your computer is infected Fermé

Question

Bjr a tous,
Mon pc affiche trés souvent une fenetre "your computer is infected" avec un petit logo rouge avec une croix blanche. je vais faire la procedure comme indiqué sur ce site, es ce que quelqu'un pourrai m'aider pour les rapports?
d'avance merci

xdan · Answer

hello,

Reste à savoir si cette fenetre provient de ton antivirus, ou si elle apparait lors de navigation sur le net. Dans ce dernier cas c'est de la pub.

plouf plouf · Answer

Bonjour ,

1/Peux - tu faire ce qui suit stp :-)

Télécharge smitfraud fix
 

     Double clique sur smitfraudfix.exe
     sélectionne 1  appuies/ la touche "entrée" dans le menu pour créer un rapport des fichiers responsables de l'infection. Le rapport se trouve à la racine du disque système C:\rapport.txt

http://perso.orange.fr/jesses/Docs/Logiciels/SmitfraudFix.htm
( un tuto pour t'aider )

2 / télécharger et mettre un rapport hijackthis 
http://telechargement.zebulon.fr/hijackthis-fr.html
http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm
( merci à balltrap34 )
3/ télécharger avg antispyware :
avg antispyware
un tuto si besoin  https://www.malekal.com/avg-antivirus-free-antivirus-gratuit-pour-proteger-son-pc-des-virus/


4/ faire un scan en ligne avec bitdefender
https://www.bitdefender.com/toolbox/
http://www.inoculer.com/scan/licence.php


Poster ,tous les rapports demandés ;-)
Bon courage 
a+
Plouf Plouf

plouf plouf · Answer

Bonjour ,
Ton systéme d'exploitation n'est pas à jour ( MSIE: Internet Explorer v6.00 (6.00.2600.0000)


A faire dans l'ordre , les manipulations , qui vont suivre , stp.
1/Installe AVG Anti-Spyware :avg antispyware

https://www.malekal.com/avg-antivirus-free-antivirus-gratuit-pour-proteger-son-pc-des-virus/

¤ Lance AVG Anti-Spyware

Clique sur le bouton Analyse (de la barre d'outils)

Puis sur l'onglets Comment réagir, clique sur Actions recommandées. Sélectionne Quarantaine.

Reviens à l'onglet Analyse. Clique sur Analyse complète du système.

A la fin du scan, choisis l'option 3

"Appliquer toutes les actions " en bas.

Clique sur "Enregistrer le rapport".

Copie/colle le rapport sur le forum. 
2/redémarre en mode sans echec et supprime ce qui est en gras
C:\WINDOWS\Temp\startdrv.exe 
autorise les fichiers et dossiers cachés ( dans options dossiers ) et Si tu les trouve ,supprime, également ce qui est en gras:
C:\WINDOWS\System32\winIogon.exe
C:\WINDOWS\System32\max1d1641.exe 
3/ relance hijacthis et fixe ces lignes :
O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\System32\winIogon.exe

( par précaution )

3/Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.
Déroule la liste des instructions ci-dessous :
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.

• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !
+ un scan bitdefender
Courage
a+
Plouf Plouf

plouf plouf · Answer

Bonjour , Ton pc est bien infecté.. On va y aller tout doucement ;-) Tu n'as pas remis d'hijacthis , comme demandé .. Manipulation à faire dans l'ordre stp : Désactive , ta restauration système :Clic droit sur poste de travail puis, propriétés, tu cliques /l' onglet restauration système tu coches la case "désactiver la restauration et applique" Une fois cela fait , tu fais l'inverse , pour la réactiver Fais un clic droit sur ce lien : http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau. Ensuite double clique sur navilog1.exe pour lancer l'installation. Une fois l'installation terminée, le fix s'exécutera automatiquement. (Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau). Laisse-toi guider. Au menu principal, choisis 1 et valides. (ne fais pas le choix 2,3 ou 4 sans notre avis/accord) Patiente jusqu'au message : *** Analyse Termine le ..... *** Appuie sur une touche comme demandé, le blocnote va s'ouvrir. Copie-colle l'intégralité dans une réponse. Referme le blocnote. Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt) 2/Télécharge ccleaner ( dans la section 'télécharger') https://www.malekal.com/tutoriel-ccleaner/ Postes le rapport 3/Tu dis , que tu n'es pas parvenu à supprimer :winIogon.exe il faut que tu réessayes de supprimer les .exe demandés dans mon post précédent : Tu as bien redémarré en mode sans échec !? https://www.malekal.com/demarrer-windows-mode-sans-echec/ Tu as également fais cette manipulation !?: 1 Ouvre le poste de travail 2 - Clique sur le menu Outils puis sur Options des dossiers 3 - Puis tu vas sur l'onglet Affichage 4 - Section Fichiers et dossiers cachés coche "Afficher les fichiers et dossiers cachés" Puis décoche masquer les extensions dont le type est connu ainsi que masquer les fichiers protéger du système d'exploitation ( recommandé) Une fois que tu as supprimé , ce que tu dois , refais , la manipulation inverse ;-) 4/ Peux tu stp aller sur ce site https://virusscan.jotti.org/ fais scanner secdrv.sys puis fdgevrsj.dll ( tu sais ce que c'est fdgevrsj.dll !?) 5/ remets un hijackthis ( j'espère que cette fois , il sera présent !) Bon courage EDIT : Poste , bien sûr , tous les rapports , obtenus . a+ Plouf Plouf

glame · Answer

salut plouf plouf et encore merci pour l'aide,
j'ai oublié le rapport hijack mais j'ai bien redemarrer en mode sans echec cette fois ci je te met tout,

Search Navipromo version 2.0.2 commencé le 01/06/2007 à 18:09:33,04
 
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Program Files
avilog1
Mise a jour le 17.05.2007 a 23h00 by IL-MAFIOSO


voila je n'ai toujour pas reussi a enlever winlogon.exe et je ne sais pas ce qu'est fdgevrsj.dll 

A+

Executé en mode normal

*** Recherche Programmes installes *** 

 


*** Recherche dossiers dans C:\WINDOWS ***




*** Recherche dossiers dans C:\Program Files ***




*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




*** Recherche dossiers dans C:\Documents and Settings\glame\Application Data ***



*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
https://www.f-secure.com/en

Fichier(s) caché(s) dans C:\WINDOWS\system32 :


Processus caché(s) dans C:\WINDOWS\system32 :



*** Recherche fichiers *** 




*** Recherche cles registre ***


Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs] 
 
 

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage] 
 
 

Recherche Clé Magic Control 
 
 
 
*** Module de Recherche complémentaire *** 
(Recherche fichiers spécifiques) 
 
1)Recherche fichiers connus:

C:\WINDOWS\system32
mllm.bak1 trouvé ! infection Vundo possible non traité par cet outil !
C:\WINDOWS\system32
mllm.bak2 trouvé ! infection Vundo possible non traité par cet outil !

2)Recherche Heuristique :
* 
** 
*** 
**** 
***** 
****** 
******* 
******** 
 
 
*** Analyse Terminé le 01/06/2007 à 18:09:54,49 *** 


ANALYSIS COMPLETE - (1,615 secs)
------------------------------------------------------------------------------------------
19,1MB to be removed. (Approximate size)
------------------------------------------------------------------------------------------

