[virus?]registry cleaner/drive cleaner and CoRésolu/Fermé

Question

Bonjour, Depuis 2j je suis embeté par registry cleaner (ds la barre en bas à droite), des messages me demandant d'installer drive cleaner egalement suivi d'ouverture de pages (Drive cleaner, error safe, ...) et lorsque je vais sur internet des pubs a gogo et l'ajout de toolbar non desirée !!!
J'ai avast 4.7 edition familiale . 

Il faut savoir je pense egalement que lorsque le problemme est arrivé le bouton arréter avait disparu et le gestionnaire de taches... j'ai depuis reussi a les remettres en suivant les conseil que vous aviez donnés a d'autre personne.... pour le probleme de registry cleaner drive cleaner ect... les manip ayant l'air lourde et vu mon niveau d'informatik je prefere créer mon topic et vous demander directement.

Merci d'avance jespere pouvoir compter sur vous :) ...

Titousteo · Answer

Rebonjours je suis la meme personne que le message precedent ....mais inscrite sur le forum depuis :p !!! (Titou etait deja pris :@..dc Titousteo c'est en rapport ac mes etudes...d'osteo)
Juste un ptite precision lorsque le "pb" c'est révélé Avast! était inactif je ne sais pour quel raison je l'ai depuis desinstallé/reinstallé..il a trouV et viré un virus: WIN32... mais ca n'a rien chanG a mon probleme!

Merci @ bientot

Regis59 · Answer

Bienvenue sur le forum d’entraide de CommentCaMarche.net 

Nous connaissons votre situation et nous vous conseillons de ne surtout pas vous inquiéter.
De plus, au vu du nombre croissant de désinfections effectuées sur le forum, nous vous demandons un peu de patience et surtout de ne pas créer plusieurs postes pour le même problème.
Merci de votre compréhension.

Prends connaissance du contenu le lien suivant:
http://www.f-secure.com/products/license-terms/eult_fra.pdf
Tu as donc pris connaissance et accepté les conditions d'utilisations du programme blacklight qui est inclus dans le dossier compressé navilog1.zip que tu vas télécharger.
Maintenant fais un clic droit sur ce lien :
http://perso.orange.fr/il.mafioso/Navifix/navilog1.zip
Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Fais un clic droit sur navilog1.zip et choisis "tout extraire"
Ensuite double clique sur navilog1.bat
Laisses-toi guider. Au menu principal, choisis 1 et valides.
(ne fais pas le choix 2 sans notre avis/accord)
Patientes jusqu'au message :
*** Analyse Termine le ..... ***
Appuies sur une touche comme demandé, le blocnote va s'ouvrir.
Copies-colles l'intégralité dans une réponse. Refermes le blocnote.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

A+ L'osthéo :)

Titousteo · Answer

Merci de s'occuper de moi :) c gentil car moi et l'informatique ça doit etre comme toi et l'osteo (sans H lol) ..je rigole bien evidement ne le prend pas mal pleaseeee!!! 

Voila la copie du bloc note :

Search Navipromo version 1.1.5 commencé le 18/04/2007 à 19:54:27,68
 
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Documents and Settings\Titousteopathe\Bureau
avilog1
Mise a jour le 13.04.2007 a 20h00 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes *** 

 


*** Recherche dossiers dans C:\WINDOWS ***




*** Recherche dossiers dans C:\Program Files ***




*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




*** Recherche dossiers dans C:\Documents and Settings\Titousteopathe\Application Data ***



*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
https://www.f-secure.com/en


F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
======================================

Copyright 2005-2006 F-Secure Corporation. All rights reserved.
This is a beta version. It will expire on 1st of April, 2007.
Version information: 2.2.1061.

[+] Started on 04/18/07 at 19:54:28.
[+] Initializing ...
[+] Starting scan, press Ctrl-C to abort.
[+] Scanning for hidden items ......................................................
[+] Scan complete.
[+] Summary: 0 hidden item(s) found, 0 scheduled for renaming.
[+] Exited on 04/18/07 at 20:00:07 (return code = 0).


*** Recherche fichiers *** 




*** Recherche cles registre ***


Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs] 
 
 

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage] 
 
 

Recherche Clé Magic Control 
 
 
 
*** Module de Recherche complémentaire *** 
(Recherche fichiers spécifiques) 
 
1)Recherche fichiers connus:

C:\WINDOWS\system32\dccdd.bak1 trouvé ! infection Vundo possible non traité par cet outil !
C:\WINDOWS\system32\dccdd.bak2 trouvé ! infection Vundo possible non traité par cet outil !

2)Recherche Heuristique :
* 
** 
*** 
**** 
***** 
****** 
******* 
******** 
 
 
*** Analyse Terminé le 18/04/2007 à 20:00:22,65 *** 


Merci Regis @ +

Titousteo · Answer

petite precision ds le deroulement du truc ya eu de marqué ds le deroulement "........acces au registre refusé" plusieur fois de suite mais ca a continuer comme si de rien n'etait..... jespR que c'est normal !!! 
merci encor (je sans que jvai le repéter svt) !!!

Regis59 · Answer

OK :)

Télécharge VundoFix.exe (par Atribune) sur ton Bureau. 
http://www.atribune.org/ccount/click.php?id=4 

Double-clique VundoFix.exe afin de le lancer. 
Coche Run VundoFix as a task. 
Un message t'avertira que l'outil va se fermer et s'ouvrir à nouveau : clique Ok 
Clique sur le bouton Scan for Vundo. 
Lorsque le scan est complété, clique sur le bouton Remove Vundo. 
Une invite te demandera si tu veux supprimer les fichiers, clique YES 
Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers. 
Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown") ; clique OK 
Démarre ton PC à nouveau. 
Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi que ceci:

télécharge HijackThis ici: 
http://telechargement.zebulon.fr/138-hijackthis-1991.html 

Dézippe le dans un dossier prévu à cet effet. 
Par exemple C:\hijackthis < Enregistre le bien dans c : ! 
Démo : (Merci a Balltrap34 pour cette réalisation)   
http://pageperso.aol.fr/balltrap34/Hijenr.gif 
	
Lance le puis: 
clique sur "do a system scan and save logfile" (cf démo) 
faire un copier coller du log entier sur le forum

Démo : (Merci a Balltrap34 pour cette réalisation)   
http://pageperso.aol.fr/balltrap34/demohijack.htm
	
Bon courage

A+

Titousteo · Answer

alor voici la premier truc vundo :

VundoFix V6.3.19

Checking Java version...

Java version is 1.5.0.11

Scan started at 21:21:06 18/04/2007

Listing files found while scanning....

C:\WINDOWS\system32\cjpnudmu.dll
C:\WINDOWS\system32\dccdd.bak1
C:\WINDOWS\system32\dccdd.bak2
C:\WINDOWS\system32\dccdd.ini
C:\WINDOWS\system32\ddccd.dll
C:\WINDOWS\system32\fccdbbc.dll
C:\WINDOWS\system32	hjhjfut.ini
C:\WINDOWS\system32	ufjhjht.dll

Beginning removal...

 Attempting to delete C:\WINDOWS\system32\cjpnudmu.dll
C:\WINDOWS\system32\cjpnudmu.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\dccdd.bak1
C:\WINDOWS\system32\dccdd.bak1 Has been deleted!

 Attempting to delete C:\WINDOWS\system32\dccdd.bak2
C:\WINDOWS\system32\dccdd.bak2 Has been deleted!

 Attempting to delete C:\WINDOWS\system32\dccdd.ini
C:\WINDOWS\system32\dccdd.ini Has been deleted!

 Attempting to delete C:\WINDOWS\system32\ddccd.dll
C:\WINDOWS\system32\ddccd.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\fccdbbc.dll
C:\WINDOWS\system32\fccdbbc.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32	hjhjfut.ini
C:\WINDOWS\system32	hjhjfut.ini Has been deleted!

 Attempting to delete C:\WINDOWS\system32	ufjhjht.dll
C:\WINDOWS\system32	ufjhjht.dll Has been deleted!

Performing Repairs to the registry.
Done!


et le hijackthis (yavais pa plus simple comme nom? lol) :

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 23:05:57, on 18/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svhostes4.exe
C:\WINDOWS\system32	cpipmon.exe
C:\WINDOWS\system32	cpipmon.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Program Files\MSN Messenger\livecall.exe
C:\Documents and Settings\Titousteopathe\Bureau\HiJackThis_v2.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.fluo.com/?m=Titou search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://fr.yahoo.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1557B435-8242-4686-9AA3-9265BF7525A4} - C:\WINDOWS\system32\vntydiqr.dll
O2 - BHO: (no name) - {1E6F5A1C-3166-4735-B06B-1644E23D2ECe} - C:\WINDOWS\system32\krknucwj.dll
O2 - BHO: (no name) - {3E71DC86-4A5C-4C71-A185-EBE9AC2EB607} - C:\WINDOWS\system32\ddcaxxw.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {A4948561-4087-4577-822A-E0356130FF9C} - C:\WINDOWS\system32\ssqrq.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: (no name) - {E9567E45-D8F2-4E14-B1F5-335DD0DCD813} - C:\WINDOWS\system32\ddccd.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ehTray] -C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] -HDAShCut.exe
O4 - HKLM\..\Run: [NvCplDaemon] -RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] -nwiz.exe /install
O4 - HKLM\..\Run: [SynTPEnh] -C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RTHDCPL] -RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] -ALCMTR.EXE
O4 - HKLM\..\Run: [SMSERIAL] -sm56hlpr.exe
O4 - HKLM\..\Run: [Muscbrigade] -c:\Musicbrigade\Musicbrigade.exe check
O4 - HKLM\..\Run: [NeroFilterCheck] -C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] -"C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [WinampAgent] -C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [PWRISOVM.EXE] -C:\Program Files\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [QuickTime Task] -"C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [winpol] -C:\WINDOWS\system32\winpol.exe
O4 - HKLM\..\Run: [RemoteControl] -"C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] -"C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [SvcManager] svhostes4.exe
O4 - HKLM\..\Run: [tcpipmon] tcpipmon.exe
O4 - HKLM\..\Run: [PrintDrive] rundll32.exe "C:\WINDOWS\system32	ufjhjht.dll",setvm
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] -C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [fsc-reminder.exe] -C:\WINDOWSeminder\fsc-reminder.exe 2454170 6
O4 - HKCU\..\Run: [MsnMsgr] -"C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MSMSGS] -"C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O20 - Winlogon Notify: ddcaxxw - C:\WINDOWS\SYSTEM32\ddcaxxw.dll
O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32pcc.dll
O20 - Winlogon Notify: ssqrq - C:\WINDOWS\system32\ssqrq.dll
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Adobe LM Service - Unknown owner - -"C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Auto HotKey Poller - Unknown owner - C:\WINDOWS\system32\winpol.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Service de planification Media Center (ehSched) - Unknown owner - C:\WINDOWS\eHome\ehSched.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Fax - Unknown owner - C:\WINDOWS\system32\fxssvc.exe
O23 - Service: Google Updater Service (gusvc) - Unknown owner - -"C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe" (file missing)
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - -"C:\Program Files\CyberLink\Shared Files\RichVideo.exe" (file missing)
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Service Messenger Sharing Folders USN Journal Reader (usnjsvc) - Unknown owner - -"C:\Program Files\MSN Messenger\usnsvc.exe" (file missing)
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe
O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - -"C:\Program Files\Windows Media Player\WMPNetwk.exe" (file missing)

Titousteo · Answer

oupssssssssss dsl jai fais mon boulet le hijackthis jlavai mis sur le bureau..jrecommence ac le truc sous c:/  !!!!

Titousteo · Answer

Logfile of HijackThis v1.99.1
Scan saved at 23:12:14, on 18/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svhostes4.exe
C:\WINDOWS\system32	cpipmon.exe
C:\WINDOWS\system32	cpipmon.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Program Files\MSN Messenger\livecall.exe
C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.fluo.com/?m=Titou search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.yahoo.com/fsc/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ehTray] -C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] -HDAShCut.exe
O4 - HKLM\..\Run: [NvCplDaemon] -RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] -nwiz.exe /install
O4 - HKLM\..\Run: [SynTPEnh] -C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RTHDCPL] -RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] -ALCMTR.EXE
O4 - HKLM\..\Run: [SMSERIAL] -sm56hlpr.exe
O4 - HKLM\..\Run: [Muscbrigade] -c:\Musicbrigade\Musicbrigade.exe check
O4 - HKLM\..\Run: [NeroFilterCheck] -C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] -"C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [WinampAgent] -C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [PWRISOVM.EXE] -C:\Program Files\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [QuickTime Task] -"C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [winpol] -C:\WINDOWS\system32\winpol.exe
O4 - HKLM\..\Run: [RemoteControl] -"C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] -"C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [SvcManager] svhostes4.exe
O4 - HKLM\..\Run: [tcpipmon] tcpipmon.exe
O4 - HKLM\..\Run: [PrintDrive] rundll32.exe "C:\WINDOWS\system32	ufjhjht.dll",setvm
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] -C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [fsc-reminder.exe] -C:\WINDOWSeminder\fsc-reminder.exe 2454170 6
O4 - HKCU\..\Run: [MsnMsgr] -"C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MSMSGS] -"C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Unknown owner - -"C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Auto HotKey Poller - Unknown owner - C:\WINDOWS\system32\winpol.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Google Updater Service (gusvc) - Unknown owner - -"C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - -"C:\Program Files\CyberLink\Shared Files\RichVideo.exe (file missing)
O23 - Service: Service Messenger Sharing Folders USN Journal Reader (usnjsvc) - Unknown owner - -"C:\Program Files\MSN Messenger\usnsvc.exe (file missing)
O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - -"C:\Program Files\Windows Media Player\WMPNetwk.exe (file missing)

Voila dsl :s:s:s ^^

Regis59 · Answer

lol 

Télécharge ceci: (merci a S!RI pour ce programme).
http://siri.urz.free.fr/Fix/SmitfraudFix.exe
Exécute le Smitfraudfix.exe et choisit l’option 1, il va générer un rapport
Copie/colle le sur le poste stp.
----------------------------------------------------------------------------
Démarre en mode sans échec : 
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter 
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée. 
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal ! 
(Si F8 ne marche pas utilise la touche F5).  
----------------------------------------------------------------------------
Relance le programme Smitfraud,
Cette fois choisit l’option 2, répond oui a tous ;
Sauvegarde le rapport, Redémarre en mode normal, copie/colle le rapport sauvegardé sur le forum

A+

Titousteo · Answer

alors le 1er :

SmitFraudFix v2.171

Rapport fait à 23:24:29,09, 18/04/2007
Executé à partir de C:\Documents and Settings\Titousteopathe\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svhostes4.exe
C:\WINDOWS\system32	cpipmon.exe
C:\WINDOWS\system32	cpipmon.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Program Files\MSN Messenger\livecall.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\RegistryCleanerSetup.exe PRESENT !
C:\WINDOWS\system32	cpipmon.exe PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Titousteopathe


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Titousteopathe\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\TITOUS~1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Intel(R) PRO/Wireless 3945ABG Network Connection - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{9336F69A-BC11-4882-8EDF-B1BFCBEC1693}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{9336F69A-BC11-4882-8EDF-B1BFCBEC1693}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

et le 2nd :

SmitFraudFix v2.171

Rapport fait à 23:27:57,25, 18/04/2007
Executé à partir de C:\Documents and Settings\Titousteopathe\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1       localhost
127.0.0.1     rad.msn.com
127.0.0.1     rad.live.com


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\WINDOWS\system32\RegistryCleanerSetup.exe supprimé
C:\WINDOWS\system32	cpipmon.exe supprimé

»»»»»»»»»»»»»»»»»»»»»»»» DNS



»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
 
Nettoyage terminé. 
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

voilouuuu ..... bon en visuel a part mavoir niké mon fond decran et lorganisation de mes icones...je n'ai pas encor eu de ptite pub et le logo registrycleaner n'apparrait plus.... je suis tj sur forum a ton ecoute en tt ka :) ...c'est que ca mamuse preske de faire tt ca ...

