of ActiveX control {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}\ not found.
    Starting removal of ActiveX control {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}\ not found.
    Starting removal of ActiveX control CabBuilder
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\CabBuilder\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\CabBuilder\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler\ipp\ not found.
    File Protocol\Handler\ipp - No CLSID value found not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler\msdaipp\ not found.
    File Protocol\Handler\msdaipp - No CLSID value found not found.
    Unable to delete ADS C:\Documents and Settings\All Users.WINDOWS\Application Data\TEMP:88050731 .
    Unable to delete ADS C:\Documents and Settings\All Users.WINDOWS\Application Data\TEMP:31D9EFCC .
    Unable to delete ADS C:\Documents and Settings\All Users\Application Data\TEMP:DFC5A2B2 .
    Unable to delete ADS C:\Documents and Settings\All Users.WINDOWS\Application Data\TEMP:66E02052 .
    Unable to delete ADS C:\Documents and Settings\All Users.WINDOWS\Application Data\TEMP:FA5F15C4 .
    Unable to delete ADS C:\Documents and Settings\All Users.WINDOWS\Application Data\TEMP:DFC5A2B2 .
    Unable to delete ADS C:\Documents and Settings\All Users\Application Data\TEMP:58CF2C8C .
    ========== REGISTRY ==========
    Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\SoundMan not found.
    Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\TkBellExe deleted successfully.
    ========== FILES ==========
    C:\WINDOWS\Temp\wpv771250518331.exe moved successfully.
    File\Folder C:\DOCUME~1\Xavier\LOCALS~1\Temp\INSTALL.EXE not found.
    C:\WINDOWS\vkl_1250710337 moved successfully.
    C:\WINDOWS\0535251103110107106.yux moved successfully.
    C:\WINDOWS\aucfg.ini moved successfully.
    C:\Documents and Settings\All Users\Application Data\{70FE9869-8D38-4EB3-8541-A735C2285CF7} moved successfully.
    C:\Documents and Settings\All Users.WINDOWS\Application Data\{70FE9869-8D38-4EB3-8541-A735C2285CF7} moved successfully.
    ========== COMMANDS ==========

    [EMPTYTEMP]

    User: Administrateur
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 67 bytes

    User: All Users

    User: All Users.WINDOWS

    User: Default User
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 67 bytes

    User: Default User.WINDOWS
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 67 bytes

    User: Invité
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 67 bytes
    ->FireFox cache emptied: 18675043 bytes

    User: LocalService
    ->Temp folder emptied: 65984 bytes
    ->Temporary Internet Files folder emptied: 32902 bytes

    User: LocalService.AUTORITE NT
    ->Temp folder emptied: 0 bytes
    File delete failed. C:\Documents and Settings\LocalService.AUTORITE NT\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
    ->Temporary Internet Files folder emptied: 33170 bytes

    User: NetworkService
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 2170829 bytes

    User: NetworkService.AUTORITE NT
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 67 bytes

    User: Secours
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 67 bytes
    ->FireFox cache emptied: 3367597 bytes

    User: Utilisateur
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 242455 bytes
    ->Java cache emptied: 0 bytes
    ->FireFox cache emptied: 26478562 bytes

    User: Xavier
    ->Temp folder emptied: 2303198 bytes
    ->Temporary Internet Files folder emptied: 463653 bytes
    ->Java cache emptied: 0 bytes
    ->FireFox cache emptied: 65523722 bytes
    ->Apple Safari cache emptied: 7391894 bytes

    %systemdrive% .tmp files removed: 0 bytes
    %systemroot% .tmp files removed: 0 bytes
    %systemroot%\System32 .tmp files removed: 0 bytes
    File delete failed. C:\WINDOWS\temp\_avast4_\Webshlock.txt scheduled to be deleted on reboot.
    File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_fc.dat scheduled to be deleted on reboot.
    Windows Temp folder emptied: 265795 bytes
    RecycleBin emptied: 0 bytes

    Total Files Cleaned = 121,13 mb

    OTL by OldTimer - Version 3.0.10.7 log created on 08212009_150600

    Files\Folders moved on Reboot...
    File\Folder C:\WINDOWS\temp\_avast4_\Webshlock.txt not found!
    C:\WINDOWS\temp\Perflib_Perfdata_fc.dat moved successfully.