Details of files to be deleted (Note: No files have been deleted yet)
------------------------------------------------------------------------------------------
IE Temporary Internet Files (1695 files) 12,0MB
C:\Documents and Settings\glame\Cookies\glame@1070847646[1].txt 529 bytes
C:\Documents and Settings\glame\Cookies\glame@2every[1].txt 268 bytes
C:\Documents and Settings\glame\Cookies\glame@82.98.235[1].txt 262 bytes
C:\Documents and Settings\glame\Cookies\glame@82.98.235[2].txt 68 bytes
C:\Documents and Settings\glame\Cookies\glame@89.188.16[2].txt 167 bytes
C:\Documents and Settings\glame\Cookies\glame@89.188.16[3].txt 181 bytes
C:\Documents and Settings\glame\Cookies\glame@adultfriendfinder[2].txt 250 bytes
C:\Documents and Settings\glame\Cookies\glame@atdmt[2].txt 97 bytes
C:\Documents and Settings\glame\Cookies\glame@atelecharger[1].txt 378 bytes
C:\Documents and Settings\glame\Cookies\glame@bitdefender[2].txt 134 bytes
C:\Documents and Settings\glame\Cookies\glame@bluestreak[2].txt 723 bytes
C:\Documents and Settings\glame\Cookies\glame@c.msn[1].txt 68 bytes
C:\Documents and Settings\glame\Cookies\glame@doubleclick[1].txt 83 bytes
C:\Documents and Settings\glame\Cookies\glame@drivecleaner[1].txt 1,17KB
C:\Documents and Settings\glame\Cookies\glame@edt02[1].txt 806 bytes
C:\Documents and Settings\glame\Cookies\glame@ehg-neuftelecom.hitbox[1].txt 225 bytes
C:\Documents and Settings\glame\Cookies\glame@estat[1].txt 80 bytes
C:\Documents and Settings\glame\Cookies\glame@fr.drivecleaner[1].txt 82 bytes
C:\Documents and Settings\glame\Cookies\glame@fr.msn[2].txt 328 bytes
C:\Documents and Settings\glame\Cookies\glame@fr.unibet[1].txt 253 bytes
C:\Documents and Settings\glame\Cookies\glame@friendfinder[1].txt 1020 bytes
C:\Documents and Settings\glame\Cookies\glame@google[1].txt 130 bytes
C:\Documents and Settings\glame\Cookies\glame@h.msn[1].txt 67 bytes
C:\Documents and Settings\glame\Cookies\glame@hitbox[2].txt 151 bytes
C:\Documents and Settings\glame\Cookies\glame@hotmail.msn[1].txt 71 bytes
C:\Documents and Settings\glame\Cookies\glame@i2as.idregie[1].txt 100 bytes
C:\Documents and Settings\glame\Cookies\glame@idregie[2].txt 414 bytes
C:\Documents and Settings\glame\Cookies\glame@leroymerlin[1].txt 88 bytes
C:\Documents and Settings\glame\Cookies\glame@live[1].txt 94 bytes
C:\Documents and Settings\glame\Cookies\glame@login.live[2].txt 175 bytes
C:\Documents and Settings\glame\Cookies\glame@mediaplex[1].txt 78 bytes
C:\Documents and Settings\glame\Cookies\glame@msnportal.112.2o7[1].txt 119 bytes
C:\Documents and Settings\glame\Cookies\glame@msn[2].txt 433 bytes
C:\Documents and Settings\glame\Cookies\glame@offres.neuf[2].txt 72 bytes
C:\Documents and Settings\glame\Cookies\glame@overture[1].txt 601 bytes
C:\Documents and Settings\glame\Cookies\glame@pagesjaunes[1].txt 85 bytes
C:\Documents and Settings\glame\Cookies\glame@pctools[1].txt 557 bytes
C:\Documents and Settings\glame\Cookies\glame@phpmv2[2].txt 777 bytes
C:\Documents and Settings\glame\Cookies\glame@polenord[1].txt 529 bytes
C:\Documents and Settings\glame\Cookies\glame@punter[1].txt 84 bytes
C:\Documents and Settings\glame\Cookies\glame@rad.msn[2].txt 680 bytes
C:\Documents and Settings\glame\Cookies\glame@redirect[1].txt 155 bytes
C:\Documents and Settings\glame\Cookies\glame@sdv[1].txt 296 bytes
C:\Documents and Settings\glame\Cookies\glame@sitemng.pctools[2].txt 384 bytes
C:\Documents and Settings\glame\Cookies\glame@ssl-hints.netflame[1].txt 157 bytes
C:\Documents and Settings\glame\Cookies\glame@stats.drivecleaner[2].txt 410 bytes
C:\Documents and Settings\glame\Cookies\glame@stats1.reliablestats[2].txt 937 bytes
C:\Documents and Settings\glame\Cookies\glame@svxela[2].txt 227 bytes
C:\Documents and Settings\glame\Cookies\glame@tradedoubler[2].txt 305 bytes
C:\Documents and Settings\glame\Cookies\glame@tribalfusion[1].txt 159 bytes
C:\Documents and Settings\glame\Cookies\glame@weborama[2].txt 175 bytes
C:\Documents and Settings\glame\Cookies\glame@whitescat[1].txt 262 bytes
C:\Documents and Settings\glame\Cookies\glame@www.01net[1].txt 320 bytes
C:\Documents and Settings\glame\Cookies\glame@www.amaena[2].txt 721 bytes
C:\Documents and Settings\glame\Cookies\glame@www.cinemasgaumontpathe[1].txt 119 bytes
C:\Documents and Settings\glame\Cookies\glame@www.commentcamarche[1].txt 113 bytes
C:\Documents and Settings\glame\Cookies\glame@www.leroymerlin[2].txt 196 bytes
C:\Documents and Settings\glame\Cookies\glame@www.microsoft[2].txt 79 bytes
C:\Documents and Settings\glame\Cookies\glame@www.pagesjaunes[1].txt 129 bytes
C:\Documents and Settings\glame\Cookies\glame@www.smartadserver[2].txt 389 bytes
C:\Documents and Settings\glame\Cookies\glame@www.unibet-tools[1].txt 105 bytes
C:\Documents and Settings\glame\Cookies\glame@www.unibet[1].txt 99 bytes
C:\Documents and Settings\glame\Cookies\glame@www.unibet[2].txt 179 bytes
C:\Documents and Settings\glame\Cookies\glame@www.virginmega[1].txt 113 bytes
C:\Documents and Settings\glame\Cookies\glame@xiti[1].txt 100 bytes
C:\Documents and Settings\glame\Cookies\glame@yahoo[2].txt 158 bytes
Marked for deletion: C:\Documents and Settings\glame\Local Settings\Temporary Internet Files\Content.IE5\index.dat
Marked for deletion: C:\Documents and Settings\glame\Cookies\index.dat
C:\WINDOWS\TEMP\startdrv.exe 19,50KB
C:\DOCUME~1\glame\LOCALS~1\Temp
sj4.tmp\InstallOptions.dll 13,50KB
C:\DOCUME~1\glame\LOCALS~1\Temp
sj4.tmp\ioFileY.ini 1,07KB
C:\DOCUME~1\glame\LOCALS~1\Temp
sj4.tmp\ioSpecial.ini 777 bytes
C:\DOCUME~1\glame\LOCALS~1\Temp
sj4.tmp\LangDLL.dll 5,00KB
C:\DOCUME~1\glame\LOCALS~1\Temp
sj4.tmp\modern-header.bmp 9,51KB
C:\DOCUME~1\glame\LOCALS~1\Temp
sj4.tmp\modern-wizard.bmp 51,34KB
C:\DOCUME~1\glame\LOCALS~1\Temp
sj4.tmp\StopCC.dll 44,00KB
C:\DOCUME~1\glame\LOCALS~1\Temp\ycomp_setup.exe 1,56MB
C:\DOCUME~1\glame\LOCALS~1\Temp\ytb3.exe 2,14MB
C:\WINDOWS\system32\wbem\Logs\FrameWork.log 1,54KB
C:\WINDOWS\system32\wbem\Logs\mofcomp.log 10,71KB
C:\WINDOWS\system32\wbem\Logs\setup.log 4,75KB
C:\WINDOWS\system32\wbem\Logs\wbemcore.log 217 bytes
C:\WINDOWS\system32\wbem\Logs\wbemess.log 32,43KB
C:\WINDOWS\system32\wbem\Logs\wbemprox.log 101 bytes
C:\WINDOWS\system32\wbem\Logs\WinMgmt.log 648 bytes
C:\WINDOWS\system32\wbem\Logs\wmiadap.log 358 bytes
C:\WINDOWS\system32\wbem\Logs\wmiprov.log 15,75KB
C:\WINDOWS\0.log 0 bytes
C:\WINDOWS\comsetup.log 15,33KB
C:\WINDOWS\DtcInstall.log 128 bytes
C:\WINDOWS\FaxSetup.log 11,27KB
C:\WINDOWS\iis6.log 45,74KB
C:\WINDOWS\imsins.log 4,28KB
C:\WINDOWS\msgsocm.log 821 bytes
C:\WINDOWS\msmqinst.log 9,62KB
C:\WINDOWS
tdtcsetup.log 7,51KB
C:\WINDOWS\ocgen.log 12,52KB
C:\WINDOWS\ocmsn.log 1,04KB
C:\WINDOWSegopt.log 1,44KB
C:\WINDOWS\sessmgr.setup.log 1,03KB
C:\WINDOWS\setupact.log 0,16MB
C:\WINDOWS\setupapi.log 0,62MB
C:\WINDOWS\setuperr.log 656 bytes
C:\WINDOWS\Sti_Trace.log 0 bytes
C:\WINDOWS	soc.log 9,94KB
C:\WINDOWS\wiadebug.log 393 bytes
C:\WINDOWS\wiaservc.log 50 bytes
C:\WINDOWS\Windows Update.log 1,63KB
C:\WINDOWS
tbtlog.txt 0,23MB
C:\WINDOWS\OEWABLog.txt 824 bytes
C:\WINDOWS\setuplog.txt 0,72MB
C:\Documents and Settings\All Users\Application Data\Microsoft\Dr Watson\drwtsn32.log 0,27MB
C:\Documents and Settings\All Users\Application Data\Microsoft\Dr Watson\user.dmp 0,13MB
C:\WINDOWS\Debug\NetSetup.LOG 4,27KB
C:\WINDOWS\Debug\UserMode\userenv.log 19,09KB
C:\WINDOWS\security\logs\backup.log 3,34KB
C:\WINDOWS\security\logs\SceRoot.log 622 bytes
C:\WINDOWS\security\logs\scesetup.log 0,42MB
C:\Documents and Settings\glame\Application Data\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\settings.sol 348 bytes
C:\Program Files\Lavasoft\Ad-Aware SE Personal\defs.ref.old 0,45MB
C:\Documents and Settings\glame\Application Data\Lavasoft\Ad-Aware\Logs\Ad-Aware log2007-05-30 22-50-06.txt 21,79KB
C:\Program Files\eMule\config\AC_SearchStrings.dat 184 bytes
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\logfile.txt 336 bytes
------------------------------------------------------------------------------------------