Titousteo · Answer

ah si kememe encor un pti message pour ke jinstalle je sai po tro koi encore :p !!! ... I believe in U regis

Titousteo · Answer

malware alarm .... c'est le nom du truc que l'on me propose de maniere intenpestive ac une page web (pub sur malware alarm) ainsi kune autre page mai la ou le serveur reste introuvable .

Je presume que tu es parti te coucher .... je vais faire de meme merci pour ton aide @ 2m1 surement ;) !!!

Bonne nuit

Regis59 · Answer

Salut

Me voila :)
Bien dormi?

Remet un nouvel HijackThis et fais ceci:

Prends connaissance du contenu le lien suivant:
http://www.f-secure.com/products/license-terms/eult_fra.pdf
Tu as donc pris connaissance et accepté les conditions d'utilisations du programme blacklight qui est inclus dans le dossier compressé navilog1.zip que tu vas télécharger.
Maintenant fais un clic droit sur ce lien :
http://perso.orange.fr/il.mafioso/Navifix/navilog1.zip
Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Fais un clic droit sur navilog1.zip et choisis "tout extraire"
Ensuite double clique sur navilog1.bat
Laisses-toi guider. Au menu principal, choisis 1 et valides.
(ne fais pas le choix 2 sans notre avis/accord)
Patientes jusqu'au message :
*** Analyse Termine le ..... ***
Appuies sur une touche comme demandé, le blocnote va s'ouvrir.
Copies-colles l'intégralité dans une réponse. Refermes le blocnote.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

A+

Titousteo · Answer

Logfile of HijackThis v1.99.1
Scan saved at 13:33:38, on 19/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svhostes4.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.fluo.com/?m=Titou search
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ehTray] -C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] -HDAShCut.exe
O4 - HKLM\..\Run: [NvCplDaemon] -RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] -nwiz.exe /install
O4 - HKLM\..\Run: [SynTPEnh] -C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RTHDCPL] -RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] -ALCMTR.EXE
O4 - HKLM\..\Run: [SMSERIAL] -sm56hlpr.exe
O4 - HKLM\..\Run: [Muscbrigade] -c:\Musicbrigade\Musicbrigade.exe check
O4 - HKLM\..\Run: [NeroFilterCheck] -C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] -"C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [WinampAgent] -C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [PWRISOVM.EXE] -C:\Program Files\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [QuickTime Task] -"C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [winpol] -C:\WINDOWS\system32\winpol.exe
O4 - HKLM\..\Run: [RemoteControl] -"C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] -"C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [SvcManager] svhostes4.exe
O4 - HKLM\..\Run: [PrintDrive] rundll32.exe "C:\WINDOWS\system32	ufjhjht.dll",setvm
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] -C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [fsc-reminder.exe] -C:\WINDOWSeminder\fsc-reminder.exe 2454170 6
O4 - HKCU\..\Run: [MsnMsgr] -"C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MSMSGS] -"C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Unknown owner - -"C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Auto HotKey Poller - Unknown owner - C:\WINDOWS\system32\winpol.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Google Updater Service (gusvc) - Unknown owner - -"C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - -"C:\Program Files\CyberLink\Shared Files\RichVideo.exe (file missing)
O23 - Service: Service Messenger Sharing Folders USN Journal Reader (usnjsvc) - Unknown owner - -"C:\Program Files\MSN Messenger\usnsvc.exe (file missing)
O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - -"C:\Program Files\Windows Media Player\WMPNetwk.exe (file missing)

voila le hijackthis jfai lautre truc de suite....

Titousteo · Answer

Search Navipromo version 1.1.5 commencé le 19/04/2007 à 13:36:07,29
 
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Documents and Settings\Titousteopathe\Bureau
avilog1
Mise a jour le 13.04.2007 a 20h00 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes *** 

 


*** Recherche dossiers dans C:\WINDOWS ***




*** Recherche dossiers dans C:\Program Files ***




*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




*** Recherche dossiers dans C:\Documents and Settings\Titousteopathe\Application Data ***



*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
https://www.f-secure.com/en


F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
======================================

Copyright 2005-2006 F-Secure Corporation. All rights reserved.
This is a beta version. It will expire on 1st of April, 2007.
Version information: 2.2.1061.

[+] Started on 04/19/07 at 13:36:08.
[+] Initializing ...
[+] Starting scan, press Ctrl-C to abort.
[+] Scanning for hidden items ......................................................
[+] Scan complete.
[+] Summary: 0 hidden item(s) found, 0 scheduled for renaming.
[+] Exited on 04/19/07 at 13:41:44 (return code = 0).


*** Recherche fichiers *** 




*** Recherche cles registre ***


Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs] 
 
 

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage] 
 
 

Recherche Clé Magic Control 
 
 
 
*** Module de Recherche complémentaire *** 
(Recherche fichiers spécifiques) 
 
1)Recherche fichiers connus:

C:\WINDOWS\system32\qrqss.bak1 trouvé ! infection Vundo possible non traité par cet outil !

2)Recherche Heuristique :
* 
** 
*** 
**** 
***** 
****** 
******* 
******** 
 
 
*** Analyse Terminé le 19/04/2007 à 13:41:57,89 *** 


voila le 2nd truc... il ma encore sorti plusieur fois la phrase : 
"erreur : le systeme n'a pu trouV la clé ou la valeur registre spécifié" !!! Et il ya un autre truc qui magresse lol c win"cheplutrokoi" pro et doctor"machin" ....

Sinon j'ai bien dormi cava chui en pleine forme.... on peut discuter en meme tps c'est sympa..j'ai vu que t'avais entre 18 et 24 ans..dc comme moi tu fais des etudes d'info ?? :p ou ta pitetre deja fini...

Regis59 · Answer

hello

Non je suis dans le commerce lol
Tu fais quoi comme étude d infos?

Télécharge VundoFix.exe (par Atribune) sur ton Bureau. 
http://www.atribune.org/ccount/click.php?id=4 

Double-clique VundoFix.exe afin de le lancer. 
Coche Run VundoFix as a task. 
Un message t'avertira que l'outil va se fermer et s'ouvrir à nouveau : clique Ok 
Clique sur le bouton Scan for Vundo. 
Lorsque le scan est complété, clique sur le bouton Remove Vundo. 
Une invite te demandera si tu veux supprimer les fichiers, clique YES 
Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers. 
Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown") ; clique OK 
Démarre ton PC à nouveau. 
Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.

A+

Titousteo · Answer

loool ah non je j'avais oublier le point entre "comme moi" et  "tu fais des etude d'infos?"  ..vu mon niveau dinformatik tu aurrais pu t'en douter !!! :p Moi jfais des etudes d'osteopathie ..mon dada c'est plus le corps humain quoi ;) !!!

Bon jfais les ptis trucs et jbalance les rapports merci !!!

Titousteo · Answer

alor voila le vundo :


VundoFix V6.3.19

Checking Java version...

Java version is 1.5.0.11

Scan started at 21:21:06 18/04/2007

Listing files found while scanning....

C:\WINDOWS\system32\cjpnudmu.dll
C:\WINDOWS\system32\dccdd.bak1
C:\WINDOWS\system32\dccdd.bak2
C:\WINDOWS\system32\dccdd.ini
C:\WINDOWS\system32\ddccd.dll
C:\WINDOWS\system32\fccdbbc.dll
C:\WINDOWS\system32	hjhjfut.ini
C:\WINDOWS\system32	ufjhjht.dll

Beginning removal...

 Attempting to delete C:\WINDOWS\system32\cjpnudmu.dll
C:\WINDOWS\system32\cjpnudmu.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\dccdd.bak1
C:\WINDOWS\system32\dccdd.bak1 Has been deleted!

 Attempting to delete C:\WINDOWS\system32\dccdd.bak2
C:\WINDOWS\system32\dccdd.bak2 Has been deleted!

 Attempting to delete C:\WINDOWS\system32\dccdd.ini
C:\WINDOWS\system32\dccdd.ini Has been deleted!

 Attempting to delete C:\WINDOWS\system32\ddccd.dll
C:\WINDOWS\system32\ddccd.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\fccdbbc.dll
C:\WINDOWS\system32\fccdbbc.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32	hjhjfut.ini
C:\WINDOWS\system32	hjhjfut.ini Has been deleted!

 Attempting to delete C:\WINDOWS\system32	ufjhjht.dll
C:\WINDOWS\system32	ufjhjht.dll Has been deleted!

Performing Repairs to the registry.
Done!

VundoFix V6.3.19

Checking Java version...

Java version is 1.5.0.11

Scan started at 23:13:44 19/04/2007

Listing files found while scanning....

C:\WINDOWS\system32\qrqss.bak1
C:\WINDOWS\system32\qrqss.bak2
C:\WINDOWS\system32\qrqss.ini
C:\WINDOWS\system32\ssqrq.dll

Beginning removal...

 Attempting to delete C:\WINDOWS\system32\qrqss.bak1
C:\WINDOWS\system32\qrqss.bak1 Has been deleted!

 Attempting to delete C:\WINDOWS\system32\qrqss.bak2
C:\WINDOWS\system32\qrqss.bak2 Has been deleted!

 Attempting to delete C:\WINDOWS\system32\qrqss.ini
C:\WINDOWS\system32\qrqss.ini Has been deleted!

 Attempting to delete C:\WINDOWS\system32\ssqrq.dll
C:\WINDOWS\system32\ssqrq.dll Has been deleted!

Performing Repairs to the registry.
Done!

et le hijackthis :

Logfile of HijackThis v1.99.1
Scan saved at 23:22:19, on 19/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svhostes4.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\System32\svchost.exe
C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.fluo.com/?m=Titou search
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1557B435-8242-4686-9AA3-9265BF7525A4} - C:\WINDOWS\system32\vntydiqr.dll
O2 - BHO: (no name) - {1E6F5A1C-3166-4735-B06B-1644E23D2ECe} - C:\WINDOWS\system32\krknucwj.dll
O2 - BHO: (no name) - {3E71DC86-4A5C-4C71-A185-EBE9AC2EB607} - C:\WINDOWS\system32\ddcaxxw.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: (no name) - {E9567E45-D8F2-4E14-B1F5-335DD0DCD813} - C:\WINDOWS\system32\ddccd.dll (file missing)
O2 - BHO: (no name) - {ED593E05-0872-4290-B76C-7473B5D56B6E} - C:\WINDOWS\system32\ssqrq.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ehTray] -C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] -HDAShCut.exe
O4 - HKLM\..\Run: [NvCplDaemon] -RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] -nwiz.exe /install
O4 - HKLM\..\Run: [SynTPEnh] -C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RTHDCPL] -RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] -ALCMTR.EXE
O4 - HKLM\..\Run: [SMSERIAL] -sm56hlpr.exe
O4 - HKLM\..\Run: [Muscbrigade] -c:\Musicbrigade\Musicbrigade.exe check
O4 - HKLM\..\Run: [NeroFilterCheck] -C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] -"C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [WinampAgent] -C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [PWRISOVM.EXE] -C:\Program Files\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [QuickTime Task] -"C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [winpol] -C:\WINDOWS\system32\winpol.exe
O4 - HKLM\..\Run: [RemoteControl] -"C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] -"C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [SvcManager] svhostes4.exe
O4 - HKLM\..\Run: [PrintDrive] rundll32.exe "C:\WINDOWS\system32	ufjhjht.dll",setvm
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] -C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [fsc-reminder.exe] -C:\WINDOWSeminder\fsc-reminder.exe 2454170 6
O4 - HKCU\..\Run: [MsnMsgr] -"C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MSMSGS] -"C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: ddcaxxw - C:\WINDOWS\SYSTEM32\ddcaxxw.dll
O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32pcc.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Unknown owner - -"C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Auto HotKey Poller - Unknown owner - C:\WINDOWS\system32\winpol.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Google Updater Service (gusvc) - Unknown owner - -"C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - -"C:\Program Files\CyberLink\Shared Files\RichVideo.exe (file missing)
O23 - Service: Service Messenger Sharing Folders USN Journal Reader (usnjsvc) - Unknown owner - -"C:\Program Files\MSN Messenger\usnsvc.exe (file missing)
O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - -"C:\Program Files\Windows Media Player\WMPNetwk.exe (file missing)

voila ....

Regis59 · Answer

Hello

Mdr ! Ben ca aurai ete possible que tu connaisses pas la desinfection mais autre chose en info lol
Finalement osthéo, c est un peu de l info lol

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe 
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
•	Redémarre ton ordinateur
•	Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
•	A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
•	Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
•	Choisis ton compte.
Déroule la liste des instructions ci-dessous :
•	Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
•	Appuie sur Y pour commencer le processus de nettoyage.
•	Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
•	Appuie sur une touche pour redémarrer le PC.
•	Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
•	Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
•	Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
•	Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.

•	Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !

Titousteo · Answer

alor :


SDFix: Version 1.79

Run by Titousteopathe - 19/04/2007 - 23:37:57,15

Microsoft Windows XP [version 5.1.2600]

Running From: C:\DOCUME~1\TITOUS~1\Bureau\SDFix

Safe Mode:
Checking Services: 

Name:
Auto HotKey Poller

ImagePath:
C:\WINDOWS\system32\winpol.exe 

Auto HotKey Poller - Deleted

Killing PID 180 'smss.exe'
Killing PID 256 'winlogon.exe'
Killing PID 256 'winlogon.exe'


Restoring Windows Registry Values
Restoring Windows Default Hosts File


Rebooting...

Normal Mode:
Checking Files:

Below files will be copied to Backups folder then removed:

C:\741735~1  - Deleted
C:\WINDOWS\system32pcc.dll - Deleted
C:\WINDOWS\system32\winpol.exe - Deleted



Removing Temp Files

ADS Check:

Checking if ADS is attached to system32 Folder 
C:\WINDOWS\system32
No streams found.

Checking if ADS is attached to svchost.exe
C:\WINDOWS\system32\svchost.exe
No streams found.



