Au secours ! Les virus font la teuf chez moi

Merci beaucoup pour ce complément d'informations.

Donc pour les rapports, je suivrai ton ordre : i.e. VundoFix après SmitFraudFix et avant Hijack.

Merci beaucoup et bonne nuit ...

Aie ! Aie ! Aie !

Quand tu parlais de chantier tout à l'heure, t'étais optimiste : un chantier, ça se construit, là, j'ai l'impression qu'ils déconstruisent !!! ...

Qui gagne à la fin de l'histoire, nous ou les virus ???

Bon, je vais commencer par le début ...

Moi aussi, Morphée m'appellait, donc, comme j'étais pas très en forme, au lieu me dépêcher de le faire, j'ai traîné et fait autre chose.

J'ai redémarré à nouveau parce qu'au bout d'un certain moment, HighjackThis bloque à 15 % environ de la fin de son scan (en tout cas, avant les lignes O23) ; je pense que c'est les virus qui doivent l'embêter.
Donc j'ai redémarré pour que ce soit un peu plus propre.

Après, j'ai tout préparé : HijackThis et OTMoveIt ;
j'ai gardé comme autres applications :
- 4 notepads,
- 1 fenêtre CygWin,
- la fenêtre Services au cas où,
- le Task Manager,
- pas de Internet Explorer, ni de Windows Explorer ;
j'ai tué Explorer.exe et j'ai laissé les process pas clean qui tournaient ;
puis, j'ai fixé :
1) d'abord HijackThis,
2) là, HijackThis me demande de redémarrer, mais je préfère attendre après le 4)
3) rien à faire pour les services
4) et enfin OTMoveIt,
5) puis redémarrage.
La suite de l'histoire plus bas ...

******
HijackThis et OTMoveIt :

J'ai essayé de faire ce que tu m'as dit, mais j'avais déjà enlevé certaines lignes :
- certaines ne sont pas réapparues au nouveau scan, bon, ça, OK :
* O4 - HKLM\...\Run: ... iexplore.exe
* O4 - HKLM\...\Run: ... winIogon.exe
- certaines sont réapparues au nouveau scan (je sens qu'il va falloir recommencer ces manips x fois, j'espère que x ne sera pas trop grand ... !) :
* O4 - HKLM\... \Run: ... algs.exe (et même avant que je redémarre)
* O4 - HKLM\... \Run: ... explorer.exe
* O4 - HKLM\... \Run: ... winamp.exe
* O20 - AppInit_DLLs: c:\windows\system32\awvtrss.dll (et je l'ai aussi virée avec OTMoveIt)
- j'en ai enlevé d'autres qui étaient apparues en plus (et je les ai aussi virés avec OTMoveIt) :

O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\System32\lssas.exe
O4 - HKLM\..\Run: [Windows Network Firewall] C:\WINDOWS\System32\firewall.exe

Y'avait aussi la ligne :

O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\System32\logon.exe

Je pense qu'il faut l'enlever, mais, dans le doute, je l'ai laissée ...

Pour les lignes,

O4 - HKLM\..\Run: [uerscw] "C:\Program Files\ErrorSafe Free\uerscw.exe" -c 
O4 - HKCU\..\Run: [Error Safe Free] C:\Program Files\ErrorSafe Free\uers.exe /scan
O4 - HKCU\..\Run: [uerscw] "C:\Program Files\ErrorSafe Free\uerscw.exe" -c
O4 - HKCU\..\Run: [ErrorSafeFree] "C:\Program Files\ErrorSafe Free\uers.exe" /min

et

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html 

et, pour OTMoveIt,

C:\Program Files\ErrorSafe Free\uerscw.exe 
C:\Program Files\ErrorSafe Free\uers.exe 
C:\Program Files\ErrorSafe Free

est-ce que c'est pour ne pas entrer en conflit avec d'autres antivirus/scanners/... ou est-ce que c'est parce que c'est que, quand j'ai fait un scan on-line sur www.secuser.com, j'ai bêtement fait confiance à ErrorSafe, alors qu'il était malveillant ? Parce que, sinon, je pouvais simplement le désinstaller ... (c'est plus propre) !

Pour les lignes,

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

est-ce qu'elles sont OK ? Parce que, comme il y a un << cftmon.exe >> qui se balade ...