Logfile of HijackThis v1.99.1
Scan saved at 00:37:55, on 02/06/2007
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32
vsvc32.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neuf.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\System32\urqrooo.dll
O2 - BHO: (no name) - {98C3C4C8-3702-41BD-9CBB-D82AC90D8678} - C:\WINDOWS\System32\mllmn.dll
O2 - BHO: (no name) - {CD3447D4-CA39-4377-8084-30E86331D74C} - C:\WINDOWS\System32\aowjugdk.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\System32\sw20.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [setup] rundll32.exe "C:\WINDOWS\System32\dkpojrvn.dll",realset
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1F85F2AE-FDA5-4846-B1D5-9E2916FAB581}: NameServer = 84.103.237.140 86.64.145.140
O17 - HKLM\System\CS1\Services\Tcpip\..\{1F85F2AE-FDA5-4846-B1D5-9E2916FAB581}: NameServer = 84.103.237.140 86.64.145.140
O20 - Winlogon Notify: mllmn - C:\WINDOWS\System32\mllmn.dll
O20 - Winlogon Notify: urqrooo - C:\WINDOWS\SYSTEM32\urqrooo.dll
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe

plouf plouf · Answer

Bonjour , 
Prêt pour un big nettoyage :-) ;-) !? 
Télécharge vundofix par atribune
Si jamais , tu n'y arrivais pas , rends toi ici 
https://www.softpedia.com/get/Antivirus/VundoFix.shtml
      Double-clique / VundoFix.exe
     Clique / le bouton Scan for Vundo
    Si le programme vous demande de supprimer des fichiers, faites oui
     Lorsque le programme a fini de scanner votre ordinateur, ce dernier doit être éteint, redémarrez le.

2/Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.
Déroule la liste des instructions ci-dessous :
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.

• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum
3/Vide la quarantaine de avg antispyware , relance le .

4/ télécharge ad-aware Se ( que tu trouveras , dans la rubrique "télécharger"
Un tuto , pour t'aider http://xp.net.free.fr/tutos/ad-aware.php

5/ nettoies ta base de registre avec regcleaner http://www.01net.com/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/4894.html
http://www.kachouri.com/tuto/tuto-94-regcleaner--nettoyer-le-registre-systeme.html

6/ nettoies tes fichiers temporaires ..avec ccleaner ( tu le trouveras , dans la section , "télécharger")
un tuto : https://forums.cnetfrance.fr

7/ faire un scan avec l'antivirus : bitdefender

8/ remets un hijacthis

T'as vu , t'es gâté lol 
Poste ,tous les rapports obtenus, stp ;-)

Bon courage et bon week-end
a+
Plouf Plouf

glame · Answer

ça en fait du boulot tout ça,

je n'ai pas reussi a faire un rapport avec bitdefender car arrivé à la fin du scann j'ai une fenetre qui m'affiche "explrer.exe a rencontré un probleme"

VundoFix V6.4.1

Checking Java version...

Sun Java not detected
Scan started at 12:08:33 02/06/2007

Listing files found while scanning....

C:\WINDOWS\system32\dkpojrvn.dll
C:\WINDOWS\System32\mllmn.dll
C:\WINDOWS\System32
mllm.bak1
C:\WINDOWS\System32
mllm.bak2
C:\WINDOWS\System32
mllm.ini
C:\WINDOWS\System32
vrjopkd.ini
C:\WINDOWS\System32\urqrooo.dll

Beginning removal...

 Attempting to delete C:\WINDOWS\system32\dkpojrvn.dll
C:\WINDOWS\system32\dkpojrvn.dll Has been deleted!

 Attempting to delete C:\WINDOWS\System32\mllmn.dll
C:\WINDOWS\System32\mllmn.dll Has been deleted!

 Attempting to delete C:\WINDOWS\System32
mllm.bak1
C:\WINDOWS\System32
mllm.bak1 Has been deleted!

 Attempting to delete C:\WINDOWS\System32
mllm.bak2
C:\WINDOWS\System32
mllm.bak2 Has been deleted!

 Attempting to delete C:\WINDOWS\System32
mllm.ini
C:\WINDOWS\System32
mllm.ini Has been deleted!

 Attempting to delete C:\WINDOWS\System32
vrjopkd.ini
C:\WINDOWS\System32
vrjopkd.ini Has been deleted!

 Attempting to delete C:\WINDOWS\System32\urqrooo.dll
C:\WINDOWS\System32\urqrooo.dll Has been deleted!

Performing Repairs to the registry.
Done!



SDFix: Version 1.85

Run by glame - 02/06/2007 - 12:18:18,50

Microsoft Windows XP [version 5.1.2600]

Running From: C:\DOCUME~1\glame\Bureau\SDFix

Safe Mode:
Checking Services: 






Restoring Windows Registry Values
Restoring Windows Default Hosts File 

Rebooting...


Normal Mode:
Checking Files:

Below files will be copied to Backups folder then removed:

C:\WINDOWS\system32\config.exe - Deleted
C:\WINDOWS\Temp\startdrv.exe - Deleted



Removing Temp Files...

ADS Check:

Checking if ADS is attached to system32 Folder 
C:\WINDOWS\system32
No streams found.

Checking if ADS is attached to svchost.exe
C:\WINDOWS\system32\svchost.exe
No streams found.