                                 Final Check:

Remaining Services:
------------------



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Program Files\MSN Messenger\msncall.exe"="C:\Program Files\MSN Messenger\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"
"C:\Program Files\Azureus\Azureus.exe"="C:\Program Files\Azureus\Azureus.exe:*:Enabled:Azureus"
"C:\Program Files\Messenger\msmsgs.exe"="C:\Program Files\Messenger\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\Program Files\Shareaza\Shareaza.exe"="C:\Program Files\Shareaza\Shareaza.exe:*:Enabled:Shareaza"
"C:\WINDOWS\system32\dpvsetup.exe"="C:\WINDOWS\system32\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test"
"C:\WINDOWS\system32\rundll32.exe"="C:\WINDOWS\system32\rundll32.exe:*:Disabled:Exécuter une DLL en tant qu'application"
"C:\Program Files\MSN Messenger\msnmsgr.exe"="C:\Program Files\MSN Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\Program Files\MSN Messenger\livecall.exe"="C:\Program Files\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\Program Files\CyberLink\PowerDVD\PowerDVD.exe"="C:\Program Files\CyberLink\PowerDVD\PowerDVD.exe:*:Enabled:CyberLink PowerDVD"
"c:\windows\system32\svhostes4.exe"="c:\windows\system32\svhostes4.exe:*:Enabled:svhostes4"


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Program Files\MSN Messenger\msncall.exe"="C:\Program Files\MSN Messenger\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"
"C:\Program Files\MSN Messenger\msnmsgr.exe"="C:\Program Files\MSN Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\Program Files\MSN Messenger\livecall.exe"="C:\Program Files\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"


Remaining Files:
---------------

Backups Folder: - C:\DOCUME~1\TITOUS~1\Bureau\SDFix\backups\backups.zip

Checking For Files with Hidden Attributes:

C:\Documents and Settings\Titousteopathe\Local Settings\Application Data\Microsoft\Messenger\mcrae22@wanadoo.fr\Sharing Folders\indofane78@hotmail.com\Thumbs.db
C:\Documents and Settings\Titousteopathe\Local Settings\Application Data\Microsoft\Messenger\mcrae22@wanadoo.fr\Sharing Folderseacire@hotmail.com\Thumbs.db
C:\Documents and Settings\Titousteopathe\Mes documents\Ma musique\My Chemical Romance - The Black Parade [2006] [Rock] [www.file24ever.com]\AlbumArtSmall.jpg
C:\Documents and Settings\Titousteopathe\Mes documents\Ma musique\My Chemical Romance - The Black Parade [2006] [Rock] [www.file24ever.com]\AlbumArt_{43BB9AFF-6B2F-4C7B-B566-A650D959FDDB}_Large.jpg
C:\Documents and Settings\Titousteopathe\Mes documents\Ma musique\My Chemical Romance - The Black Parade [2006] [Rock] [www.file24ever.com]\AlbumArt_{43BB9AFF-6B2F-4C7B-B566-A650D959FDDB}_Small.jpg
C:\Documents and Settings\Titousteopathe\Mes documents\Ma musique\My Chemical Romance - The Black Parade [2006] [Rock] [www.file24ever.com]\desktop.ini
C:\Documents and Settings\Titousteopathe\Mes documents\Ma musique\My Chemical Romance - The Black Parade [2006] [Rock] [www.file24ever.com]\Folder.jpg
C:\WINDOWS\system32\vtutu.dll

                                 Finished

et le hijackthis :

Logfile of HijackThis v1.99.1
Scan saved at 23:55:40, on 19/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32
otepad.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
C:\WINDOWS\System32\svchost.exe
C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.fluo.com/?m=Titou search
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ehTray] -C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] -HDAShCut.exe
O4 - HKLM\..\Run: [NvCplDaemon] -RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] -nwiz.exe /install
O4 - HKLM\..\Run: [SynTPEnh] -C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RTHDCPL] -RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] -ALCMTR.EXE
O4 - HKLM\..\Run: [SMSERIAL] -sm56hlpr.exe
O4 - HKLM\..\Run: [Muscbrigade] -c:\Musicbrigade\Musicbrigade.exe check
O4 - HKLM\..\Run: [NeroFilterCheck] -C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] -"C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [WinampAgent] -C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [PWRISOVM.EXE] -C:\Program Files\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [QuickTime Task] -"C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RemoteControl] -"C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] -"C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [PrintDrive] rundll32.exe "C:\WINDOWS\system32	ufjhjht.dll",setvm
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] -C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [fsc-reminder.exe] -C:\WINDOWSeminder\fsc-reminder.exe 2454170 6
O4 - HKCU\..\Run: [MsnMsgr] -"C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MSMSGS] -"C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Unknown owner - -"C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Google Updater Service (gusvc) - Unknown owner - -"C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - -"C:\Program Files\CyberLink\Shared Files\RichVideo.exe (file missing)
O23 - Service: Service Messenger Sharing Folders USN Journal Reader (usnjsvc) - Unknown owner - -"C:\Program Files\MSN Messenger\usnsvc.exe (file missing)
O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - -"C:\Program Files\Windows Media Player\WMPNetwk.exe (file missing)


et osteopathe pas de h entre ost"h"eo ;) merci hihihihi

Regis59 · Answer

ousp désolé pour la faute !

Vas sur le site https://virusscan.jotti.org/ 
- Clic en haut à droite sur "Parcourir", navigue dans les dossiers et sélectionne ce fichier :
 c:\windows\system32\svhostes4.exe 
- Clic sur submit toujours en haut à droite 
- Le scan va se lancer, ça va prendre un petit instant 
- En bas, tu as le résultat du scan, copie/colle le résultat complet du scan ici. 
Aide : https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId662799

De même avec:
C:\WINDOWS\system32\vtutu.dll

A+

Titousteo · Answer

Scanner results  
Scan taken on 20 Apr 2007 11:44:49 (GMT)  
AntiVir  Found TR/FirePass.E  
ArcaVir  Found nothing 
Avast  Found nothing 
AVG Antivirus  Found nothing 
BitDefender  Found nothing 
ClamAV  Found nothing 
Dr.Web  Found nothing 
F-Prot Antivirus  Found Possibly a new variant of W32/CodeCru-based!Maximus  
F-Secure Anti-Virus  Found Backdoor.Win32.Agent.acx  
Fortinet  Found W32/Agent.ACX!tr.bdr  
Kaspersky Anti-Virus  Found Backdoor.Win32.Agent.acx  
NOD32  Found nothing 
Norman Virus Control  Found nothing 
Panda Antivirus  Found Trj/FireByPass.BG  
Rising Antivirus  Found nothing 
VirusBuster  Found nothing 
VBA32  Found nothing 
   
et pour le 2nd dsl mais jn'ai pas trouV de vtutu ds mon systeme32 :s !!!

PS: quand j'ai allumé ordi il ma affiché une ptite fenetre runDLL ac marqué dedans : C:/windows/systeme32/tufjhjht.dll le module spécifik est  introuvable !

Voila merci encore a toi et tkt jt'en veux pas tro pour la faute lol

Regis59 · Answer

OK

Supprime:
 c:\windows\system32\svhostes4.exe 

Et remet un hijack this

a+

Titousteo · Answer

Logfile of HijackThis v1.99.1
Scan saved at 15:54:49, on 20/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\MSN Messenger\livecall.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.fluo.com/?m=Titou search
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ehTray] -C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] -HDAShCut.exe
O4 - HKLM\..\Run: [NvCplDaemon] -RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] -nwiz.exe /install
O4 - HKLM\..\Run: [SynTPEnh] -C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RTHDCPL] -RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] -ALCMTR.EXE
O4 - HKLM\..\Run: [SMSERIAL] -sm56hlpr.exe
O4 - HKLM\..\Run: [Muscbrigade] -c:\Musicbrigade\Musicbrigade.exe check
O4 - HKLM\..\Run: [NeroFilterCheck] -C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] -"C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [WinampAgent] -C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [PWRISOVM.EXE] -C:\Program Files\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [QuickTime Task] -"C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RemoteControl] -"C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] -"C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [PrintDrive] rundll32.exe "C:\WINDOWS\system32	ufjhjht.dll",setvm
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] -C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [fsc-reminder.exe] -C:\WINDOWSeminder\fsc-reminder.exe 2454170 6
O4 - HKCU\..\Run: [MsnMsgr] -"C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MSMSGS] -"C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Unknown owner - -"C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Google Updater Service (gusvc) - Unknown owner - -"C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - -"C:\Program Files\CyberLink\Shared Files\RichVideo.exe (file missing)
O23 - Service: Service Messenger Sharing Folders USN Journal Reader (usnjsvc) - Unknown owner - -"C:\Program Files\MSN Messenger\usnsvc.exe (file missing)
O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - -"C:\Program Files\Windows Media Player\WMPNetwk.exe (file missing)

alor docteur?

Regis59 · Answer

Re

Fixe ceci:
O4 - HKLM\..\Run: [PrintDrive] rundll32.exe "C:\WINDOWS\system32	ufjhjht.dll",setvm 

Supprime:
C:\WINDOWS\system32	ufjhjht.dll

Dis moi ou en sont tes soucis?

A+

Titousteo · Answer

merci docteur info !!!

alor g fixé la ligne que tu ma cité mais impossible de trouV le pti dll a suprmer ds le systeme32 (meme ac les fichier cachés pas cachés..) mais c'est le meme dll ke mon ordi me disai manquant quand jallumais pour le moment pas de gros souci...jte tiens au courant ds la soirée !!!

Titousteo · Answer

Slt dc j'ai redemaré ordi pour voir un peu il tourne bien plus de message d'erreur a louverture session ... par contre j'ai tj des pub (winantiviepro une page de serveur introuvable... ) c'est pas bien mechant mai si ya un moyen de les viré :) je prend !!!

Regis59 · Answer

oki

Remet un SD FIX Stp

a+

Titousteo · Answer

SDFix: Version 1.79

Run by Titousteopathe - 20/04/2007 - 23:38:36,40

Microsoft Windows XP [version 5.1.2600]

Running From: C:\DOCUME~1\TITOUS~1\Bureau\SDFix

Safe Mode:
Checking Services: 






Restoring Windows Registry Values
Restoring Windows Default Hosts File


Rebooting...

Normal Mode:
Checking Files:

No Trojan Files Found...




Removing Temp Files

ADS Check:

Checking if ADS is attached to system32 Folder 
C:\WINDOWS\system32
No streams found.

Checking if ADS is attached to svchost.exe
C:\WINDOWS\system32\svchost.exe
No streams found.



                                 Final Check:

Remaining Services:
------------------



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Program Files\MSN Messenger\msncall.exe"="C:\Program Files\MSN Messenger\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"
"C:\Program Files\Azureus\Azureus.exe"="C:\Program Files\Azureus\Azureus.exe:*:Enabled:Azureus"
"C:\Program Files\Messenger\msmsgs.exe"="C:\Program Files\Messenger\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\Program Files\Shareaza\Shareaza.exe"="C:\Program Files\Shareaza\Shareaza.exe:*:Enabled:Shareaza"
"C:\WINDOWS\system32\dpvsetup.exe"="C:\WINDOWS\system32\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test"
"C:\WINDOWS\system32\rundll32.exe"="C:\WINDOWS\system32\rundll32.exe:*:Disabled:Exécuter une DLL en tant qu'application"
"C:\Program Files\MSN Messenger\msnmsgr.exe"="C:\Program Files\MSN Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\Program Files\MSN Messenger\livecall.exe"="C:\Program Files\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\Program Files\CyberLink\PowerDVD\PowerDVD.exe"="C:\Program Files\CyberLink\PowerDVD\PowerDVD.exe:*:Enabled:CyberLink PowerDVD"
"c:\windows\system32\svhostes4.exe"="c:\windows\system32\svhostes4.exe:*:Enabled:svhostes4"


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Program Files\MSN Messenger\msncall.exe"="C:\Program Files\MSN Messenger\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"
"C:\Program Files\MSN Messenger\msnmsgr.exe"="C:\Program Files\MSN Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\Program Files\MSN Messenger\livecall.exe"="C:\Program Files\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"


Remaining Files:
---------------


Checking For Files with Hidden Attributes:

C:\Documents and Settings\Titousteopathe\Local Settings\Application Data\Microsoft\Messenger\mcrae22@wanadoo.fr\Sharing Folders\indofane78@hotmail.com\Thumbs.db
C:\Documents and Settings\Titousteopathe\Local Settings\Application Data\Microsoft\Messenger\mcrae22@wanadoo.fr\Sharing Folderseacire@hotmail.com\Thumbs.db
C:\Documents and Settings\Titousteopathe\Mes documents\Ma musique\My Chemical Romance - The Black Parade [2006] [Rock] [www.file24ever.com]\AlbumArtSmall.jpg
C:\Documents and Settings\Titousteopathe\Mes documents\Ma musique\My Chemical Romance - The Black Parade [2006] [Rock] [www.file24ever.com]\AlbumArt_{43BB9AFF-6B2F-4C7B-B566-A650D959FDDB}_Large.jpg
C:\Documents and Settings\Titousteopathe\Mes documents\Ma musique\My Chemical Romance - The Black Parade [2006] [Rock] [www.file24ever.com]\AlbumArt_{43BB9AFF-6B2F-4C7B-B566-A650D959FDDB}_Small.jpg
C:\Documents and Settings\Titousteopathe\Mes documents\Ma musique\My Chemical Romance - The Black Parade [2006] [Rock] [www.file24ever.com]\desktop.ini
C:\Documents and Settings\Titousteopathe\Mes documents\Ma musique\My Chemical Romance - The Black Parade [2006] [Rock] [www.file24ever.com]\Folder.jpg
C:\WINDOWS\system32\vtutu.dll
C:\WINDOWS\system32\ututv.tmp

                                 Finished


:)

Titousteo · Answer

Faut savoir que j'ai lutter et jai du aller chercher SDFix depuis le gestionnaire de tache en mode sans echac car je ne voyais pas le bureau j'espere que ca change rien a la procedure !

@+

Regis59 · Answer

lol

Telecharge:
http://www.billsway.com/vbspage/vbsfiles/FileInfo.zip
Une fois que fileinfo.vbs est lancé, il demande sur quel dique dur on veut rechercher le fichier.
Soit on tape la lettre du lecteur, soit on tape * pour rechercher sur tous les DD. Tape *
Et on valide avec OK.

Ensuite il faut taper le nom du fichier sans l'extention:
svhostes4

Copie colle le rapport.

A+

Titousteo · Answer

*No match found for svhostes4*

:( snif...avast ma encore trouV un cheval de troie win32 au demarage de l'ordi (mis en quarantaine...) (il etait localisé ds un fichier temp) 

Voila bon jvai allé faire mon citoyen en allant voT ;) !!!