Pour les services << ms hexidecimal defx (mshexdefx) >> et << Smart Card Client >>, bien qu'ils soient en mode Automatique, ils n'étaient pas démarrés (ça doit être le Mode Sans Echec) et j'ai vérifié que leurs processus ne tournaient pas. Par contre, j'ai viré C:\WINDOWS\system32\dllcache\ivchost.exe avec OTMoveIt, mais pas C:\WINDOWS\SCardClnt.exe puisqu'il n'existait pas ...

Dans OTMoveIt, je n'ai pas rajouté le C:\a.exe qui correspond à Delsim Dialer, faut le rajouter ???

******
Je reviens à mon histoire :
5) Redémarrage :
* Juste à ce moment-là, je vois que winIogon.exe tournait encore, alors qu'il n'apparaissait plus dans HijackThis ...
* J'ai pas réussi à redémarrer en Mode Sans Echec
6) Et là, ça devient un film d'horreur :
* Un pop-Up d'erreur : << L'extraction de "THotKey ... [a échoué] >> (je crois que ça concerne le TouchPad ou sinon Toshiba)
* Un Pop-Up << AntiVir Guard >> concernant avgnt.exe : << ... modified or destroyed ... Cannot be started ... >>
* Un Pop-Up AVast! Warning du même genre q je n'ai pas eu le temps de lire ...
* Plein (15 ou 20) de fenêtres de détection de AVast, je crois et j'avais du mal à avoir la main dessus (ou sur quoi que ce soit) : elles me parlaient entre autre de winmimgr.dll (Sality/L), dont je croyais déjà m'être débarrassée une fois précédente avec OTMoveIt, et de TR/PCK.KloneK.20 (encore un nouveau), si j'ai bien lu, en rapport avec awvtrss.dll que je venais de demander de détruire à OTMoveIt (et, dans la fenêtre, tout avait l'air de s'être bien passé ...)
* J'ai killé avgas et AVGUARD pour essayer de prendre la main
* Ecran bleu au bout de 9 min. (un record !)
7) Redémarrage en Mode Sans Echec et retour dans un monde un peu moins fou, mais il a mis du temps à ouvrir la session, avec un Explorer.exe qui prenait plus de 95 % de la CPU.

Je crois que c'est pas brillant ...

Je vais te poster le log de OTMoveIt et aussi le nouveau scan de HijackThis, si il est intéressant, mais j'ai pas encore osé aller les regarder ...
Bon, j'y vais ...

2 Logs de OTMoveIt :
D'abord, un ancien log qui doit montrer que je n'avais pas dû bien faire les choses concernant wmigmr32.dll (cf. post précédent)
Qu'est-ce que je dois faire quand OTMoveIt me dit un truc du genre :

DllUnregisterServer procedure not found in XXX.dll
XXX.dll NOT unregistered.
XXX.dll moved successfully.

???
==================================================

DllUnregisterServer procedure not found in C:\WINDOWS\system32\wmimgr32.dll
C:\WINDOWS\system32\wmimgr32.dll NOT unregistered.
C:\WINDOWS\system32\wmimgr32.dll moved successfully.

et le même triplet de lignes pour :
C:\WINDOWS\system32\win51773.dll
C:\WINDOWS\system32\mljjghg.dll
C:\WINDOWS\system32\ddcccdd.dll
C:\WINDOWS\system32\ddcyaxx.dll
C:\WINDOWS\system32\ssqropn.dll
C:\WINDOWS\system32\pmnmnop.dll
C:\WINDOWS\system32\uhguojkt.dll

Created on 08/09/2007 17:28:08

==================================================

Le log de OTMoveIt de tout à l'heure.
On dirait que ça c'est plutôt bien passé, mais :
csrs.exe
iexplore.exe
winIogon.exe
spoolsvc.exe
winamp.exe
et
awvtrss.dll
sont revenus ... !!!
==================================================

C:\Program Files\ErrorSafe Free\uerscw.exe moved successfully.
C:\WINDOWS\System32\algs.exe moved successfully.
C:\WINDOWS\System32\csrs.exe moved successfully.
C:\WINDOWS\System32\iexplore.exe moved successfully.
C:\WINDOWS\System32\winIogon.exe moved successfully.
C:\WINDOWS\System32\explorer.exe moved successfully.
C:\WINDOWS\System32\spoolsvc.exe moved successfully.
C:\WINDOWS\System32\winamp.exe moved successfully.
C:\Program Files\ErrorSafe Free\uers.exe moved successfully.
C:\Program Files\ErrorSafe Free\Download moved successfully.
C:\Program Files\ErrorSafe Free\MpegDB moved successfully.
C:\Program Files\ErrorSafe Free\Mp3DB moved successfully.
C:\Program Files\ErrorSafe Free\WaveDB moved successfully.
C:\Program Files\ErrorSafe Free\Tasks moved successfully.
C:\Program Files\ErrorSafe Free\Backup moved successfully.
C:\Program Files\ErrorSafe Free\Repaired moved successfully.
C:\Program Files\ErrorSafe Free moved successfully.
C:\WINDOWS\System32\lssas.exe moved successfully.
C:\WINDOWS\System32\firewall.exe moved successfully.
DllUnregisterServer procedure not found in c:\windows\system32\awvtrss.dll
c:\windows\system32\awvtrss.dll NOT unregistered.
c:\windows\system32\awvtrss.dll moved successfully.
 