                                 Final Check:

Remaining Services:
------------------


[COLOR=RED][B]Rootkit runtime2 Found, Use a Rootkit scanner ![/COLOR][/B]

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

Remaining Files:
---------------

Backups Folder: - C:\DOCUME~1\glame\Bureau\SDFix\backups\backups.zip

Checking For Files with Hidden Attributes:


                                 Finished
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

 + Créé à:	12:31:03 02/06/2007

 + Résultat de l'analyse:	



C:\Documents and Settings\glame\Bureau\SDFix\backups\backups.zip/backups/config.exe -> Backdoor.Rbot : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\glame\Local Settings\Temporary Internet Files\Content.IE5\809GAG82\installdrivecleanerstart_fr[1].exe -> Not-A-Virus.Downloader.Win32.WinFixer.m : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\glame\Cookies\glame@mistergooddeal.112.2o7[1].txt -> TrackingCookie.2o7 : Nettoyé.
C:\Documents and Settings\glame\Cookies\glame@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Nettoyé.
C:\Documents and Settings\glame\Cookies\glame@atdmt[2].txt -> TrackingCookie.Atdmt : Nettoyé.
C:\Documents and Settings\glame\Cookies\glame@bluestreak[2].txt -> TrackingCookie.Bluestreak : Nettoyé.
C:\Documents and Settings\glame\Cookies\glame@doubleclick[1].txt -> TrackingCookie.Doubleclick : Nettoyé.
C:\Documents and Settings\glame\Cookies\glame@estat[1].txt -> TrackingCookie.Estat : Nettoyé.
C:\Documents and Settings\glame\Cookies\glame@ehg-neuftelecom.hitbox[1].txt -> TrackingCookie.Hitbox : Nettoyé.
C:\Documents and Settings\glame\Cookies\glame@hitbox[2].txt -> TrackingCookie.Hitbox : Nettoyé.
C:\Documents and Settings\glame\Cookies\glame@mediaplex[1].txt -> TrackingCookie.Mediaplex : Nettoyé.
C:\Documents and Settings\glame\Cookies\glame@ssl-hints.netflame[1].txt -> TrackingCookie.Netflame : Nettoyé.
C:\Documents and Settings\glame\Cookies\glame@overture[1].txt -> TrackingCookie.Overture : Nettoyé.
C:\Documents and Settings\glame\Cookies\glame@stats1.reliablestats[2].txt -> TrackingCookie.Reliablestats : Nettoyé.
C:\Documents and Settings\glame\Cookies\glame@www.smartadserver[2].txt -> TrackingCookie.Smartadserver : Nettoyé.
C:\Documents and Settings\glame\Cookies\glame@tradedoubler[2].txt -> TrackingCookie.Tradedoubler : Nettoyé.
C:\Documents and Settings\glame\Cookies\glame@tribalfusion[1].txt -> TrackingCookie.Tribalfusion : Nettoyé.
C:\Documents and Settings\glame\Cookies\glame@weborama[2].txt -> TrackingCookie.Weborama : Nettoyé.
C:\Documents and Settings\glame\Cookies\glame@statse.webtrendslive[2].txt -> TrackingCookie.Webtrendslive : Nettoyé.


Fin du rapport



Ad-Aware SE Build 1.06r1
Logfile Created on:samedi 2 juin 2007 12:45:35
Created with Ad-Aware SE Personal, free for private use.
Using definitions file:SE1R173 29.05.2007
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

References detected during the scan:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
MRU List(TAC index:0):17 total references
Tracking Cookie(TAC index:3):18 total references
Virtumonde(TAC index:10):1 total references
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Ad-Aware SE Settings
===========================
Set : Search for negligible risk entries
Set : Safe mode (always request confirmation)
Set : Scan active processes
Set : Scan registry
Set : Deep-scan registry
Set : Scan my IE Favorites for banned URLs
Set : Scan my Hosts file

Extended Ad-Aware SE Settings
===========================
Set : Unload recognized processes & modules during scan
Set : Scan registry for all users instead of current user only
Set : Always try to unload modules before deletion
Set : During removal, unload Explorer and IE if necessary
Set : Let Windows remove files in use at next reboot
Set : Delete quarantined objects after restoring
Set : Include basic Ad-Aware settings in log file
Set : Include additional Ad-Aware settings in log file
Set : Include reference summary in log file
Set : Include alternate data stream details in log file
Set : Play sound at scan completion if scan locates critical objects


02-06-2007 12:45:35 - Scan started. (Smart mode)

Listing running processes
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

#:1 [smss.exe]
    FilePath           : \SystemRoot\System32\
    ProcessID          : 392
    ThreadCreationTime : 02-06-2007 10:19:10
    BasePriority       : Normal


#:2 [csrss.exe]
    FilePath           : \??\C:\WINDOWS\system32\
    ProcessID          : 560
    ThreadCreationTime : 02-06-2007 10:19:10
    BasePriority       : Normal


#:3 [winlogon.exe]
    FilePath           : \??\C:\WINDOWS\system32\
    ProcessID          : 584
    ThreadCreationTime : 02-06-2007 10:19:11
    BasePriority       : High


#:4 [services.exe]
    FilePath           : C:\WINDOWS\system32\
    ProcessID          : 732
    ThreadCreationTime : 02-06-2007 10:19:11
    BasePriority       : Normal
    FileVersion        : 5.1.2600.0 (xpclient.010817-1148)
    ProductVersion     : 5.1.2600.0
    ProductName        : Système d'exploitation Microsoft® Windows®
    CompanyName        : Microsoft Corporation
    FileDescription    : Applications Services et Contrôleur
    InternalName       : services.exe
    LegalCopyright     : © Microsoft Corporation. Tous droits réservés.
    OriginalFilename   : services.exe

#:5 [lsass.exe]
    FilePath           : C:\WINDOWS\system32\
    ProcessID          : 744
    ThreadCreationTime : 02-06-2007 10:19:11
    BasePriority       : Normal
    FileVersion        : 5.1.2600.0 (xpclient.010817-1148)
    ProductVersion     : 5.1.2600.0
    ProductName        : Microsoft® Windows® Operating System
    CompanyName        : Microsoft Corporation
    FileDescription    : LSA Shell (Export Version)
    InternalName       : lsass.exe
    LegalCopyright     : © Microsoft Corporation. All rights reserved.
    OriginalFilename   : lsass.exe

#:6 [svchost.exe]
    FilePath           : C:\WINDOWS\system32\
    ProcessID          : 924
    ThreadCreationTime : 02-06-2007 10:19:11
    BasePriority       : Normal
    FileVersion        : 5.1.2600.0 (xpclient.010817-1148)
    ProductVersion     : 5.1.2600.0
    ProductName        : Microsoft® Windows® Operating System
    CompanyName        : Microsoft Corporation
    FileDescription    : Generic Host Process for Win32 Services
    InternalName       : svchost.exe
    LegalCopyright     : © Microsoft Corporation. All rights reserved.
    OriginalFilename   : svchost.exe

#:7 [svchost.exe]
    FilePath           : C:\WINDOWS\System32\
    ProcessID          : 1024
    ThreadCreationTime : 02-06-2007 10:19:11
    BasePriority       : Normal
    FileVersion        : 5.1.2600.0 (xpclient.010817-1148)
    ProductVersion     : 5.1.2600.0
    ProductName        : Microsoft® Windows® Operating System
    CompanyName        : Microsoft Corporation
    FileDescription    : Generic Host Process for Win32 Services
    InternalName       : svchost.exe
    LegalCopyright     : © Microsoft Corporation. All rights reserved.
    OriginalFilename   : svchost.exe

#:8 [svchost.exe]
    FilePath           : C:\WINDOWS\System32\
    ProcessID          : 1128
    ThreadCreationTime : 02-06-2007 10:19:11
    BasePriority       : Normal
    FileVersion        : 5.1.2600.0 (xpclient.010817-1148)
    ProductVersion     : 5.1.2600.0
    ProductName        : Microsoft® Windows® Operating System
    CompanyName        : Microsoft Corporation
    FileDescription    : Generic Host Process for Win32 Services
    InternalName       : svchost.exe
    LegalCopyright     : © Microsoft Corporation. All rights reserved.
    OriginalFilename   : svchost.exe

#:9 [svchost.exe]
    FilePath           : C:\WINDOWS\System32\
    ProcessID          : 1264
    ThreadCreationTime : 02-06-2007 10:19:12
    BasePriority       : Normal
    FileVersion        : 5.1.2600.0 (xpclient.010817-1148)
    ProductVersion     : 5.1.2600.0
    ProductName        : Microsoft® Windows® Operating System
    CompanyName        : Microsoft Corporation
    FileDescription    : Generic Host Process for Win32 Services
    InternalName       : svchost.exe
    LegalCopyright     : © Microsoft Corporation. All rights reserved.
    OriginalFilename   : svchost.exe

#:10 [explorer.exe]
    FilePath           : C:\WINDOWS\
    ProcessID          : 1404
    ThreadCreationTime : 02-06-2007 10:19:12
    BasePriority       : Normal
    FileVersion        : 6.00.2600.0000 (xpclient.010817-1148)
    ProductVersion     : 6.00.2600.0000
    ProductName        : Système d'exploitation Microsoft® Windows®
    CompanyName        : Microsoft Corporation
    FileDescription    : Explorateur Windows
    InternalName       : explorer
    LegalCopyright     : © Microsoft Corporation. Tous droits réservés.
    OriginalFilename   : EXPLORER.EXE