@ +

Regis59 · Answer

lol

Ayé t'as voté? LOL

Execute ceci:

Clean Up 40:
http://pageperso.aol.fr/balltrap34/CleanUp40.exe 
-aide en image:(merci à Balltrap34).
 http://pageperso.aol.fr/balltrap34/democleanup.htm

Et remet un hijackthis

a+

Titousteo · Answer

Logfile of HijackThis v1.99.1
Scan saved at 13:24:32, on 22/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.fluo.com/?m=Titou search
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ehTray] -C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] -HDAShCut.exe
O4 - HKLM\..\Run: [NvCplDaemon] -RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] -nwiz.exe /install
O4 - HKLM\..\Run: [SynTPEnh] -C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RTHDCPL] -RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] -ALCMTR.EXE
O4 - HKLM\..\Run: [SMSERIAL] -sm56hlpr.exe
O4 - HKLM\..\Run: [Muscbrigade] -c:\Musicbrigade\Musicbrigade.exe check
O4 - HKLM\..\Run: [NeroFilterCheck] -C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] -"C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [WinampAgent] -C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [PWRISOVM.EXE] -C:\Program Files\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [QuickTime Task] -"C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RemoteControl] -"C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] -"C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [PrintDrive] rundll32.exe "C:\WINDOWS\system32\vpvijjxj.dll",setvm
O4 - HKCU\..\Run: [CTFMON.EXE] -C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [fsc-reminder.exe] -C:\WINDOWSeminder\fsc-reminder.exe 2454170 6
O4 - HKCU\..\Run: [MsnMsgr] -"C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MSMSGS] -"C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Unknown owner - -"C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Google Updater Service (gusvc) - Unknown owner - -"C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - -"C:\Program Files\CyberLink\Shared Files\RichVideo.exe (file missing)
O23 - Service: Service Messenger Sharing Folders USN Journal Reader (usnjsvc) - Unknown owner - -"C:\Program Files\MSN Messenger\usnsvc.exe (file missing)
O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - -"C:\Program Files\Windows Media Player\WMPNetwk.exe (file missing)

A voté !!! lol

;) @+

Regis59 · Answer

Salut

Et ben, ca sera Ségo/Sarko :)

¤Affiche tous les fichiers et dossiers : 
Clique sur démarrer/panneau de configuration/outil/option des dossiers/affichage 

Coche « afficher les fichiers et dossiers cachés » 

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)" 

Décoche « masquer les extensions dont le type est connu » 
Puis fais «Ok» pour valider les changements. 

Et appliquer !
---------------------------------------------------------------------------- 
¤Relance HijackThis, coche les cases devant ces lignes et ensuite clique sur fix checked :


---------------------------------------------------------------------------- 
¤Démarre en mode sans échec : 
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter 
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée. 
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal ! 
(Si F8 ne marche pas utilise la touche F5).  
----------------------------------------------------------------------------
¤Recherche et supprime ceci: 
attention seulement les fichiers  (si présents).

O4 - HKLM\..\Run: [PrintDrive] rundll32.exe "C:\WINDOWS\system32\vpvijjxj.dll",setvm

Supprime:
C:\WINDOWS\system32\vpvijjxj.dll

Vas sur le site https://virusscan.jotti.org/ 
- Clic en haut à droite sur "Parcourir", navigue dans les dossiers et sélectionne ce fichier : 
C:\WINDOWS\reminder\fsc-reminder.exe
- Clic sur submit toujours en haut à droite 
- Le scan va se lancer, ça va prendre un petit instant 
- En bas, tu as le résultat du scan, copie/colle le résultat complet du scan ici. 
Aide : https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId662799

Titousteo · Answer

A-Squared  Found nothing 
AntiVir  Found nothing 
ArcaVir  Found nothing 
Avast  Found nothing 
AVG Antivirus  Found nothing 
BitDefender  Found nothing 
ClamAV  Found nothing 
Dr.Web  Found nothing 
F-Prot Antivirus  Found Possibly a new variant of W32/SelfStarterInternetTrojan!Maximus  
F-Secure Anti-Virus  Found nothing 
Fortinet  Found nothing 
Kaspersky Anti-Virus  Found nothing 
NOD32  Found nothing 
Norman Virus Control  Found nothing 
Panda Antivirus  Found nothing 
Rising Antivirus  Found nothing 
VirusBuster  Found nothing 
VBA32  Found nothing 

Voilou ... et tj les pubs :'( !!!

Becasine Vs Iznogoud.... ca promet ;) lol ... 

PS:  mon avast repere tj win32 adaware...machintruc kan la pub win antivirPro me force a telecharG le logitiel ..et du cou il me recommande de le mettre en quarantaine ...se ke je fai tous les j :) !!! VAs t on reussir a s'en debaraC de tte ses pubs virulantes de ***** :p ?
merci en tout cas de prendre un peu de temps pour moi :) jte revodrai ca si unj ta un pb et ke ta besoin d'un osteo....

Regis59 · Answer

SALUT

Remet un hijackthis

a+

Titousteo · Answer

:'( impossible!!!

do a scan marche sans pb mais des ke je fai do a scan and save a logfile ..ca maffiche la ptite fenetre d'erreur microsoft.."desolé mais le programme doir fermé" !!! .... comment faire?

Titousteo · Answer

bon jai supprimer et remis hijackthis...ca a fonctionner :p voila le rapport !!!

Logfile of HijackThis v1.99.1
Scan saved at 14:50:49, on 24/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.fluo.com/?m=Titou search
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ehTray] -C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] -HDAShCut.exe
O4 - HKLM\..\Run: [NvCplDaemon] -RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] -nwiz.exe /install
O4 - HKLM\..\Run: [SynTPEnh] -C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RTHDCPL] -RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] -ALCMTR.EXE
O4 - HKLM\..\Run: [SMSERIAL] -sm56hlpr.exe
O4 - HKLM\..\Run: [Muscbrigade] -c:\Musicbrigade\Musicbrigade.exe check
O4 - HKLM\..\Run: [NeroFilterCheck] -C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] -"C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [WinampAgent] -C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [PWRISOVM.EXE] -C:\Program Files\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [QuickTime Task] -"C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RemoteControl] -"C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] -"C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [PrintDrive] rundll32.exe "C:\WINDOWS\system32\bavwpmsx.dll",setvm
O4 - HKCU\..\Run: [CTFMON.EXE] -C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [fsc-reminder.exe] -C:\WINDOWSeminder\fsc-reminder.exe 2454170 6
O4 - HKCU\..\Run: [MsnMsgr] -"C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MSMSGS] -"C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Unknown owner - -"C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Google Updater Service (gusvc) - Unknown owner - -"C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - -"C:\Program Files\CyberLink\Shared Files\RichVideo.exe (file missing)
O23 - Service: Service Messenger Sharing Folders USN Journal Reader (usnjsvc) - Unknown owner - -"C:\Program Files\MSN Messenger\usnsvc.exe (file missing)
O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - -"C:\Program Files\Windows Media Player\WMPNetwk.exe (file missing)

Regis59 · Answer

Ok.

Télécharge: Pocket Killbox ici 
http://www.downloads.subratam.org/KillBox.exe 

:: Démo d utilisation (merci a Balltrap34 pour cette réalisation) ::
http://pageperso.aol.fr/balltrap34/killbox.htm 

¤Relance HijackThis, coche les cases devant ces lignes et ensuite clique sur fix checked :

O4 - HKLM\..\Run: [PrintDrive] rundll32.exe "C:\WINDOWS\system32\bavwpmsx.dll",setvm 

Ferme HJT.

Double clic sur killbox.exe (Pocket Killbox) 

- coche: delete on reboot 
- Dans "Full Path of File to Delete" 
- Sélectionne "single File"
- copie et colle: 

C:\WINDOWS\system32\bavwpmsx.dll

- clique sur la croix rouge 
- une fenêtre va apparaître pour confirmation clique sur YES 
- une seconde fenêtre te demande si tu veux redémarrer clique sur YES 

Si ce message s’affiche ignore le :
http://tinypic.com/images/goodbye.jpg 
Laisse le pc redémarrer.

Et après reposte un log HijackThis. 

A+

Titousteo · Answer

Muhahha hijackthis doit m'en voulloir ma refai le meme coup !!! lol

voila rapport :
Logfile of HijackThis v1.99.1
Scan saved at 00:30:08, on 25/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\MSN Messenger\livecall.exe
C:\WINDOWS\system32\wuauclt.exe
\?\C:\WINDOWS\system32\WBEM\WMIADAP.EXE
C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.fluo.com/?m=Titou search
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ehTray] -C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] -HDAShCut.exe
O4 - HKLM\..\Run: [NvCplDaemon] -RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] -nwiz.exe /install
O4 - HKLM\..\Run: [SynTPEnh] -C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RTHDCPL] -RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] -ALCMTR.EXE
O4 - HKLM\..\Run: [SMSERIAL] -sm56hlpr.exe
O4 - HKLM\..\Run: [Muscbrigade] -c:\Musicbrigade\Musicbrigade.exe check
O4 - HKLM\..\Run: [NeroFilterCheck] -C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] -"C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [WinampAgent] -C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [PWRISOVM.EXE] -C:\Program Files\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [QuickTime Task] -"C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RemoteControl] -"C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] -"C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] -C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [fsc-reminder.exe] -C:\WINDOWSeminder\fsc-reminder.exe 2454170 6
O4 - HKCU\..\Run: [MsnMsgr] -"C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MSMSGS] -"C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Unknown owner - -"C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Google Updater Service (gusvc) - Unknown owner - -"C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - -"C:\Program Files\CyberLink\Shared Files\RichVideo.exe (file missing)
O23 - Service: Service Messenger Sharing Folders USN Journal Reader (usnjsvc) - Unknown owner - -"C:\Program Files\MSN Messenger\usnsvc.exe (file missing)
O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - -"C:\Program Files\Windows Media Player\WMPNetwk.exe (file missing)

Regis59 · Answer

Ah bizarre ca.

Ou en sont tes soucis?

A+

Titousteo · Answer

Tj plein de pop up (movies ticket,....) je te tien au courant j'ai pas encor bcp surfé la (3min :p)...

Regis59 · Answer

Toujours des pubs? Quels genre?

A+

Titousteo · Answer

ba j'ai des pub qui saffiche genre movies ticket/ hollywood truc/ .... parfois des pti message ki me dise ke je mon ordi peut etre infecté et veullent me faire telecharG  un truc dc j'annule (car le choix c OK ou annuler) et la ya une pub soit de winantivirus pro ..soit drive cleaner ...
G ossi error face ou truc du genre .... 

Et sur quelque une notamment  winantivirusPro jai avast ki repere WIn32 BST.. adaware  machin...ke jmet en quarantaine....

....... il me semble ke a chak fois ke tu me fai viré des truc machin ca marche et des ke je retourne sur internet  jle rechope..car avast me signal Win32 truc tj apres ke jai fai une de tes procedure de "netoyage" ou jsai po comment ca sapelle !!! c possible?

Regis59 · Answer

Hello

As tu encore navilog1? Tu peux me mettre le rapport de l option 1?

A+

Titousteo · Answer

Oui tkt j'ai tout garD :) (ca prend plein de place sur mon bureau dailleur lol) :

Search Navipromo version 1.1.5 commencé le 26/04/2007 à  1:10:19,53
 
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Documents and Settings\Titousteopathe\Bureau
avilog1
Mise a jour le 13.04.2007 a 20h00 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes *** 

 


*** Recherche dossiers dans C:\WINDOWS ***




*** Recherche dossiers dans C:\Program Files ***




*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




*** Recherche dossiers dans C:\Documents and Settings\Titousteopathe\Application Data ***



*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
https://www.f-secure.com/en


F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
======================================

Copyright 2005-2006 F-Secure Corporation. All rights reserved.
This is a beta version. It will expire on 1st of April, 2007.
Version information: 2.2.1061.

[+] Started on 04/26/07 at 01:10:20.
[+] Initializing ...
[+] Starting scan, press Ctrl-C to abort.
[+] Scanning for hidden items ..........................................................
[+] Scan complete.
[+] Summary: 0 hidden item(s) found, 0 scheduled for renaming.
[+] Exited on 04/26/07 at 01:16:29 (return code = 0).


*** Recherche fichiers *** 




*** Recherche cles registre ***


Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs] 
 
 

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage] 
 
 

Recherche Clé Magic Control 
 
 
 
*** Module de Recherche complémentaire *** 
(Recherche fichiers spécifiques) 
 
1)Recherche fichiers connus:

C:\WINDOWS\system32\ututv.ini2 trouvé ! infection Vundo possible non traité par cet outil !
C:\WINDOWS\system32\ututv.bak2 trouvé ! infection Vundo possible non traité par cet outil !

2)Recherche Heuristique :
* 
** 
*** 
**** 
***** 
****** 
******* 
******** 
 
 
*** Analyse Terminé le 26/04/2007 à  1:16:43,59 ***

alex · Answer

slt les mecs aider moi je vous en supplie jai un virus dans mon ordi est je sas pas comment faire pour qu'il senleve je croi que vous etes monseu lespoir il est dans un fichier qui est marquer inpossbile a supprier ni a mettre en quarentaine et je sais pas dou il vient que faire rep svp c tro uregent

Regis59 · Answer

Titousteo;

Tu as toujours Vundofix?

A+

Titousteo · Answer

Of course ..j'ai une panoplie de ouf sur mon bureau lol ( ccleaner, navilog1, vundofix, smidfraudfix, SDfix, Fileinfo, Killbox et qq pti compte rendu :p) Et ouai !!!! lol

JE lexecute en mode sans echec... c ca? ya un choix machin jme souvient plu tro comment il fonctionne celui la jattend tes instructions sinon jvai faire des boulettes lol !!

@+++

PS: Dsl d'etre plus lent a repondre sur le forum mais j'ai repris les cours dc bon.... internet c en rentrant le soir et tres tard...

Regis59 · Answer

oui pas de probleme lol

Double-clique VundoFix.exe afin de le lancer. 
Coche Run VundoFix as a task. 
Un message t'avertira que l'outil va se fermer et s'ouvrir à nouveau : clique Ok 
Clique sur le bouton Scan for Vundo. 
Lorsque le scan est complété, clique sur le bouton Remove Vundo. 
Une invite te demandera si tu veux supprimer les fichiers, clique YES 
Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers. 
Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown") ; clique OK 
Démarre ton PC à nouveau. 
Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.

Titousteo · Answer

VundoFix V6.3.19

Checking Java version...

Java version is 1.5.0.11

Scan started at 23:08:10 26/04/2007

Listing files found while scanning....

C:\WINDOWS\system32\dagndiqw.dll
C:\WINDOWS\system32\juflsqqm.dll
C:\WINDOWS\system32\kddbbwuq.dll
C:\WINDOWS\system32\mqqslfuj.ini
C:\WINDOWS\system32\vtutu.dll

Beginning removal...

 Attempting to delete C:\WINDOWS\system32\dagndiqw.dll
C:\WINDOWS\system32\dagndiqw.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\juflsqqm.dll
C:\WINDOWS\system32\juflsqqm.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\kddbbwuq.dll
C:\WINDOWS\system32\kddbbwuq.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\mqqslfuj.ini
C:\WINDOWS\system32\mqqslfuj.ini Has been deleted!

 Attempting to delete C:\WINDOWS\system32\vtutu.dll
C:\WINDOWS\system32\vtutu.dll Has been deleted!