    Registry entries deleted on Reboot...
    0
  18. warlock
     
    j'ai bien galéré avec mon 17' en mode sans échec en 800x600 pour essayer d'atteindre l'espace sous Customs Scans/Fixes pour coller ton code...mais bon houla-up-Barbatruc !!

    All processes killed
    ========== PROCESSES ==========
    Process explorer.exe killed successfully!
    No active process named iexplore.exe was found!
    No active process named firefox.exe was found!
    No active process named msnmsgr.exe was found!
    No active process named Teatimer.exe was found!
    No active process named wpv771250518331.exe was found!
    ========== SERVICES/DRIVERS ==========
    Service\Driver abp480n5 not found.
    Service\Driver abp480n5 not found.
    Service\Driver catchme not found.
    Service\Driver catchme not found.
    ========== OTL ==========
    Starting removal of ActiveX control {8FFBE65D-2C9C-4669-84BD-5829DC0B603C}
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}\ not found.
    Starting removal of ActiveX control {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}\ not found.
    Starting removal of ActiveX control {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}\ not found.
    Starting removal of ActiveX control CabBuilder
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\CabBuilder\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\CabBuilder\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler\ipp\ not found.
    File Protocol\Handler\ipp - No CLSID value found not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler\msdaipp\ not found.
    File Protocol\Handler\msdaipp - No CLSID value found not found.
    Unable to delete ADS C:\Documents and Settings\All Users.WINDOWS\Application Data\TEMP:88050731 .
    Unable to delete ADS C:\Documents and Settings\All Users.WINDOWS\Application Data\TEMP:31D9EFCC .
    Unable to delete ADS C:\Documents and Settings\All Users\Application Data\TEMP:DFC5A2B2 .
    Unable to delete ADS C:\Documents and Settings\All Users.WINDOWS\Application Data\TEMP:66E02052 .
    Unable to delete ADS C:\Documents and Settings\All Users.WINDOWS\Application Data\TEMP:FA5F15C4 .
    Unable to delete ADS C:\Documents and Settings\All Users.WINDOWS\Application Data\TEMP:DFC5A2B2 .
    Unable to delete ADS C:\Documents and Settings\All Users\Application Data\TEMP:58CF2C8C .
    ========== REGISTRY ==========
    Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\SoundMan not found.
    Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\TkBellExe not found.
    ========== FILES ==========
    File\Folder C:\WINDOWS\Temp\wpv771250518331.exe not found.
    File\Folder C:\DOCUME~1\Xavier\LOCALS~1\Temp\INSTALL.EXE not found.
    File\Folder C:\WINDOWS\vkl_1250710337 not found.
    File\Folder C:\WINDOWS\0535251103110107106.yux not found.
    File\Folder C:\WINDOWS\aucfg.ini not found.
    File\Folder C:\Documents and Settings\All Users\Application Data\{70FE9869-8D38-4EB3-8541-A735C2285CF7} not found.
    File\Folder C:\Documents and Settings\All Users.WINDOWS\Application Data\{70FE9869-8D38-4EB3-8541-A735C2285CF7} not found.
    ========== COMMANDS ==========

    [EMPTYTEMP]

    User: Administrateur
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes

    User: All Users

    User: All Users.WINDOWS

    User: Default User
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes

    User: Default User.WINDOWS
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes

    User: Invité
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes
    ->FireFox cache emptied: 0 bytes

    User: LocalService
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes

    User: LocalService.AUTORITE NT
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 33170 bytes

    User: NetworkService
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes

    User: NetworkService.AUTORITE NT
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes

    User: Secours
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes
    ->FireFox cache emptied: 0 bytes

    User: Utilisateur
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes
    ->Java cache emptied: 0 bytes
    ->FireFox cache emptied: 0 bytes

    User: Xavier
    ->Temp folder emptied: 38530 bytes
    ->Temporary Internet Files folder emptied: 136335 bytes
    ->Java cache emptied: 0 bytes
    ->FireFox cache emptied: 16775453 bytes
    ->Apple Safari cache emptied: 0 bytes

    %systemdrive% .tmp files removed: 0 bytes
    %systemroot% .tmp files removed: 0 bytes
    %systemroot%\System32 .tmp files removed: 0 bytes
    Windows Temp folder emptied: 17179 bytes
    RecycleBin emptied: 0 bytes

    Total Files Cleaned = 16,21 mb

    OTL by OldTimer - Version 3.0.10.7 log created on 08212009_154520

    Files\Folders moved on Reboot...

    Registry entries deleted on Reboot...
    0
  • 1
  • 2