#:11 [spoolsv.exe]
    FilePath           : C:\WINDOWS\system32\
    ProcessID          : 1508
    ThreadCreationTime : 02-06-2007 10:19:12
    BasePriority       : Normal
    FileVersion        : 5.1.2600.0 (XPClient.010817-1148)
    ProductVersion     : 5.1.2600.0
    ProductName        : Microsoft® Windows® Operating System
    CompanyName        : Microsoft Corporation
    FileDescription    : Spooler SubSystem App
    InternalName       : spoolsv.exe
    LegalCopyright     : © Microsoft Corporation. All rights reserved.
    OriginalFilename   : spoolsv.exe

#:12 [notepad.exe]
    FilePath           : C:\WINDOWS\system32\
    ProcessID          : 996
    ThreadCreationTime : 02-06-2007 10:20:03
    BasePriority       : Normal
    FileVersion        : 5.1.2600.0 (xpclient.010817-1148)
    ProductVersion     : 5.1.2600.0
    ProductName        : Système d'exploitation Microsoft® Windows®
    CompanyName        : Microsoft Corporation
    FileDescription    : Bloc-notes
    InternalName       : Notepad
    LegalCopyright     : © Microsoft Corporation. Tous droits réservés.
    OriginalFilename   : NOTEPAD.EXE

#:13 [rundll32.exe]
    FilePath           : C:\WINDOWS\System32\
    ProcessID          : 1184
    ThreadCreationTime : 02-06-2007 10:20:03
    BasePriority       : Normal
    FileVersion        : 5.1.2600.0 (xpclient.010817-1148)
    ProductVersion     : 5.1.2600.0
    ProductName        : Système d'exploitation Microsoft® Windows®
    CompanyName        : Microsoft Corporation
    FileDescription    : Exécuter une DLL en tant qu'application
    InternalName       : rundll
    LegalCopyright     : © Microsoft Corporation. Tous droits réservés.
    OriginalFilename   : RUNDLL.EXE

#:14 [avgas.exe]
    FilePath           : C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\
    ProcessID          : 1156
    ThreadCreationTime : 02-06-2007 10:20:03
    BasePriority       : Normal
    FileVersion        : 7, 5, 0, 50
    ProductVersion     : 7, 5, 0, 50
    ProductName        : AVG Anti-Spyware
    CompanyName        : Anti-Malware Development a.s.
    FileDescription    : AVG Anti-Spyware
    InternalName       : AVG Anti-Spyware
    LegalCopyright     : Copyright © 2006 Anti-Malware Development a.s.
    OriginalFilename   : avgas.exe

#:15 [ctfmon.exe]
    FilePath           : C:\WINDOWS\System32\
    ProcessID          : 1136
    ThreadCreationTime : 02-06-2007 10:20:04
    BasePriority       : Normal
    FileVersion        : 5.1.2600.0 (xpclient.010817-1148)
    ProductVersion     : 5.1.2600.0
    ProductName        : Microsoft® Windows® Operating System
    CompanyName        : Microsoft Corporation
    FileDescription    : CTF Loader
    InternalName       : CTFMON
    LegalCopyright     : © Microsoft Corporation. All rights reserved.
    OriginalFilename   : CTFMON.EXE

#:16 [msmsgs.exe]
    FilePath           : C:\Program Files\Messenger\
    ProcessID          : 1256
    ThreadCreationTime : 02-06-2007 10:20:04
    BasePriority       : Normal
    FileVersion        : 4.0.0155
    ProductVersion     : Version 4.0
    ProductName        : Messenger
    CompanyName        : Microsoft Corporation
    FileDescription    : Messenger Client
    InternalName       : msmsgs
    LegalCopyright     : Copyright (c) Microsoft Corporation 1997-2001
    LegalTrademarks    : Microsoft(R) is a registered trademark of Microsoft Corporation in the U.S. and/or other countries.
    OriginalFilename   : msmsgs.exe

#:17 [alg.exe]
    FilePath           : C:\WINDOWS\System32\
    ProcessID          : 1720
    ThreadCreationTime : 02-06-2007 10:20:12
    BasePriority       : Normal
    FileVersion        : 5.1.2600.0 (xpclient.010817-1148)
    ProductVersion     : 5.1.2600.0
    ProductName        : Microsoft® Windows® Operating System
    CompanyName        : Microsoft Corporation
    FileDescription    : Application Layer Gateway Service
    InternalName       : ALG.exe
    LegalCopyright     : © Microsoft Corporation. All rights reserved.
    OriginalFilename   : ALG.exe

#:18 [guard.exe]
    FilePath           : C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\
    ProcessID          : 1752
    ThreadCreationTime : 02-06-2007 10:20:12
    BasePriority       : Normal
    FileVersion        : 7, 5, 0, 47
    ProductVersion     : 7, 5, 0, 47
    ProductName        : AVG Anti-Spyware
    CompanyName        : Anti-Malware Development a.s.
    FileDescription    : AVG Anti-Spyware guard
    InternalName       : AVG Anti-Spyware guard
    LegalCopyright     : Copyright © 2006 Anti-Malware Development a.s.
    OriginalFilename   : guard.exe

#:19 [nvsvc32.exe]
    FilePath           : C:\WINDOWS\System32\
    ProcessID          : 1848
    ThreadCreationTime : 02-06-2007 10:20:12
    BasePriority       : Normal
    FileVersion        : 6.14.10.7212
    ProductVersion     : 6.14.10.7212
    ProductName        : NVIDIA Driver Helper Service, Version 72.12
    CompanyName        : NVIDIA Corporation
    FileDescription    : NVIDIA Driver Helper Service, Version 72.12
    InternalName       : NVSVC
    LegalCopyright     : (C) NVIDIA Corporation. All rights reserved.
    OriginalFilename   : nvsvc32.exe

#:20 [iexplore.exe]
    FilePath           : C:\Program Files\Internet Explorer\
    ProcessID          : 2204
    ThreadCreationTime : 02-06-2007 10:20:48
    BasePriority       : Normal
    FileVersion        : 6.00.2600.0000 (xpclient.010817-1148)
    ProductVersion     : 6.00.2600.0000
    ProductName        : Système d'exploitation Microsoft® Windows®
    CompanyName        : Microsoft Corporation
    FileDescription    : Internet Explorer
    InternalName       : iexplore
    LegalCopyright     : © Microsoft Corporation. Tous droits réservés.
    OriginalFilename   : IEXPLORE.EXE

#:21 [wuauclt.exe]
    FilePath           : C:\WINDOWS\System32\
    ProcessID          : 2716
    ThreadCreationTime : 02-06-2007 10:21:43
    BasePriority       : Normal
    FileVersion        : 5.4.2600.0 (XPClient.010817-1148)
    ProductVersion     : 5.4.2600.0
    ProductName        : Système d'exploitation Microsoft® Windows®
    CompanyName        : Microsoft Corporation
    FileDescription    : Client Mise à jour automatique Windows Update
    InternalName       : wuauclt.exe
    LegalCopyright     : © Microsoft Corporation. Tous droits réservés.
    OriginalFilename   : wuauclt.exe

#:22 [ad-aware.exe]
    FilePath           : C:\Program Files\Lavasoft\Ad-Aware SE Personal\
    ProcessID          : 3652
    ThreadCreationTime : 02-06-2007 10:45:20
    BasePriority       : Normal
    FileVersion        : 6.2.0.236
    ProductVersion     : SE 106
    ProductName        : Lavasoft Ad-Aware SE
    CompanyName        : Lavasoft Sweden
    FileDescription    : Ad-Aware SE Core application
    InternalName       : Ad-Aware.exe
    LegalCopyright     : Copyright © Lavasoft AB Sweden
    OriginalFilename   : Ad-Aware.exe
    Comments           : All Rights Reserved

Memory scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 0


Started registry scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

 Virtumonde Object Recognized!
    Type               : RegValue
    Data               : 
    TAC Rating         : 10
    Category           : Malware
    Comment            : "{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c}"
    Rootkey            : HKEY_LOCAL_MACHINE
    Object             : software\microsoft\windows\currentversion\explorer\shellexecutehooks
    Value              : {6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c}

Registry Scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 1
Objects found so far: 1