Performing Repairs to the registry.
Done!

et le hijack :

Logfile of HijackThis v1.99.1
Scan saved at 23:18:12, on 26/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\System32\svchost.exe
C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.fluo.com/?m=Titou search
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1557B435-8242-4686-9AA3-9265BF7525A4} - C:\WINDOWS\system32\vntydiqr.dll
O2 - BHO: (no name) - {1E6F5A1C-3166-4735-B06B-1644E23D2ECe} - C:\WINDOWS\system32\krknucwj.dll
O2 - BHO: (no name) - {30863089-6B4C-41F6-A9BE-E1568B0D31E3} - C:\WINDOWS\system32\vtutu.dll (file missing)
O2 - BHO: (no name) - {3E71DC86-4A5C-4C71-A185-EBE9AC2EB607} - C:\WINDOWS\system32\ddcaxxw.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: (no name) - {E9567E45-D8F2-4E14-B1F5-335DD0DCD813} - C:\WINDOWS\system32\ddccd.dll (file missing)
O2 - BHO: (no name) - {ED593E05-0872-4290-B76C-7473B5D56B6E} - C:\WINDOWS\system32\ssqrq.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ehTray] -C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] -HDAShCut.exe
O4 - HKLM\..\Run: [NvCplDaemon] -RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] -nwiz.exe /install
O4 - HKLM\..\Run: [SynTPEnh] -C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RTHDCPL] -RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] -ALCMTR.EXE
O4 - HKLM\..\Run: [SMSERIAL] -sm56hlpr.exe
O4 - HKLM\..\Run: [Muscbrigade] -c:\Musicbrigade\Musicbrigade.exe check
O4 - HKLM\..\Run: [NeroFilterCheck] -C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] -"C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [WinampAgent] -C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [PWRISOVM.EXE] -C:\Program Files\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [QuickTime Task] -"C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RemoteControl] -"C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] -"C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [InfoData] rundll32.exe "C:\WINDOWS\system32\gjpjduqv.dll",realset
O4 - HKCU\..\Run: [CTFMON.EXE] -C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [fsc-reminder.exe] -C:\WINDOWSeminder\fsc-reminder.exe 2454170 6
O4 - HKCU\..\Run: [MsnMsgr] -"C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MSMSGS] -"C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: ddcaxxw - C:\WINDOWS\SYSTEM32\ddcaxxw.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Unknown owner - -"C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Google Updater Service (gusvc) - Unknown owner - -"C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - -"C:\Program Files\CyberLink\Shared Files\RichVideo.exe (file missing)
O23 - Service: Service Messenger Sharing Folders USN Journal Reader (usnjsvc) - Unknown owner - -"C:\Program Files\MSN Messenger\usnsvc.exe (file missing)
O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - -"C:\Program Files\Windows Media Player\WMPNetwk.exe (file missing)

voilou...

Regis59 · Answer

Bonjour,

Télécharge VirtumundoBegone sur le bureau:
http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe

Double clique ensuite sur VirtumundoBeGone.exe et suis les instructions. 
Une fois terminé, redémarre et poste le rapport VBG.TXT créé sur le bureau dans ta prochaine réponse avec un nouveau rapport HijackThis. 
Ne t'inquiète pas si tu vois un message Ecran bleu "Erreur fatale", c'est normal et attendu.

A+

Titousteo · Answer

[04/27/2007, 19:28:07] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\Titousteopathe\Bureau\VirtumundoBeGone.exe" )
[04/27/2007, 19:28:08] - Detected System Information:
[04/27/2007, 19:28:08] -  Windows Version: 5.1.2600, Service Pack 2
[04/27/2007, 19:28:08] -  Current Username: Titousteopathe (Admin)
[04/27/2007, 19:28:08] -  Windows is in NORMAL mode.
[04/27/2007, 19:28:08] - Searching for Browser Helper Objects:
[04/27/2007, 19:28:08] -  BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Adobe PDF Reader Link Helper)
[04/27/2007, 19:28:08] -  BHO 2: {1E6F5A1C-3166-4735-B06B-1644E23D2ECe} ()
[04/27/2007, 19:28:08] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/27/2007, 19:28:08] -  Checking for HKLM\...\Winlogon\Notify\krknucwj
[04/27/2007, 19:28:08] -  Key not found: HKLM\...\Winlogon\Notify\krknucwj, continuing.
[04/27/2007, 19:28:09] -  BHO 3: {30863089-6B4C-41F6-A9BE-E1568B0D31E3} ()
[04/27/2007, 19:28:09] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/27/2007, 19:28:09] -  Checking for HKLM\...\Winlogon\Notify\vtutu
[04/27/2007, 19:28:09] -  Key not found: HKLM\...\Winlogon\Notify\vtutu, continuing.
[04/27/2007, 19:28:09] -  BHO 4: {32AC76CA-98D6-41F5-A096-EB1733D1D494} ()
[04/27/2007, 19:28:09] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/27/2007, 19:28:09] -  Checking for HKLM\...\Winlogon\Notify\pmnlm
[04/27/2007, 19:28:09] -  Found: HKLM\...\Winlogon\Notify\pmnlm - This is probably Virtumundo.
[04/27/2007, 19:28:09] -  Assigning {32AC76CA-98D6-41F5-A096-EB1733D1D494} MSEvents Object
[04/27/2007, 19:28:09] - BHO list has been changed! Starting over...
[04/27/2007, 19:28:09] -  BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Adobe PDF Reader Link Helper)
[04/27/2007, 19:28:09] -  BHO 2: {1E6F5A1C-3166-4735-B06B-1644E23D2ECe} ()
[04/27/2007, 19:28:09] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/27/2007, 19:28:09] -  Checking for HKLM\...\Winlogon\Notify\krknucwj
[04/27/2007, 19:28:09] -  Key not found: HKLM\...\Winlogon\Notify\krknucwj, continuing.
[04/27/2007, 19:28:09] -  BHO 3: {30863089-6B4C-41F6-A9BE-E1568B0D31E3} ()
[04/27/2007, 19:28:09] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/27/2007, 19:28:09] -  Checking for HKLM\...\Winlogon\Notify\vtutu
[04/27/2007, 19:28:09] -  Key not found: HKLM\...\Winlogon\Notify\vtutu, continuing.
[04/27/2007, 19:28:09] -  BHO 4: {32AC76CA-98D6-41F5-A096-EB1733D1D494} (MSEvents Object)
[04/27/2007, 19:28:09] - ALERT: Found MSEvents Object!
[04/27/2007, 19:28:09] -  BHO 5: {3E71DC86-4A5C-4C71-A185-EBE9AC2EB607} ()
[04/27/2007, 19:28:09] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/27/2007, 19:28:09] -  Checking for HKLM\...\Winlogon\Notify\ddcaxxw
[04/27/2007, 19:28:09] -  Found: HKLM\...\Winlogon\Notify\ddcaxxw - This is probably Virtumundo.
[04/27/2007, 19:28:09] -  Assigning {3E71DC86-4A5C-4C71-A185-EBE9AC2EB607} MSEvents Object
[04/27/2007, 19:28:09] - BHO list has been changed! Starting over...
[04/27/2007, 19:28:09] -  BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Adobe PDF Reader Link Helper)
[04/27/2007, 19:28:09] -  BHO 2: {1E6F5A1C-3166-4735-B06B-1644E23D2ECe} ()
[04/27/2007, 19:28:09] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/27/2007, 19:28:09] -  Checking for HKLM\...\Winlogon\Notify\krknucwj
[04/27/2007, 19:28:09] -  Key not found: HKLM\...\Winlogon\Notify\krknucwj, continuing.
[04/27/2007, 19:28:09] -  BHO 3: {30863089-6B4C-41F6-A9BE-E1568B0D31E3} ()
[04/27/2007, 19:28:09] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/27/2007, 19:28:09] -  Checking for HKLM\...\Winlogon\Notify\vtutu
[04/27/2007, 19:28:09] -  Key not found: HKLM\...\Winlogon\Notify\vtutu, continuing.
[04/27/2007, 19:28:09] -  BHO 4: {32AC76CA-98D6-41F5-A096-EB1733D1D494} (MSEvents Object)
[04/27/2007, 19:28:09] - ALERT: Found MSEvents Object!
[04/27/2007, 19:28:09] -  BHO 5: {3E71DC86-4A5C-4C71-A185-EBE9AC2EB607} (MSEvents Object)
[04/27/2007, 19:28:09] - ALERT: Found MSEvents Object!
[04/27/2007, 19:28:09] -  BHO 6: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[04/27/2007, 19:28:09] -  BHO 7: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()
[04/27/2007, 19:28:09] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/27/2007, 19:28:09] -  No filename found. Continuing.
[04/27/2007, 19:28:09] -  BHO 8: {AA58ED58-01DD-4d91-8333-CF10577473F7} (Google Toolbar Helper)
[04/27/2007, 19:28:09] -  BHO 9: {D651AFF4-9590-424d-BD1E-8E33E090DFB3} ()
[04/27/2007, 19:28:09] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/27/2007, 19:28:09] -  Checking for HKLM\...\Winlogon\Notify\yywgkdtq
[04/27/2007, 19:28:09] -  Key not found: HKLM\...\Winlogon\Notify\yywgkdtq, continuing.
[04/27/2007, 19:28:09] -  BHO 10: {E9567E45-D8F2-4E14-B1F5-335DD0DCD813} ()
[04/27/2007, 19:28:09] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/27/2007, 19:28:09] -  Checking for HKLM\...\Winlogon\Notify\ddccd
[04/27/2007, 19:28:09] -  Key not found: HKLM\...\Winlogon\Notify\ddccd, continuing.
[04/27/2007, 19:28:09] -  BHO 11: {ED593E05-0872-4290-B76C-7473B5D56B6E} ()
[04/27/2007, 19:28:09] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/27/2007, 19:28:09] -  Checking for HKLM\...\Winlogon\Notify\ssqrq
[04/27/2007, 19:28:09] -  Key not found: HKLM\...\Winlogon\Notify\ssqrq, continuing.
[04/27/2007, 19:28:09] - Finished Searching Browser Helper Objects
[04/27/2007, 19:28:09] - *** Detected MSEvents Object
[04/27/2007, 19:28:09] - Trying to remove MSEvents Object...
[04/27/2007, 19:28:10] -    Terminating Process: IEXPLORE.EXE
[04/27/2007, 19:28:11] -    Terminating Process: RUNDLL32.EXE
[04/27/2007, 19:28:11] -    Disabling Automatic Shell Restart
[04/27/2007, 19:28:11] -    Terminating Process: EXPLORER.EXE
[04/27/2007, 19:28:11] -    Suspending the NT Session Manager System Service
[04/27/2007, 19:28:11] -    Terminating Windows NT Logon/Logoff Manager
[04/27/2007, 19:28:11] -    Re-enabling Automatic Shell Restart
[04/27/2007, 19:28:11] -   File to disable: C:\WINDOWS\system32\pmnlm.dll
[04/27/2007, 19:28:11] -  Renaming C:\WINDOWS\system32\pmnlm.dll -> C:\WINDOWS\system32\pmnlm.dll.vir
[04/27/2007, 19:28:11] -  File successfully renamed!
[04/27/2007, 19:28:11] -   Removing HKLM\...\Browser Helper Objects\{32AC76CA-98D6-41F5-A096-EB1733D1D494}
[04/27/2007, 19:28:11] -   Removing HKCR\CLSID\{32AC76CA-98D6-41F5-A096-EB1733D1D494}
[04/27/2007, 19:28:11] -   Adding Kill Bit for ActiveX for GUID: {32AC76CA-98D6-41F5-A096-EB1733D1D494}
[04/27/2007, 19:28:11] -   Deleting ATLEvents/MSEvents Registry entries
[04/27/2007, 19:28:11] -   Removing HKLM\...\Winlogon\Notify\pmnlm
[04/27/2007, 19:28:11] - Searching for Browser Helper Objects:
[04/27/2007, 19:28:11] -  BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Adobe PDF Reader Link Helper)
[04/27/2007, 19:28:11] -  BHO 2: {1E6F5A1C-3166-4735-B06B-1644E23D2ECe} ()
[04/27/2007, 19:28:11] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/27/2007, 19:28:11] -  Checking for HKLM\...\Winlogon\Notify\krknucwj
[04/27/2007, 19:28:11] -  Key not found: HKLM\...\Winlogon\Notify\krknucwj, continuing.
[04/27/2007, 19:28:11] -  BHO 3: {30863089-6B4C-41F6-A9BE-E1568B0D31E3} ()
[04/27/2007, 19:28:11] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/27/2007, 19:28:11] -  Checking for HKLM\...\Winlogon\Notify\vtutu
[04/27/2007, 19:28:11] -  Key not found: HKLM\...\Winlogon\Notify\vtutu, continuing.
[04/27/2007, 19:28:11] -  BHO 4: {3E71DC86-4A5C-4C71-A185-EBE9AC2EB607} (MSEvents Object)
[04/27/2007, 19:28:11] - ALERT: Found MSEvents Object!
[04/27/2007, 19:28:11] -  BHO 5: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[04/27/2007, 19:28:11] -  BHO 6: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()
[04/27/2007, 19:28:11] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/27/2007, 19:28:11] -  No filename found. Continuing.
[04/27/2007, 19:28:11] -  BHO 7: {AA58ED58-01DD-4d91-8333-CF10577473F7} (Google Toolbar Helper)
[04/27/2007, 19:28:11] -  BHO 8: {D651AFF4-9590-424d-BD1E-8E33E090DFB3} ()
[04/27/2007, 19:28:12] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/27/2007, 19:28:12] -  Checking for HKLM\...\Winlogon\Notify\yywgkdtq
[04/27/2007, 19:28:12] -  Key not found: HKLM\...\Winlogon\Notify\yywgkdtq, continuing.
[04/27/2007, 19:28:12] -  BHO 9: {E9567E45-D8F2-4E14-B1F5-335DD0DCD813} ()
[04/27/2007, 19:28:12] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/27/2007, 19:28:12] -  Checking for HKLM\...\Winlogon\Notify\ddccd
[04/27/2007, 19:28:12] -  Key not found: HKLM\...\Winlogon\Notify\ddccd, continuing.
[04/27/2007, 19:28:12] -  BHO 10: {ED593E05-0872-4290-B76C-7473B5D56B6E} ()
[04/27/2007, 19:28:12] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/27/2007, 19:28:12] -  Checking for HKLM\...\Winlogon\Notify\ssqrq
[04/27/2007, 19:28:12] -  Key not found: HKLM\...\Winlogon\Notify\ssqrq, continuing.
[04/27/2007, 19:28:12] - Finished Searching Browser Helper Objects
[04/27/2007, 19:28:12] - *** Detected MSEvents Object
[04/27/2007, 19:28:12] - Trying to remove MSEvents Object...
[04/27/2007, 19:28:13] -    Terminating Process: IEXPLORE.EXE
[04/27/2007, 19:28:13] -    Terminating Process: RUNDLL32.EXE
[04/27/2007, 19:28:13] -    Disabling Automatic Shell Restart
[04/27/2007, 19:28:13] -    Terminating Process: EXPLORER.EXE
[04/27/2007, 19:28:13] -    Suspending the NT Session Manager System Service
[04/27/2007, 19:28:13] -    Terminating Windows NT Logon/Logoff Manager
[04/27/2007, 19:28:13] -    Re-enabling Automatic Shell Restart
[04/27/2007, 19:28:13] -   File to disable: C:\WINDOWS\system32\ddcaxxw.dll
[04/27/2007, 19:28:13] -  Renaming C:\WINDOWS\system32\ddcaxxw.dll -> C:\WINDOWS\system32\ddcaxxw.dll.vir
[04/27/2007, 19:28:13] -  File successfully renamed!
[04/27/2007, 19:28:13] -   Removing HKLM\...\Browser Helper Objects\{3E71DC86-4A5C-4C71-A185-EBE9AC2EB607}
[04/27/2007, 19:28:13] -   Removing HKCR\CLSID\{3E71DC86-4A5C-4C71-A185-EBE9AC2EB607}
[04/27/2007, 19:28:13] -   Adding Kill Bit for ActiveX for GUID: {3E71DC86-4A5C-4C71-A185-EBE9AC2EB607}
[04/27/2007, 19:28:13] -   Deleting ATLEvents/MSEvents Registry entries
[04/27/2007, 19:28:13] -   Removing HKLM\...\Winlogon\Notify\ddcaxxw
[04/27/2007, 19:28:13] - Searching for Browser Helper Objects:
[04/27/2007, 19:28:13] -  BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Adobe PDF Reader Link Helper)
[04/27/2007, 19:28:13] -  BHO 2: {1E6F5A1C-3166-4735-B06B-1644E23D2ECe} ()
[04/27/2007, 19:28:13] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/27/2007, 19:28:13] -  Checking for HKLM\...\Winlogon\Notify\krknucwj
[04/27/2007, 19:28:13] -  Key not found: HKLM\...\Winlogon\Notify\krknucwj, continuing.
[04/27/2007, 19:28:13] -  BHO 3: {30863089-6B4C-41F6-A9BE-E1568B0D31E3} ()
[04/27/2007, 19:28:13] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/27/2007, 19:28:13] -  Checking for HKLM\...\Winlogon\Notify\vtutu
[04/27/2007, 19:28:13] -  Key not found: HKLM\...\Winlogon\Notify\vtutu, continuing.
[04/27/2007, 19:28:13] -  BHO 4: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[04/27/2007, 19:28:13] -  BHO 5: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()
[04/27/2007, 19:28:13] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/27/2007, 19:28:13] -  No filename found. Continuing.
[04/27/2007, 19:28:13] -  BHO 6: {AA58ED58-01DD-4d91-8333-CF10577473F7} (Google Toolbar Helper)
[04/27/2007, 19:28:13] -  BHO 7: {D651AFF4-9590-424d-BD1E-8E33E090DFB3} ()
[04/27/2007, 19:28:13] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/27/2007, 19:28:13] -  Checking for HKLM\...\Winlogon\Notify\yywgkdtq
[04/27/2007, 19:28:13] -  Key not found: HKLM\...\Winlogon\Notify\yywgkdtq, continuing.
[04/27/2007, 19:28:13] -  BHO 8: {E9567E45-D8F2-4E14-B1F5-335DD0DCD813} ()
[04/27/2007, 19:28:13] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/27/2007, 19:28:13] -  Checking for HKLM\...\Winlogon\Notify\ddccd
[04/27/2007, 19:28:13] -  Key not found: HKLM\...\Winlogon\Notify\ddccd, continuing.
[04/27/2007, 19:28:13] -  BHO 9: {ED593E05-0872-4290-B76C-7473B5D56B6E} ()
[04/27/2007, 19:28:13] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/27/2007, 19:28:13] -  Checking for HKLM\...\Winlogon\Notify\ssqrq
[04/27/2007, 19:28:13] -  Key not found: HKLM\...\Winlogon\Notify\ssqrq, continuing.
[04/27/2007, 19:28:13] - Finished Searching Browser Helper Objects
[04/27/2007, 19:28:13] - Finishing up...
[04/27/2007, 19:28:13] - A restart is needed.
[04/27/2007, 19:28:15] - Attempting to Restart via STOP error (Blue Screen!)