Started deep registry scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Deep registry scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 1


Started Tracking Cookie scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»


 Tracking Cookie Object Recognized!
    Type               : IECache Entry
    Data               : glame@tradedoubler[2].txt
    TAC Rating         : 3
    Category           : Data Miner
    Comment            : Hits:2
    Value              : Cookie:glame@tradedoubler.com/
    Expires            : 27-05-2027 00:06:32
    LastSync           : Hits:2
    UseCount           : 0
    Hits               : 2

 Tracking Cookie Object Recognized!
    Type               : IECache Entry
    Data               : glame@www.smartadserver[1].txt
    TAC Rating         : 3
    Category           : Data Miner
    Comment            : Hits:9
    Value              : Cookie:glame@www.smartadserver.com/
    Expires            : 28-05-2027 12:36:58
    LastSync           : Hits:9
    UseCount           : 0
    Hits               : 9

 Tracking Cookie Object Recognized!
    Type               : IECache Entry
    Data               : glame@stats1.reliablestats[2].txt
    TAC Rating         : 3
    Category           : Data Miner
    Comment            : Hits:10
    Value              : Cookie:glame@stats1.reliablestats.com/
    Expires            : 08-09-2007 11:34:42
    LastSync           : Hits:10
    UseCount           : 0
    Hits               : 10

 Tracking Cookie Object Recognized!
    Type               : IECache Entry
    Data               : glame@doubleclick[1].txt
    TAC Rating         : 3
    Category           : Data Miner
    Comment            : Hits:11
    Value              : Cookie:glame@doubleclick.net/
    Expires            : 29-05-2010 23:34:32
    LastSync           : Hits:11
    UseCount           : 0
    Hits               : 11

 Tracking Cookie Object Recognized!
    Type               : IECache Entry
    Data               : glame@bluestreak[2].txt
    TAC Rating         : 3
    Category           : Data Miner
    Comment            : Hits:31
    Value              : Cookie:glame@bluestreak.com/
    Expires            : 30-05-2017 08:19:14
    LastSync           : Hits:31
    UseCount           : 0
    Hits               : 31

 Tracking Cookie Object Recognized!
    Type               : IECache Entry
    Data               : glame@weborama[2].txt
    TAC Rating         : 3
    Category           : Data Miner
    Comment            : Hits:4
    Value              : Cookie:glame@weborama.fr/
    Expires            : 03-08-2007 12:37:00
    LastSync           : Hits:4
    UseCount           : 0
    Hits               : 4

 Tracking Cookie Object Recognized!
    Type               : IECache Entry
    Data               : glame@ehg-neuftelecom.hitbox[1].txt
    TAC Rating         : 3
    Category           : Data Miner
    Comment            : Hits:23
    Value              : Cookie:glame@ehg-neuftelecom.hitbox.com/
    Expires            : 01-06-2008 12:02:36
    LastSync           : Hits:23
    UseCount           : 0
    Hits               : 23

 Tracking Cookie Object Recognized!
    Type               : IECache Entry
    Data               : glame@overture[1].txt
    TAC Rating         : 3
    Category           : Data Miner
    Comment            : Hits:8
    Value              : Cookie:glame@overture.com/
    Expires            : 30-05-2017 12:02:54
    LastSync           : Hits:8
    UseCount           : 0
    Hits               : 8

 Tracking Cookie Object Recognized!
    Type               : IECache Entry
    Data               : glame@estat[1].txt
    TAC Rating         : 3
    Category           : Data Miner
    Comment            : Hits:1
    Value              : Cookie:glame@estat.com/
    Expires            : 29-05-2017 00:18:02
    LastSync           : Hits:1
    UseCount           : 0
    Hits               : 1

 Tracking Cookie Object Recognized!
    Type               : IECache Entry
    Data               : glame@tribalfusion[1].txt
    TAC Rating         : 3
    Category           : Data Miner
    Comment            : Hits:1
    Value              : Cookie:glame@tribalfusion.com/
    Expires            : 01-06-2008 00:06:42
    LastSync           : Hits:1
    UseCount           : 0
    Hits               : 1

 Tracking Cookie Object Recognized!
    Type               : IECache Entry
    Data               : glame@statse.webtrendslive[2].txt
    TAC Rating         : 3
    Category           : Data Miner
    Comment            : Hits:2
    Value              : Cookie:glame@statse.webtrendslive.com/
    Expires            : 30-05-2017 00:54:40
    LastSync           : Hits:2
    UseCount           : 0
    Hits               : 2

 Tracking Cookie Object Recognized!
    Type               : IECache Entry
    Data               : glame@statcounter[2].txt
    TAC Rating         : 3
    Category           : Data Miner
    Comment            : Hits:6
    Value              : Cookie:glame@statcounter.com/
    Expires            : 31-05-2012 12:36:40
    LastSync           : Hits:6
    UseCount           : 0
    Hits               : 6

 Tracking Cookie Object Recognized!
    Type               : IECache Entry
    Data               : glame@hitbox[2].txt
    TAC Rating         : 3
    Category           : Data Miner
    Comment            : Hits:36
    Value              : Cookie:glame@hitbox.com/
    Expires            : 01-06-2008 12:02:36
    LastSync           : Hits:36
    UseCount           : 0
    Hits               : 36

 Tracking Cookie Object Recognized!
    Type               : IECache Entry
    Data               : glame@msnportal.112.2o7[1].txt
    TAC Rating         : 3
    Category           : Data Miner
    Comment            : Hits:2
    Value              : Cookie:glame@msnportal.112.2o7.net/
    Expires            : 30-05-2012 00:04:16
    LastSync           : Hits:2
    UseCount           : 0
    Hits               : 2

 Tracking Cookie Object Recognized!
    Type               : IECache Entry
    Data               : glame@mistergooddeal.112.2o7[1].txt
    TAC Rating         : 3
    Category           : Data Miner
    Comment            : Hits:1
    Value              : Cookie:glame@mistergooddeal.112.2o7.net/
    Expires            : 31-05-2012 00:54:12
    LastSync           : Hits:1
    UseCount           : 0
    Hits               : 1

 Tracking Cookie Object Recognized!
    Type               : IECache Entry
    Data               : glame@atdmt[2].txt
    TAC Rating         : 3
    Category           : Data Miner
    Comment            : Hits:3
    Value              : Cookie:glame@atdmt.com/
    Expires            : 29-05-2012 02:00:00
    LastSync           : Hits:3
    UseCount           : 0
    Hits               : 3

 Tracking Cookie Object Recognized!
    Type               : IECache Entry
    Data               : glame@adultfriendfinder[2].txt
    TAC Rating         : 3
    Category           : Data Miner
    Comment            : Hits:6
    Value              : Cookie:glame@adultfriendfinder.com/
    Expires            : 01-07-2007 00:07:28
    LastSync           : Hits:6
    UseCount           : 0
    Hits               : 6

 Tracking Cookie Object Recognized!
    Type               : IECache Entry
    Data               : glame@mediaplex[1].txt
    TAC Rating         : 3
    Category           : Data Miner
    Comment            : Hits:6
    Value              : Cookie:glame@mediaplex.com/
    Expires            : 22-06-2009 02:00:00
    LastSync           : Hits:6
    UseCount           : 0
    Hits               : 6

Tracking cookie scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 18
Objects found so far: 19



Deep scanning and examining files...
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Disk Scan Result for C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 19

Disk Scan Result for C:\WINDOWS\System32
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 19

Disk Scan Result for C:\DOCUME~1\glame\LOCALS~1\Temp\
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 19


Scanning Hosts file......
Hosts file location:"C:\WINDOWS\system32\drivers\etc\hosts".
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Hosts file scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
1 entries scanned.
New critical objects:0
Objects found so far: 19



 MRU List Object Recognized!
    Location:          : C:\Documents and Settings\glameecent
    Description        : list of recently opened documents


 MRU List Object Recognized!
    Location:          : software\microsoft\directdraw\mostrecentapplication
    Description        : most recent application to use microsoft directdraw


 MRU List Object Recognized!
    Location:          : S-1-5-21-1292428093-884357618-839522115-1003\software\microsoft\internet explorer
    Description        : last download directory used in microsoft internet explorer


 MRU List Object Recognized!
    Location:          : S-1-5-21-1292428093-884357618-839522115-1003\software\microsoft\internet explorer	ypedurls
    Description        : list of recently entered addresses in microsoft internet explorer


 MRU List Object Recognized!
    Location:          : .DEFAULT\software\microsoft\mediaplayer\preferences
    Description        : last playlist loaded in microsoft windows media player


 MRU List Object Recognized!
    Location:          : S-1-5-18\software\microsoft\mediaplayer\preferences
    Description        : last playlist loaded in microsoft windows media player


 MRU List Object Recognized!
    Location:          : S-1-5-19\software\microsoft\mediaplayer\preferences
    Description        : last playlist loaded in microsoft windows media player


 MRU List Object Recognized!
    Location:          : S-1-5-20\software\microsoft\mediaplayer\preferences
    Description        : last playlist loaded in microsoft windows media player


 MRU List Object Recognized!
    Location:          : S-1-5-21-1292428093-884357618-839522115-1003\software\microsoft\mediaplayer\preferences
    Description        : last playlist loaded in microsoft windows media player


 MRU List Object Recognized!
    Location:          : S-1-5-21-1292428093-884357618-839522115-1003\software\microsoft\microsoft management consoleecent file list
    Description        : list of recent snap-ins used in the microsoft management console


 MRU List Object Recognized!
    Location:          : S-1-5-21-1292428093-884357618-839522115-1003\software\microsoft\windows\currentversion\applets\wordpadecent file list
    Description        : list of recent files opened using wordpad


 MRU List Object Recognized!
    Location:          : S-1-5-21-1292428093-884357618-839522115-1003\software\microsoft\windows\currentversion\explorer\comdlg32\lastvisitedmru
    Description        : list of recent programs opened


 MRU List Object Recognized!
    Location:          : S-1-5-21-1292428093-884357618-839522115-1003\software\microsoft\windows\currentversion\explorer\comdlg32\opensavemru
    Description        : list of recently saved files, stored according to file extension


 MRU List Object Recognized!
    Location:          : S-1-5-21-1292428093-884357618-839522115-1003\software\microsoft\windows\currentversion\explorerecentdocs
    Description        : list of recent documents opened


 MRU List Object Recognized!
    Location:          : .DEFAULT\software\microsoft\windows media\wmsdk\general
    Description        : windows media sdk 


 MRU List Object Recognized!
    Location:          : S-1-5-18\software\microsoft\windows media\wmsdk\general
    Description        : windows media sdk 


 MRU List Object Recognized!
    Location:          : S-1-5-21-1292428093-884357618-839522115-1003\software\microsoft\windows media\wmsdk\general
    Description        : windows media sdk 



Performing conditional scans...
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Conditional scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 36

12:46:02 Scan Complete

Summary Of This Scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Total scanning time:00:00:27.328
Objects scanned:85706
Objects identified:19
Objects ignored:0
New critical objects:19



Logfile of HijackThis v1.99.1
Scan saved at 16:13:40, on 02/06/2007
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32
vsvc32.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neuf.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: (no name) - {08460843-EC71-4369-BA8E-A260FD25FBA7} - (no file)
O2 - BHO: (no name) - {CD3447D4-CA39-4377-8084-30E86331D74C} - C:\WINDOWS\System32\aowjugdk.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\System32\sw20.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1F85F2AE-FDA5-4846-B1D5-9E2916FAB581}: NameServer = 84.103.237.142 86.64.145.142
O17 - HKLM\System\CS1\Services\Tcpip\..\{1F85F2AE-FDA5-4846-B1D5-9E2916FAB581}: NameServer = 84.103.237.142 86.64.145.142
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe


voila j'ai fait tout comme indiqué. 
A+

plouf plouf · Answer

Salut ,

1)Relance hijacthis et fixe ces lignes 
http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm
O2 - BHO: (no name) - {08460843-EC71-4369-BA8E-A260FD25FBA7} - (no file)
O2 - BHO: (no name) - {CD3447D4-CA39-4377-8084-30E86331D74C} - C:\WINDOWS\System32\aowjugdk.dll 

2)Pour peaufiner jusqu'au bout..tu peux passer
a2 squared https://www.emsisoft.com/fr/
( bien que t'es passé avg antispyware.. )
ainsi que https://www.broadcom.com/support/security-center
(symantec vundo remove tool)

3)Si tu ne parviens pas a faire un scan avec bitdefender essaies de le faire avec kasperky alors ;)
https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr

4) IMPORTANT , je te conseille , vivement d'installer un antivirus 
En gratuit , tu as avast que tu trouveras ici 
avast
( pour avoir une clé il faut s'inscrire : https://www.avast.com/fr-fr/registration-free-antivirus

5)Tu as le firewall de windows !??
Tu as du pain sur la planche ;-) :-)
C'est pas drôle , je sais lol 
mais en arrivant ici ton pc était bien bien infecté ;-)

6) Remets un hijackthis et précise où en sont tes soucis, si tu en as encore , stp 
Courage tu es au bout.


EDIT Au fait en suivant les instructions du post<6> tu as réussis à supprimer ( si tu le trouves ) winIgon.exe !?
a+
Plouf Plouf

glame · Answer

Slt,
Alors en faite maintenant je n'ai plus de souci sauf assez régulièrement la fenetre "explorer.exe" ce qui m'enleve toute les pages web en cour et j'ai souvent une fenetre qui apparait pour me dire qu'il a trouvé un virus et me demande si je veux scanner avec leur logiciels. je n'arrive tjr pas a enlever "winigon.exe" et j'ai bien le pare de windows. je te met le rapport kapersky et hijack et j'ai aussi fait un scann avec ad squared.

Sunday, June 03, 2007 1:57:54 PM
Système d'exploitation : Microsoft Windows XP Professional, (Build 2600)
Kaspersky On-line Scanner version : 5.0.83.0
Dernière mise à jour de la base antivirus Kaspersky : 3/06/2007
Enregistrements dans la base antivirus Kaspersky : 315718
 
 
Paramètres d'analyse 
Analyser avec la base antivirus suivante standard 
Analyser les archives vrai 
Analyser les bases de messagerie vrai 
 
Cible de l'analyse Poste de travail 
A:\
C:\
D:\
E:\  
 
Statistiques de l'analyse 
Total d'objets analysés 17840 
Nombre de virus trouvés 1 
Nombre d'objets infectés 1 / 0 
Nombre d'objets suspects 0 
Durée de l'analyse 00:11:06 

Nom de l'objet infecté Nom du virus Dernière action 
C:\Documents and Settings\glame\Cookies\index.dat  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\glame\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\glame\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\glame\Local Settings\Historique\History.IE5\index.dat  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\glame\Local Settings\Temporary Internet Files\Content.IE5\index.dat  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\glame\NTUSER.DAT  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\glame
tuser.dat.LOG  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\LocalService\Cookies\index.dat  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\LocalService\NTUSER.DAT  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\LocalService
tuser.dat.LOG  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\NetworkService\NTUSER.DAT  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\NetworkService
tuser.dat.LOG  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\Debug\oakley.log  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\Debug\PASSWD.LOG  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\SchedLgU.Txt  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\Antiviru.evt  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\AppEvent.Evt  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\default  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\default.LOG  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\SAM  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\SAM.LOG  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\SecEvent.Evt  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\SECURITY  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\SECURITY.LOG  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\software  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\software.LOG  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\SysEvent.Evt  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\system  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\system.LOG  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\h323log.txt  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\xpdx.sys  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\Temp\startdrv.exe  Infecté : Trojan-Downloader.Win32.Agent.brk  ignoré  
 
Analyse terminée. 