meme po inkiet !!! :p

et le log :
Logfile of HijackThis v1.99.1
Scan saved at 19:30:06, on 27/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.fluo.com/?m=Titou search
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1E6F5A1C-3166-4735-B06B-1644E23D2ECe} - C:\WINDOWS\system32\krknucwj.dll
O2 - BHO: (no name) - {30863089-6B4C-41F6-A9BE-E1568B0D31E3} - C:\WINDOWS\system32\vtutu.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: (no name) - {D651AFF4-9590-424d-BD1E-8E33E090DFB3} - C:\WINDOWS\system32\yywgkdtq.dll
O2 - BHO: (no name) - {E9567E45-D8F2-4E14-B1F5-335DD0DCD813} - C:\WINDOWS\system32\ddccd.dll (file missing)
O2 - BHO: (no name) - {ED593E05-0872-4290-B76C-7473B5D56B6E} - C:\WINDOWS\system32\ssqrq.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ehTray] -C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] -HDAShCut.exe
O4 - HKLM\..\Run: [NvCplDaemon] -RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] -nwiz.exe /install
O4 - HKLM\..\Run: [SynTPEnh] -C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RTHDCPL] -RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] -ALCMTR.EXE
O4 - HKLM\..\Run: [SMSERIAL] -sm56hlpr.exe
O4 - HKLM\..\Run: [Muscbrigade] -c:\Musicbrigade\Musicbrigade.exe check
O4 - HKLM\..\Run: [NeroFilterCheck] -C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] -"C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [WinampAgent] -C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [PWRISOVM.EXE] -C:\Program Files\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [QuickTime Task] -"C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RemoteControl] -"C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] -"C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [InfoData] rundll32.exe "C:\WINDOWS\system32\gjpjduqv.dll",realset
O4 - HKCU\..\Run: [CTFMON.EXE] -C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [fsc-reminder.exe] -C:\WINDOWSeminder\fsc-reminder.exe 2454170 6
O4 - HKCU\..\Run: [MsnMsgr] -"C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MSMSGS] -"C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Unknown owner - -"C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Google Updater Service (gusvc) - Unknown owner - -"C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - -"C:\Program Files\CyberLink\Shared Files\RichVideo.exe (file missing)
O23 - Service: Service Messenger Sharing Folders USN Journal Reader (usnjsvc) - Unknown owner - -"C:\Program Files\MSN Messenger\usnsvc.exe (file missing)
O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - -"C:\Program Files\Windows Media Player\WMPNetwk.exe (file missing)

Regis59 · Answer

lol

On va tester une chose:

Télécharge: Pocket Killbox ici 
http://www.downloads.subratam.org/KillBox.exe 

:: Démo d utilisation (merci a Balltrap34 pour cette réalisation) ::
http://pageperso.aol.fr/balltrap34/killbox.htm 

Double clic sur killbox.exe (Pocket Killbox) 

- coche: delete on reboot 
- Dans "Full Path of File to Delete" 
- Sélectionne "single File"
- copie et colle: 

C:\WINDOWS\system32\gjpjduqv.dll

- clique sur la croix rouge 
- une fenêtre va apparaître pour confirmation clique sur YES 
- une seconde fenêtre te demande si tu veux redémarrer clique sur YES 

Si ce message s’affiche ignore le :
http://tinypic.com/images/goodbye.jpg 

Relance Vundofix.
Laisse le pc redémarrer.

Et après reposte un log HijackThis et le rapport Vundofix.

A+

Titousteo · Answer

VundoFix V6.3.19

Checking Java version...

Java version is 1.5.0.11

Scan started at 22:18:38 27/04/2007

Listing files found while scanning....

No infected files were found.


Beginning removal...

log:

Logfile of HijackThis v1.99.1
Scan saved at 22:24:40, on 27/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\System32\svchost.exe
C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.fluo.com/?m=Titou search
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1E6F5A1C-3166-4735-B06B-1644E23D2ECe} - C:\WINDOWS\system32\krknucwj.dll
O2 - BHO: (no name) - {30863089-6B4C-41F6-A9BE-E1568B0D31E3} - C:\WINDOWS\system32\vtutu.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: (no name) - {D651AFF4-9590-424d-BD1E-8E33E090DFB3} - C:\WINDOWS\system32\yywgkdtq.dll
O2 - BHO: (no name) - {E9567E45-D8F2-4E14-B1F5-335DD0DCD813} - C:\WINDOWS\system32\ddccd.dll (file missing)
O2 - BHO: (no name) - {ED593E05-0872-4290-B76C-7473B5D56B6E} - C:\WINDOWS\system32\ssqrq.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ehTray] -C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] -HDAShCut.exe
O4 - HKLM\..\Run: [NvCplDaemon] -RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] -nwiz.exe /install
O4 - HKLM\..\Run: [SynTPEnh] -C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RTHDCPL] -RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] -ALCMTR.EXE
O4 - HKLM\..\Run: [SMSERIAL] -sm56hlpr.exe
O4 - HKLM\..\Run: [Muscbrigade] -c:\Musicbrigade\Musicbrigade.exe check
O4 - HKLM\..\Run: [NeroFilterCheck] -C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] -"C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [WinampAgent] -C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [PWRISOVM.EXE] -C:\Program Files\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [QuickTime Task] -"C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RemoteControl] -"C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] -"C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [InfoData] rundll32.exe "C:\WINDOWS\system32\gjpjduqv.dll",realset
O4 - HKCU\..\Run: [CTFMON.EXE] -C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [fsc-reminder.exe] -C:\WINDOWSeminder\fsc-reminder.exe 2454170 6
O4 - HKCU\..\Run: [MsnMsgr] -"C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MSMSGS] -"C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Unknown owner - -"C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Google Updater Service (gusvc) - Unknown owner - -"C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - -"C:\Program Files\CyberLink\Shared Files\RichVideo.exe (file missing)
O23 - Service: Service Messenger Sharing Folders USN Journal Reader (usnjsvc) - Unknown owner - -"C:\Program Files\MSN Messenger\usnsvc.exe (file missing)
O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - -"C:\Program Files\Windows Media Player\WMPNetwk.exe (file missing)

.....

Regis59 · Answer

Bonjour,

Peux tu relancer Virtumundobegone stp?