Logfile of HijackThis v1.99.1
Scan saved at 14:05:28, on 03/06/2007
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32
vsvc32.exe
C:\Program Files\a-squared Anti-Malware\a2guard.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neuf.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\System32\sw20.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [a-squared] "C:\Program Files\a-squared Anti-Malware\a2guard.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1F85F2AE-FDA5-4846-B1D5-9E2916FAB581}: NameServer = 86.64.145.142 84.103.237.142
O17 - HKLM\System\CS1\Services\Tcpip\..\{1F85F2AE-FDA5-4846-B1D5-9E2916FAB581}: NameServer = 86.64.145.142 84.103.237.142
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe

plouf plouf · Answer

Salut ,
Tu as bien bossé ;-)
Rédémarre en mode sans echec et supprime ce qui est en gras
C:\WINDOWS\system32\sw20.exe 
En suivant le protocole décrit au post <6> "option dossier"
Relance hijacthis et fixe la ligne suivante

O4 - HKLM\..\Run: [SW20] C:\WINDOWS\System32\sw20.exe
essaies de supprimer ,le rebelle lol!? winIogon 
Tu as nettoyé , ta base de registre ,avec regcleaner !?
Que dit bitfender !? Tu ne peux toujours pas y avoir accés !? ( à titre informatif )
Bonne soirée .
a+
Plouf Plouf

plouf plouf · Answer

Bonjour ,
Poste complémentaire du <12>
pour être tranquille, avec les messages d'alerte , il faudrait les désactiver , Pour cela 
tu cliques sur démarrer/panneau de configuration/outil d 'administration/services
Ensuite tu cherches dans la liste "affichage des messages"
tu fais clique droit dessus puis" propriétés"
dans le petit menu déroulant tu mets sur désactive plus bas dans la fenêtre tu cliques sur "arrêter" et enfin sur "appliquer" et  tu redémarres .
voilà ;-)
a+ 
Plouf Plouf

plouf plouf · Answer

Re ;) Une derniere chose ¤Arrete ce service : Clique sur Démarrer->exécuter->tape: services.msc Double-clique: winIogon avec un I majuscule :) Règle-le sur "Arrêté" et "Désactivé" supprime C:\windows\System32\winIogon.exe redemarre puis: demarrer > executer tape ce qui est en gras ci-dessous: sc delete winIogon valide avec ok Précise où en sont tes soucis , s'il t'en reste :) nb n'oublies pas les posts <12> et <13> ;-) a+;) Bon aprés midi a+

glame · Answer

Salut,
j'ai fait ce que tu m'a dis et j'ai bien nettoyé le registre avec regcleaner, je n'ai plus de fenetre qui s'affichent tout le temp pour me dire de scanner, mais si ça revien je ferai comme indiqué au post 13, je n'ai toujour pas reussi a supp winIgon.exe j'ai bien suivi ton post 14 quand je tapre "services.msc " avec executer, il ne trouve pas "winIgon". Voila en gros je n'ai plus de souci majeur, sauf encore parfois "explorer.exe qui a rencontré un problème" sinon j'ai reussi à faire un scann avec bitdefender je te le met on sais jamais.
A+

BitDefender Online Scanner
  
  
 
Scan report generated at: Mon, Jun 04, 2007 - 22:12:07
 
 
  
  
 
Scan path: A:\;C:\;D:\;E:\;
  
  
 
 
  
  
 
Statistics
 
Time
 00:11:14
 
Files
 58369
 
Folders
 965
 
Boot Sectors
 3
 
Archives
 775
 
Packed Files
 3022
 
  
  
 
Results
 
Identified Viruses 
 3
 
Infected Files 
 3
 
Suspect Files 
 0
 
Warnings
 0
 
Disinfected
 0
 
Deleted Files
 3
 
  
  
 
Engines Info
 
Virus Definitions
 511816
 
Engine build
 AVCORE v1.0 (build 2397) (i386) (Feb 8 2007 14:24:08)
 
Scan plugins
 14
 
Archive plugins
 38
 
Unpack plugins
 6
 
E-mail plugins
 6
 
System plugins
 1
 
  
  
 
Scan Settings
 
First Action
 Disinfect
 
Second Action
 Delete
 
Heuristics
 Yes
 
Enable Warnings
 Yes
 
Scanned Extensions
 *;
 
Exclude Extensions
  
 
Scan Emails
 Yes
 
Scan Archives
 Yes
 
Scan Packed
 Yes
 
Scan Files
 Yes
 
Scan Boot
 Yes
 
  
  
 
  Scanned File
  Status
 
C:\Documents and Settings\glame\Local Settings\Temporary Internet Files\Content.IE5\08CU7LWX\indows[1].swf
 Infected with: MemScan:Trojan.Downloader.VB.WN
 
C:\Documents and Settings\glame\Local Settings\Temporary Internet Files\Content.IE5\08CU7LWX\indows[1].swf
 Disinfection failed
 
C:\Documents and Settings\glame\Local Settings\Temporary Internet Files\Content.IE5\08CU7LWX\indows[1].swf
 Deleted
 
C:\WINDOWS\system32\rodzghr.exe
 Infected with: DeepScan:Generic.Sdbot.7B103E18
 
C:\WINDOWS\system32\rodzghr.exe
 Disinfection failed
 
C:\WINDOWS\system32\rodzghr.exe
 Deleted
 
C:\WINDOWS\Temp\startdrv.exe
 Infected with: Trojan.Downloader.Agent.BRK
 
C:\WINDOWS\Temp\startdrv.exe
 Disinfection failed
 
C:\WINDOWS\Temp\startdrv.exe
 Deleted

plouf plouf · Answer

Bonjour , 
Pour ton problème , tu vas essayer ,de télécharger la toute dernière version de  http://siri.urz.free.fr/Fix/SmitfraudFix.php


    # Double clique sur SmitfraudFix.exe
     #Sélectionne 1 et presse Entrée dans le menu pour créer un rapport des fichiers responsables de l'infection. Le rapport se trouve à la racine du disque système C:\rapport.txt
a+
Plouf Plouf

glame · Answer

voila le rapport:

SmitFraudFix v2.189

Rapport fait à 21:13:46,81, 05/06/2007
Executé à partir de C:\Documents and Settings\glame\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\a-squared Anti-Malware\a2guard.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32
vsvc32.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\glame


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\glame\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\glame\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32-xpdt



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: WAN (PPP/SLIP) Interface
DNS Server Search Order: 86.64.145.144
DNS Server Search Order: 84.103.237.144

HKLM\SYSTEM\CCS\Services\Tcpip\..\{1F85F2AE-FDA5-4846-B1D5-9E2916FAB581}: NameServer=86.64.145.144 84.103.237.144
HKLM\SYSTEM\CS1\Services\Tcpip\..\{1F85F2AE-FDA5-4846-B1D5-9E2916FAB581}: NameServer=86.64.145.144 84.103.237.144


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

plouf plouf · Answer

Salut ,
Sur ton log , je vois toujours , que tu as pris la version 2.189 alors que
J'attends .., de toi .., que tu me postes stp, un log smifraudfix, avec la dernière version (2.192) disponible sur le site de s!RI http://siri.urz.free.fr/Fix/SmitfraudFix.php
Sous le titre "Télécharger", cliquez sur le lien :
http://siri.urz.free.fr/Fix/SmitfraudFix.exe
Le téléchargement va se lancer  immédiatement.


Placez-le à l'endroit de votre choix (sur le bureau par exemple). Avec la version 2.192 (aprés le téléchargement , tu dois y voir une icone jaune)
merci de ta compréhension !
a+
Plouf Plouf

glame · Answer

salut et merci encore de ton aide, excuse moi pour le rapport j'avais pourtant cru l'avoir fait avec la dernière version mais il me fallais supprimer l'autre avant. 

SmitFraudFix v2.192

Rapport fait à 19:09:10,62, 06/06/2007
Executé à partir de C:\Documents and Settings\glame\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32
vsvc32.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\a-squared Anti-Malware\a2service.exe
C:\Program Files\a-squared Anti-Malware\a2guard.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\glame


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\glame\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\glame\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: WAN (PPP/SLIP) Interface
DNS Server Search Order: 86.64.145.142
DNS Server Search Order: 84.103.237.142

HKLM\SYSTEM\CCS\Services\Tcpip\..\{1F85F2AE-FDA5-4846-B1D5-9E2916FAB581}: NameServer=86.64.145.142 84.103.237.142
HKLM\SYSTEM\CS1\Services\Tcpip\..\{1F85F2AE-FDA5-4846-B1D5-9E2916FAB581}: NameServer=86.64.145.142 84.103.237.142


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

plouf plouf · Answer

Bonjour ,
Désolée , pour le retard, glame ;)
Pour IE essaie , de le réinstaller 
Autre solution , le passage à http://www.mozilla-europe.org/fr/products/firefox/
Pour beaucoup de gens , comme pour moi ,c'est vraiment un bon navigateur.
a+
Plouf Plouf

Your computer is infected

18 réponses

Discussions similaires