A+

Titousteo · Answer

[04/27/2007, 19:28:07] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\Titousteopathe\Bureau\VirtumundoBeGone.exe" )
[04/27/2007, 19:28:08] - Detected System Information:
[04/27/2007, 19:28:08] -  Windows Version: 5.1.2600, Service Pack 2
[04/27/2007, 19:28:08] -  Current Username: Titousteopathe (Admin)
[04/27/2007, 19:28:08] -  Windows is in NORMAL mode.
[04/27/2007, 19:28:08] - Searching for Browser Helper Objects:
[04/27/2007, 19:28:08] -  BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Adobe PDF Reader Link Helper)
[04/27/2007, 19:28:08] -  BHO 2: {1E6F5A1C-3166-4735-B06B-1644E23D2ECe} ()
[04/27/2007, 19:28:08] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/27/2007, 19:28:08] -  Checking for HKLM\...\Winlogon\Notify\krknucwj
[04/27/2007, 19:28:08] -  Key not found: HKLM\...\Winlogon\Notify\krknucwj, continuing.
[04/27/2007, 19:28:09] -  BHO 3: {30863089-6B4C-41F6-A9BE-E1568B0D31E3} ()
[04/27/2007, 19:28:09] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/27/2007, 19:28:09] -  Checking for HKLM\...\Winlogon\Notify\vtutu
[04/27/2007, 19:28:09] -  Key not found: HKLM\...\Winlogon\Notify\vtutu, continuing.
[04/27/2007, 19:28:09] -  BHO 4: {32AC76CA-98D6-41F5-A096-EB1733D1D494} ()
[04/27/2007, 19:28:09] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/27/2007, 19:28:09] -  Checking for HKLM\...\Winlogon\Notify\pmnlm
[04/27/2007, 19:28:09] -  Found: HKLM\...\Winlogon\Notify\pmnlm - This is probably Virtumundo.
[04/27/2007, 19:28:09] -  Assigning {32AC76CA-98D6-41F5-A096-EB1733D1D494} MSEvents Object
[04/27/2007, 19:28:09] - BHO list has been changed! Starting over...
[04/27/2007, 19:28:09] -  BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Adobe PDF Reader Link Helper)
[04/27/2007, 19:28:09] -  BHO 2: {1E6F5A1C-3166-4735-B06B-1644E23D2ECe} ()
[04/27/2007, 19:28:09] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/27/2007, 19:28:09] -  Checking for HKLM\...\Winlogon\Notify\krknucwj
[04/27/2007, 19:28:09] -  Key not found: HKLM\...\Winlogon\Notify\krknucwj, continuing.
[04/27/2007, 19:28:09] -  BHO 3: {30863089-6B4C-41F6-A9BE-E1568B0D31E3} ()
[04/27/2007, 19:28:09] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/27/2007, 19:28:09] -  Checking for HKLM\...\Winlogon\Notify\vtutu
[04/27/2007, 19:28:09] -  Key not found: HKLM\...\Winlogon\Notify\vtutu, continuing.
[04/27/2007, 19:28:09] -  BHO 4: {32AC76CA-98D6-41F5-A096-EB1733D1D494} (MSEvents Object)
[04/27/2007, 19:28:09] - ALERT: Found MSEvents Object!
[04/27/2007, 19:28:09] -  BHO 5: {3E71DC86-4A5C-4C71-A185-EBE9AC2EB607} ()
[04/27/2007, 19:28:09] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/27/2007, 19:28:09] -  Checking for HKLM\...\Winlogon\Notify\ddcaxxw
[04/27/2007, 19:28:09] -  Found: HKLM\...\Winlogon\Notify\ddcaxxw - This is probably Virtumundo.
[04/27/2007, 19:28:09] -  Assigning {3E71DC86-4A5C-4C71-A185-EBE9AC2EB607} MSEvents Object
[04/27/2007, 19:28:09] - BHO list has been changed! Starting over...
[04/27/2007, 19:28:09] -  BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Adobe PDF Reader Link Helper)
[04/27/2007, 19:28:09] -  BHO 2: {1E6F5A1C-3166-4735-B06B-1644E23D2ECe} ()
[04/27/2007, 19:28:09] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/27/2007, 19:28:09] -  Checking for HKLM\...\Winlogon\Notify\krknucwj
[04/27/2007, 19:28:09] -  Key not found: HKLM\...\Winlogon\Notify\krknucwj, continuing.
[04/27/2007, 19:28:09] -  BHO 3: {30863089-6B4C-41F6-A9BE-E1568B0D31E3} ()
[04/27/2007, 19:28:09] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/27/2007, 19:28:09] -  Checking for HKLM\...\Winlogon\Notify\vtutu
[04/27/2007, 19:28:09] -  Key not found: HKLM\...\Winlogon\Notify\vtutu, continuing.
[04/27/2007, 19:28:09] -  BHO 4: {32AC76CA-98D6-41F5-A096-EB1733D1D494} (MSEvents Object)
[04/27/2007, 19:28:09] - ALERT: Found MSEvents Object!
[04/27/2007, 19:28:09] -  BHO 5: {3E71DC86-4A5C-4C71-A185-EBE9AC2EB607} (MSEvents Object)
[04/27/2007, 19:28:09] - ALERT: Found MSEvents Object!
[04/27/2007, 19:28:09] -  BHO 6: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[04/27/2007, 19:28:09] -  BHO 7: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()
[04/27/2007, 19:28:09] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/27/2007, 19:28:09] -  No filename found. Continuing.
[04/27/2007, 19:28:09] -  BHO 8: {AA58ED58-01DD-4d91-8333-CF10577473F7} (Google Toolbar Helper)
[04/27/2007, 19:28:09] -  BHO 9: {D651AFF4-9590-424d-BD1E-8E33E090DFB3} ()
[04/27/2007, 19:28:09] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/27/2007, 19:28:09] -  Checking for HKLM\...\Winlogon\Notify\yywgkdtq
[04/27/2007, 19:28:09] -  Key not found: HKLM\...\Winlogon\Notify\yywgkdtq, continuing.
[04/27/2007, 19:28:09] -  BHO 10: {E9567E45-D8F2-4E14-B1F5-335DD0DCD813} ()
[04/27/2007, 19:28:09] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/27/2007, 19:28:09] -  Checking for HKLM\...\Winlogon\Notify\ddccd
[04/27/2007, 19:28:09] -  Key not found: HKLM\...\Winlogon\Notify\ddccd, continuing.
[04/27/2007, 19:28:09] -  BHO 11: {ED593E05-0872-4290-B76C-7473B5D56B6E} ()
[04/27/2007, 19:28:09] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/27/2007, 19:28:09] -  Checking for HKLM\...\Winlogon\Notify\ssqrq
[04/27/2007, 19:28:09] -  Key not found: HKLM\...\Winlogon\Notify\ssqrq, continuing.
[04/27/2007, 19:28:09] - Finished Searching Browser Helper Objects
[04/27/2007, 19:28:09] - *** Detected MSEvents Object
[04/27/2007, 19:28:09] - Trying to remove MSEvents Object...
[04/27/2007, 19:28:10] -    Terminating Process: IEXPLORE.EXE
[04/27/2007, 19:28:11] -    Terminating Process: RUNDLL32.EXE
[04/27/2007, 19:28:11] -    Disabling Automatic Shell Restart
[04/27/2007, 19:28:11] -    Terminating Process: EXPLORER.EXE
[04/27/2007, 19:28:11] -    Suspending the NT Session Manager System Service
[04/27/2007, 19:28:11] -    Terminating Windows NT Logon/Logoff Manager
[04/27/2007, 19:28:11] -    Re-enabling Automatic Shell Restart
[04/27/2007, 19:28:11] -   File to disable: C:\WINDOWS\system32\pmnlm.dll
[04/27/2007, 19:28:11] -  Renaming C:\WINDOWS\system32\pmnlm.dll -> C:\WINDOWS\system32\pmnlm.dll.vir
[04/27/2007, 19:28:11] -  File successfully renamed!
[04/27/2007, 19:28:11] -   Removing HKLM\...\Browser Helper Objects\{32AC76CA-98D6-41F5-A096-EB1733D1D494}
[04/27/2007, 19:28:11] -   Removing HKCR\CLSID\{32AC76CA-98D6-41F5-A096-EB1733D1D494}
[04/27/2007, 19:28:11] -   Adding Kill Bit for ActiveX for GUID: {32AC76CA-98D6-41F5-A096-EB1733D1D494}
[04/27/2007, 19:28:11] -   Deleting ATLEvents/MSEvents Registry entries
[04/27/2007, 19:28:11] -   Removing HKLM\...\Winlogon\Notify\pmnlm
[04/27/2007, 19:28:11] - Searching for Browser Helper Objects:
[04/27/2007, 19:28:11] -  BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Adobe PDF Reader Link Helper)
[04/27/2007, 19:28:11] -  BHO 2: {1E6F5A1C-3166-4735-B06B-1644E23D2ECe} ()
[04/27/2007, 19:28:11] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/27/2007, 19:28:11] -  Checking for HKLM\...\Winlogon\Notify\krknucwj
[04/27/2007, 19:28:11] -  Key not found: HKLM\...\Winlogon\Notify\krknucwj, continuing.
[04/27/2007, 19:28:11] -  BHO 3: {30863089-6B4C-41F6-A9BE-E1568B0D31E3} ()
[04/27/2007, 19:28:11] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/27/2007, 19:28:11] -  Checking for HKLM\...\Winlogon\Notify\vtutu
[04/27/2007, 19:28:11] -  Key not found: HKLM\...\Winlogon\Notify\vtutu, continuing.
[04/27/2007, 19:28:11] -  BHO 4: {3E71DC86-4A5C-4C71-A185-EBE9AC2EB607} (MSEvents Object)
[04/27/2007, 19:28:11] - ALERT: Found MSEvents Object!
[04/27/2007, 19:28:11] -  BHO 5: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[04/27/2007, 19:28:11] -  BHO 6: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()
[04/27/2007, 19:28:11] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/27/2007, 19:28:11] -  No filename found. Continuing.
[04/27/2007, 19:28:11] -  BHO 7: {AA58ED58-01DD-4d91-8333-CF10577473F7} (Google Toolbar Helper)
[04/27/2007, 19:28:11] -  BHO 8: {D651AFF4-9590-424d-BD1E-8E33E090DFB3} ()
[04/27/2007, 19:28:12] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/27/2007, 19:28:12] -  Checking for HKLM\...\Winlogon\Notify\yywgkdtq
[04/27/2007, 19:28:12] -  Key not found: HKLM\...\Winlogon\Notify\yywgkdtq, continuing.
[04/27/2007, 19:28:12] -  BHO 9: {E9567E45-D8F2-4E14-B1F5-335DD0DCD813} ()
[04/27/2007, 19:28:12] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/27/2007, 19:28:12] -  Checking for HKLM\...\Winlogon\Notify\ddccd
[04/27/2007, 19:28:12] -  Key not found: HKLM\...\Winlogon\Notify\ddccd, continuing.
[04/27/2007, 19:28:12] -  BHO 10: {ED593E05-0872-4290-B76C-7473B5D56B6E} ()
[04/27/2007, 19:28:12] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/27/2007, 19:28:12] -  Checking for HKLM\...\Winlogon\Notify\ssqrq
[04/27/2007, 19:28:12] -  Key not found: HKLM\...\Winlogon\Notify\ssqrq, continuing.
[04/27/2007, 19:28:12] - Finished Searching Browser Helper Objects
[04/27/2007, 19:28:12] - *** Detected MSEvents Object
[04/27/2007, 19:28:12] - Trying to remove MSEvents Object...
[04/27/2007, 19:28:13] -    Terminating Process: IEXPLORE.EXE
[04/27/2007, 19:28:13] -    Terminating Process: RUNDLL32.EXE
[04/27/2007, 19:28:13] -    Disabling Automatic Shell Restart
[04/27/2007, 19:28:13] -    Terminating Process: EXPLORER.EXE
[04/27/2007, 19:28:13] -    Suspending the NT Session Manager System Service
[04/27/2007, 19:28:13] -    Terminating Windows NT Logon/Logoff Manager
[04/27/2007, 19:28:13] -    Re-enabling Automatic Shell Restart
[04/27/2007, 19:28:13] -   File to disable: C:\WINDOWS\system32\ddcaxxw.dll
[04/27/2007, 19:28:13] -  Renaming C:\WINDOWS\system32\ddcaxxw.dll -> C:\WINDOWS\system32\ddcaxxw.dll.vir
[04/27/2007, 19:28:13] -  File successfully renamed!
[04/27/2007, 19:28:13] -   Removing HKLM\...\Browser Helper Objects\{3E71DC86-4A5C-4C71-A185-EBE9AC2EB607}
[04/27/2007, 19:28:13] -   Removing HKCR\CLSID\{3E71DC86-4A5C-4C71-A185-EBE9AC2EB607}
[04/27/2007, 19:28:13] -   Adding Kill Bit for ActiveX for GUID: {3E71DC86-4A5C-4C71-A185-EBE9AC2EB607}
[04/27/2007, 19:28:13] -   Deleting ATLEvents/MSEvents Registry entries
[04/27/2007, 19:28:13] -   Removing HKLM\...\Winlogon\Notify\ddcaxxw
[04/27/2007, 19:28:13] - Searching for Browser Helper Objects:
[04/27/2007, 19:28:13] -  BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Adobe PDF Reader Link Helper)
[04/27/2007, 19:28:13] -  BHO 2: {1E6F5A1C-3166-4735-B06B-1644E23D2ECe} ()
[04/27/2007, 19:28:13] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/27/2007, 19:28:13] -  Checking for HKLM\...\Winlogon\Notify\krknucwj
[04/27/2007, 19:28:13] -  Key not found: HKLM\...\Winlogon\Notify\krknucwj, continuing.
[04/27/2007, 19:28:13] -  BHO 3: {30863089-6B4C-41F6-A9BE-E1568B0D31E3} ()
[04/27/2007, 19:28:13] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/27/2007, 19:28:13] -  Checking for HKLM\...\Winlogon\Notify\vtutu
[04/27/2007, 19:28:13] -  Key not found: HKLM\...\Winlogon\Notify\vtutu, continuing.
[04/27/2007, 19:28:13] -  BHO 4: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[04/27/2007, 19:28:13] -  BHO 5: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()
[04/27/2007, 19:28:13] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/27/2007, 19:28:13] -  No filename found. Continuing.
[04/27/2007, 19:28:13] -  BHO 6: {AA58ED58-01DD-4d91-8333-CF10577473F7} (Google Toolbar Helper)
[04/27/2007, 19:28:13] -  BHO 7: {D651AFF4-9590-424d-BD1E-8E33E090DFB3} ()
[04/27/2007, 19:28:13] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/27/2007, 19:28:13] -  Checking for HKLM\...\Winlogon\Notify\yywgkdtq
[04/27/2007, 19:28:13] -  Key not found: HKLM\...\Winlogon\Notify\yywgkdtq, continuing.
[04/27/2007, 19:28:13] -  BHO 8: {E9567E45-D8F2-4E14-B1F5-335DD0DCD813} ()
[04/27/2007, 19:28:13] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/27/2007, 19:28:13] -  Checking for HKLM\...\Winlogon\Notify\ddccd
[04/27/2007, 19:28:13] -  Key not found: HKLM\...\Winlogon\Notify\ddccd, continuing.
[04/27/2007, 19:28:13] -  BHO 9: {ED593E05-0872-4290-B76C-7473B5D56B6E} ()
[04/27/2007, 19:28:13] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/27/2007, 19:28:13] -  Checking for HKLM\...\Winlogon\Notify\ssqrq
[04/27/2007, 19:28:13] -  Key not found: HKLM\...\Winlogon\Notify\ssqrq, continuing.
[04/27/2007, 19:28:13] - Finished Searching Browser Helper Objects
[04/27/2007, 19:28:13] - Finishing up...
[04/27/2007, 19:28:13] - A restart is needed.
[04/27/2007, 19:28:15] - Attempting to Restart via STOP error (Blue Screen!)

[04/28/2007, 12:25:51] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\Titousteopathe\Bureau\VirtumundoBeGone.exe" )
[04/28/2007, 12:25:55] - Detected System Information:
[04/28/2007, 12:25:55] -  Windows Version: 5.1.2600, Service Pack 2
[04/28/2007, 12:25:55] -  Current Username: Titousteopathe (Admin)
[04/28/2007, 12:25:55] -  Windows is in NORMAL mode.
[04/28/2007, 12:25:55] - Searching for Browser Helper Objects:
[04/28/2007, 12:25:55] -  BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Adobe PDF Reader Link Helper)
[04/28/2007, 12:25:55] -  BHO 2: {1E6F5A1C-3166-4735-B06B-1644E23D2ECe} ()
[04/28/2007, 12:25:55] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/28/2007, 12:25:55] -  Checking for HKLM\...\Winlogon\Notify\krknucwj
[04/28/2007, 12:25:55] -  Key not found: HKLM\...\Winlogon\Notify\krknucwj, continuing.
[04/28/2007, 12:25:55] -  BHO 3: {30863089-6B4C-41F6-A9BE-E1568B0D31E3} ()
[04/28/2007, 12:25:55] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/28/2007, 12:25:55] -  Checking for HKLM\...\Winlogon\Notify\vtutu
[04/28/2007, 12:25:55] -  Key not found: HKLM\...\Winlogon\Notify\vtutu, continuing.
[04/28/2007, 12:25:55] -  BHO 4: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[04/28/2007, 12:25:55] -  BHO 5: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()
[04/28/2007, 12:25:55] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/28/2007, 12:25:55] -  No filename found. Continuing.
[04/28/2007, 12:25:55] -  BHO 6: {AA58ED58-01DD-4d91-8333-CF10577473F7} (Google Toolbar Helper)
[04/28/2007, 12:25:55] -  BHO 7: {D651AFF4-9590-424d-BD1E-8E33E090DFB3} ()
[04/28/2007, 12:25:55] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/28/2007, 12:25:55] -  Checking for HKLM\...\Winlogon\Notify\yywgkdtq
[04/28/2007, 12:25:55] -  Key not found: HKLM\...\Winlogon\Notify\yywgkdtq, continuing.
[04/28/2007, 12:25:55] -  BHO 8: {E9567E45-D8F2-4E14-B1F5-335DD0DCD813} ()
[04/28/2007, 12:25:56] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/28/2007, 12:25:56] -  Checking for HKLM\...\Winlogon\Notify\ddccd
[04/28/2007, 12:25:56] -  Key not found: HKLM\...\Winlogon\Notify\ddccd, continuing.
[04/28/2007, 12:25:56] -  BHO 9: {ED593E05-0872-4290-B76C-7473B5D56B6E} ()
[04/28/2007, 12:25:56] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/28/2007, 12:25:56] -  Checking for HKLM\...\Winlogon\Notify\ssqrq
[04/28/2007, 12:25:56] -  Key not found: HKLM\...\Winlogon\Notify\ssqrq, continuing.
[04/28/2007, 12:25:56] - Finished Searching Browser Helper Objects
[04/28/2007, 12:25:56] - Finishing up...
[04/28/2007, 12:25:56] - Nothing found! Exiting...

Regis59 · Answer

OKi,

remet un hijackthis

a+

Titousteo · Answer

Logfile of HijackThis v1.99.1
Scan saved at 04:45:58, on 29/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\MSN Messenger\livecall.exe
C:\Program Files\Azureus\Azureus.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.fluo.com/?m=Titou search
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1E6F5A1C-3166-4735-B06B-1644E23D2ECe} - C:\WINDOWS\system32\krknucwj.dll
O2 - BHO: (no name) - {30863089-6B4C-41F6-A9BE-E1568B0D31E3} - C:\WINDOWS\system32\vtutu.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: (no name) - {D651AFF4-9590-424d-BD1E-8E33E090DFB3} - C:\WINDOWS\system32\yywgkdtq.dll
O2 - BHO: (no name) - {E9567E45-D8F2-4E14-B1F5-335DD0DCD813} - C:\WINDOWS\system32\ddccd.dll (file missing)
O2 - BHO: (no name) - {ED593E05-0872-4290-B76C-7473B5D56B6E} - C:\WINDOWS\system32\ssqrq.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ehTray] -C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] -HDAShCut.exe
O4 - HKLM\..\Run: [NvCplDaemon] -RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] -nwiz.exe /install
O4 - HKLM\..\Run: [SynTPEnh] -C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RTHDCPL] -RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] -ALCMTR.EXE
O4 - HKLM\..\Run: [SMSERIAL] -sm56hlpr.exe
O4 - HKLM\..\Run: [Muscbrigade] -c:\Musicbrigade\Musicbrigade.exe check
O4 - HKLM\..\Run: [NeroFilterCheck] -C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] -"C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [WinampAgent] -C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [PWRISOVM.EXE] -C:\Program Files\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [QuickTime Task] -"C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RemoteControl] -"C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] -"C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [InfoData] rundll32.exe "C:\WINDOWS\system32\gjpjduqv.dll",realset
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [fsc-reminder.exe] -C:\WINDOWSeminder\fsc-reminder.exe 2454170 6
O4 - HKCU\..\Run: [MsnMsgr] -"C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MSMSGS] -"C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\FICHIE~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Unknown owner - -"C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Google Updater Service (gusvc) - Unknown owner - -"C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - -"C:\Program Files\CyberLink\Shared Files\RichVideo.exe (file missing)
O23 - Service: Service Messenger Sharing Folders USN Journal Reader (usnjsvc) - Unknown owner - -"C:\Program Files\MSN Messenger\usnsvc.exe (file missing)
O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - -"C:\Program Files\Windows Media Player\WMPNetwk.exe (file missing)

Regis59 · Answer

Salut,

Imprime, ou enregistre ceci dans le bloc note pour ne rien oublier.

1/ 

télécharge : process xp ici: 
https://www.cjoint.com/?eDnoZHpoNl

Télécharge: Pocket Killbox ici 
http://www.downloads.subratam.org/KillBox.exe 

:: Démo d utilisation (merci a Balltrap34 pour cette réalisation) ::
http://pageperso.aol.fr/balltrap34/killbox.htm 

2/ 

Déconnecte toi du net. 
Ferme tous les programmes en cours (média player, internet explorer, ...etc) 

Dézippe (clic droit > extraire) process xp et double clic sur processxp.exe 

* Dans la fenêtre principale de processxp double clic sur winlogon.exe 
Dans la nouvelle fenêtre qui s'ouvre clique sur threads 
sélectionne seulement les lignes qui contiennent krknucwj.dll puis clique sur kill pour chacune des lignes trouvées. 
une fois fait, valide avec ok 

De même avec:
yywgkdtq.dll

* Dans la fenêtre principale de processxp double clic sur explorer.exe 
Dans la nouvelle fenêtre qui s'ouvre clique sur threads 
sélectionner seulement les lignes qui contiennent krknucwj.dll puis clique sur kill pour chacune des lignes trouvées. 
une fois fait, valide avec ok 


De même avec:
yywgkdtq.dll

3/ 

puis lancer HijackThis: 

clique sur "do a system scan only" 

* Cocher la case au début de ces lignes: 

O2 - BHO: (no name) - {1E6F5A1C-3166-4735-B06B-1644E23D2ECe} - C:\WINDOWS\system32\krknucwj.dll

O2 - BHO: (no name) - {30863089-6B4C-41F6-A9BE-E1568B0D31E3} - C:\WINDOWS\system32\vtutu.dll (file missing)

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: (no name) - {D651AFF4-9590-424d-BD1E-8E33E090DFB3} - C:\WINDOWS\system32\yywgkdtq.dll

O2 - BHO: (no name) - {E9567E45-D8F2-4E14-B1F5-335DD0DCD813} - C:\WINDOWS\system32\ddccd.dll (file missing)

O2 - BHO: (no name) - {ED593E05-0872-4290-B76C-7473B5D56B6E} - C:\WINDOWS\system32\ssqrq.dll (file missing)

O4 - HKLM\..\Run: [InfoData] rundll32.exe "C:\WINDOWS\system32\gjpjduqv.dll",realset 

* Valider avec fix checked 


5/ 

Double clic sur killbox.exe (Pocket Killbox) 

Utilise la méthode du bloc note (voir vidéo)

C:\WINDOWS\system32\krknucwj.dll
C:\WINDOWS\system32\yywgkdtq.dll
C:\WINDOWS\system32\gjpjduqv.dll

Si ce message s’affiche ignore le :
http://tinypic.com/images/goodbye.jpg 
Laisse le pc redémarrer.
Recoche la case pour réactiver le tea timer de Spybot. 
Et après reposte un log HijackThis. 

A+

Titousteo · Answer

Slt ...

alors le process xp na rien donné ..il n'y avait aucun fichier du nom sus citer ds les rubrik threads... pour le rest tt c'est bien deroulé je pense.. voila le log :

Logfile of HijackThis v1.99.1
Scan saved at 14:19:16, on 29/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.fluo.com/?m=Titou search
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ehTray] -C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] -HDAShCut.exe
O4 - HKLM\..\Run: [NvCplDaemon] -RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] -nwiz.exe /install
O4 - HKLM\..\Run: [SynTPEnh] -C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RTHDCPL] -RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] -ALCMTR.EXE
O4 - HKLM\..\Run: [SMSERIAL] -sm56hlpr.exe
O4 - HKLM\..\Run: [Muscbrigade] -c:\Musicbrigade\Musicbrigade.exe check
O4 - HKLM\..\Run: [NeroFilterCheck] -C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] -"C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [WinampAgent] -C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [PWRISOVM.EXE] -C:\Program Files\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [QuickTime Task] -"C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RemoteControl] -"C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] -"C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [fsc-reminder.exe] -C:\WINDOWSeminder\fsc-reminder.exe 2454170 6
O4 - HKCU\..\Run: [MsnMsgr] -"C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MSMSGS] -"C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\FICHIE~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Unknown owner - -"C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Google Updater Service (gusvc) - Unknown owner - -"C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - -"C:\Program Files\CyberLink\Shared Files\RichVideo.exe (file missing)
O23 - Service: Service Messenger Sharing Folders USN Journal Reader (usnjsvc) - Unknown owner - -"C:\Program Files\MSN Messenger\usnsvc.exe (file missing)
O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - -"C:\Program Files\Windows Media Player\WMPNetwk.exe (file missing)

Regis59 · Answer

Ok, ou en sont tes soucis?

A+

Titousteo · Answer

je n'ai plus de gros pb majeur  genre antivirus truc error safe..doctor system...truc du genre ..mais il me reste qq ptites pub nottament quand je lance des recheches sur google ..peu apres j'ai une fenetre type msn search qui s'affiche ac le meme module de recherche  ... ou des pub genre holliwood movies ect ..pop up classic? encor un pti virus? ...

Regis59 · Answer

Salut

remet un hijackthis

a9+

Titousteo · Answer

Logfile of HijackThis v1.99.1
Scan saved at 15:29:32, on 30/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.fluo.com/?m=Titou search
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ehTray] -C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] -HDAShCut.exe
O4 - HKLM\..\Run: [NvCplDaemon] -RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] -nwiz.exe /install
O4 - HKLM\..\Run: [SynTPEnh] -C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RTHDCPL] -RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] -ALCMTR.EXE
O4 - HKLM\..\Run: [SMSERIAL] -sm56hlpr.exe
O4 - HKLM\..\Run: [Muscbrigade] -c:\Musicbrigade\Musicbrigade.exe check
O4 - HKLM\..\Run: [NeroFilterCheck] -C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] -"C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [WinampAgent] -C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [PWRISOVM.EXE] -C:\Program Files\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [QuickTime Task] -"C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RemoteControl] -"C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] -"C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [fsc-reminder.exe] -C:\WINDOWSeminder\fsc-reminder.exe 2454170 6
O4 - HKCU\..\Run: [MsnMsgr] -"C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MSMSGS] -"C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\FICHIE~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Unknown owner - -"C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Google Updater Service (gusvc) - Unknown owner - -"C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - -"C:\Program Files\CyberLink\Shared Files\RichVideo.exe (file missing)
O23 - Service: Service Messenger Sharing Folders USN Journal Reader (usnjsvc) - Unknown owner - -"C:\Program Files\MSN Messenger\usnsvc.exe (file missing)
O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - -"C:\Program Files\Windows Media Player\WMPNetwk.exe (file missing)

Regis59 · Answer

Re,

- Télécharge http://www.malekal.com/download/clean.zip , décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean.

Lance clean, et choisis option 1.
copie colle le rapport

a+

Titousteo · Answer

30/04/2007 a 18:00:53,26 
 
*** Recherche des fichiers dans C: 
 
*** Recherche des fichiers dans C:\WINDOWS\ 
 
*** Recherche des fichiers dans C:\WINDOWS\system32 
C:\WINDOWS\system32\mcrh.tmp FOUND 
 
*** Recherche des fichiers dans C:\Program Files 
*** Fin du rapport !

Regis59 · Answer

ok

¤Démarre en mode sans échec : 
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter 
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée. 
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal ! 
(Si F8 ne marche pas utilise la touche F5).  

Lance clean.zip
Option 2.
Sauvegarde le rapport
redemarre en mode normal et copie colle le rapport

a+

Titousteo · Answer

Script execute en mode sans echec 
Rapport clean par Malekal_morte - http://www.malekal.com 
Script execute en mode sans echec 01/05/2007 a 14:00:49,40 

Microsoft Windows XP [version 5.1.2600]
 
*** Suppression des fichiers dans C: 
 
*** Suppression des fichiers dans C:\WINDOWS\ 
 
*** Suppression des fichiers dans C:\WINDOWS\system32 
tentative de suppression de C:\WINDOWS\system32\mcrh.tmp 
 
*** Suppression des fichiers dans C:\Program Files 
 
*** Suppression des clefs du registre effectuee.. 
*** Fin du rapport !

Regis59 · Answer

salut

ou en sont tes soucis?

A+

Titousteo · Answer

Slt, alors cava bcp mieux :D ..j'ai tj une fenetre de recherche style msn qui saffiche peu de temps apres une vrai recherche sur ma googlebar mai bon c po tre genan ..jai 2 3 fenetre de pub par ci par la mais c plus du genre pop up je pense.... la googlebar ne doit pas suffir a tous les bloquer pitetre ta qqch a me conseiller de faire ? des truc a rajouté ? ou suprimer?  

MErci pour ton aide et tt et tt :) !!!

Regis59 · Answer

Hello

oui lol
C'est quoi ces pubs? T'as une adresse? URL? Description?

A+

Titousteo · Answer

NOn ya rien de spé c'est tres variable.....mise a part le genre de ptite fenetre style "msn search" c une des seule qui revient, ac ue page "serveur introuvable" aussi ....
Mais bon c pas tres genant et pas tres frequent...les Pb majeurs ont totalement disparu !!! 

JE t'en remerci dailleur infiniment :p.... si tu as besoin d'un osteo un J contact moi je me souviendrai de ton aide ;) !!!

@+

Regis59 · Answer

re 

lol merci

essai AVG Anti-Spyware :

https://www.malekal.com/avg-antivirus-free-antivirus-gratuit-pour-proteger-son-pc-des-virus/ 

¤ Lance AVG Anti-Spyware

Clique sur le bouton Analyse (de la barre d'outils)

Puis sur l'onglets Comment réagir, clique sur Actions recommandées. Sélectionne Quarantaine.

Reviens à l'onglet Analyse. Clique sur Analyse complète du système.

A la fin du scan, choisis l'option 3

"Appliquer toutes les actions " en bas.

Clique sur "Enregistrer le rapport".

Copie/colle le rapport sur le forum.

A+

Titousteo · Answer

AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

 + Créé à:	23:18:46 04/05/2007

 + Résultat de l'analyse:	



C:\System Volume Information\_restore{2A1DC578-561D-44F3-97AB-B7C28A6DFFE7}\RP50\A0005469.exe -> Backdoor.Agent.acx : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{2A1DC578-561D-44F3-97AB-B7C28A6DFFE7}\RP30\A0002105.exe -> Backdoor.Theef.111 : Nettoyé et sauvegardé (mise en quarantaine).
C:\Program Files\Fichiers communs\Microsoft Shared\MSInfo\WinService32.exe -> Dropper.Small : Nettoyé et sauvegardé (mise en quarantaine).
C:\Program Files\Fichiers communs\System\Win32KernelUpd.exe -> Dropper.Small : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{2A1DC578-561D-44F3-97AB-B7C28A6DFFE7}\RP46\A0004728.exe -> Dropper.Small : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{2A1DC578-561D-44F3-97AB-B7C28A6DFFE7}\RP49\A0005272.exe -> Hijacker.Agent.is : Nettoyé et sauvegardé (mise en quarantaine).
C:\cwhdtm.exe -> Hijacker.Agent.is : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\Titousteopathe\Bureau\SDFix\backups_old1\backups.zip/backups/rpcc.dll -> Proxy.Dlena.ce : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{2A1DC578-561D-44F3-97AB-B7C28A6DFFE7}\RP50\A0005415.dll -> Proxy.Dlena.ce : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{2A1DC578-561D-44F3-97AB-B7C28A6DFFE7}\RP50\A0005426.dll -> Proxy.Dlena.ce : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{2A1DC578-561D-44F3-97AB-B7C28A6DFFE7}\RP49\A0005084.exe -> Proxy.Wopla.ac : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{2A1DC578-561D-44F3-97AB-B7C28A6DFFE7}\RP49\A0005083.sys -> Rootkit.Agent.cf : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\Titousteopathe\Cookies	itousteopathe@247realmedia[1].txt -> TrackingCookie.247realmedia : Nettoyé.
C:\Documents and Settings\Titousteopathe\Cookies	itousteopathe@atdmt[2].txt -> TrackingCookie.Atdmt : Nettoyé.
C:\Documents and Settings\Titousteopathe\Cookies	itousteopathe@bluestreak[1].txt -> TrackingCookie.Bluestreak : Nettoyé.
C:\Documents and Settings\Titousteopathe\Cookies	itousteopathe@doubleclick[1].txt -> TrackingCookie.Doubleclick : Nettoyé.
C:\Documents and Settings\Titousteopathe\Cookies	itousteopathe@overture[2].txt -> TrackingCookie.Overture : Nettoyé.
C:\Documents and Settings\Titousteopathe\Cookies	itousteopathe@www.smartadserver[1].txt -> TrackingCookie.Smartadserver : Nettoyé.
C:\Documents and Settings\Titousteopathe\Cookies	itousteopathe@weborama[1].txt -> TrackingCookie.Weborama : Nettoyé.
C:\Documents and Settings\Titousteopathe\Cookies	itousteopathe@statse.webtrendslive[2].txt -> TrackingCookie.Webtrendslive : Nettoyé.


Fin du rapport

Regis59 · Answer

OK C'est mieux,

et la?

A+

Titousteo · Answer

Slt :) 

Dc oui c'est bcp mieux merci bcp... par contre mon ordi est plus lent ... ???

avast et AVG anti spaware peuvent rester ensemble? c compatible? 

Puis je supprimer tt les logiciel killbox smithfraudfix navilog vundo..Ect... et commant bien les desinstaller car il n'apparaissent pas ds paneau de config modif ou sup. programme !

Voilou merci encor @+

Regis59 · Answer

Coucou

Tu peux enlever AVG AS dans la protection résidente.
Tu peux supprimer navilog, hijackthis, vundo, killbox, smitfraudfix, en cliquant droit sur chacun et choisis supprimer.

Redemarre ton pc.
Pense a le défragmenter.

a+

Titousteo · Answer

Voilou tt est fait.......

MERCIIIIIIIIII

et noublie pas pour l'osteo ;) !!!

Bonne continuation et si jai de nouveau des pb je sais a quel porte frapper ;) merci encore !!!

Titou

Regis59 · Answer

Hello

J'oublie pas l'ostheo lol

Bonne continuation et si tu as besoin, n'hésites pas ;)

a+

[virus?]registry cleaner/drive cleaner and Co

81 réponses

Discussions similaires

Newsletters