Created on 08/11/2007 03:04:10

==================================================

Scan de HijackThis (après le redémarrage) :
Je te mets juste les lignes que je pense utiles ou space ou que je ne comprends pas, j'en avais pas encore eu des aussi moches, ça s'améliore vraiment pas ...
La O16 que tu m'as fait enlever tout à l'heure n'est pas réapparue.
==================================================

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 03:24:11, on 11/08/2007
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Securite\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\taskmgr.exe
C:\WINDOWS\explorer.exe
D:\Securite\Trend Micro\HijackThis\HijackThis.exe

[...]

 O1 - Hosts: 255.255.255.255 ar.atwola.com atdmt.com avp.ch avp.com avp.ru awaps.net ca.com dispatch.mcafee.com download.mcafee.com download.microsoft.com downloads.microsoft.com engine.awaps.net f-secure.com ftp.f-secure.com ftp.sophos.com go.microsoft.com liveupdate.symantec.com mast.mcafee.com mcafee.com msdn.microsoft.com my-etrust.com nai.com networkassociates.com office.microsoft.com phx.corporate-ir.net secure.nai.com securityresponse.symantec.com service1.symantec.com sophos.com spd.atdmt.com support.microsoft.com symantec.com update.symantec.com updates.symantec.com us.mcafee.com vil.nai.com viruslist.ru windowsupdate.microsoft.com www.avp.ch www.avp.com www.avp.ru www.awaps.net www.ca.com www.f-secure.com www.kaspersky.ru www.mcafee.com www.my-etrust.com www.nai.com www.networkassociates.com www.sophos.com www.symantec.com www.trendmicro.com www.viruslist.com www.viruslist.ru www3.ca.com 

[...]

 O4 - HKLM\..\Run: [TouchED] C:\Program Files\TOSHIBA\TouchED\TouchED.Exe 

[...]

 O4 - HKLM\..\Run: [WLANSTA.EXE] WLANSTA.EXE START 

[...]

 O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\System32\winIogon.exe
O4 - HKLM\..\Run: [xMbZYI\wavVaYJ`IaatLx] C:\WINDOWS\System32\isjcpe.exe
O4 - HKLM\..\RunServices: [xMbZYI\wavVaYJ`IaatLx] C:\WINDOWS\System32\isjcpe.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
 

[...]

 O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
 

[...]

 O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O20 - AppInit_DLLs: c:\windows\system32\awvtrss.dll 

[...]

 O23 - Service: ms hexidecimal defx (mshexdefx) - Unknown owner - C:\WINDOWS\system32\dllcache\ivchost.exe 

[...]

 O23 - Service: QuickTime - Unknown owner - C:\WINDOWS\QuickTime.exe
 

[...]

 --
End of file - 8051 bytes
 

==================================================

Voici maintenant le rapport de Clean :
Je ne savais pas si je devais recommencer la phase HijackThis-OTMoveIt (et quoi faire différemment), alors j'ai continué avec les étapes suivantes ...
Tout ce qu'il a trouvé, j'ai cherché au moins un fois à le détruire (et temporairement réussi), ça promet ! ...
Par contre, il me trouve 2 fois C:\WINDOWS\system32\iexplore.exe et je n'en ai qu'un.


Rem. : J'ai un peu regardé le code (même si je ne lis pas le DOS, c'est bien comme ça que ça s'appelle ? je sais même pas !) et ils ne checkent pas des trucs qui traînent/traînaient(/traîneront ?) chez moi comme :
* fender.exe
* winresponse32.exe
* cftmon.exe

Peut-être qu'il faudrait leur signaler ? (Mais pas moi, parce que actuellement, je n'arrive pas à charger les pages forums.malekal.com)

==================================================

 11/08/2007 a  5:42:38,57 
 
*** Recherche des fichiers dans C: 
C:\a.exe FOUND 
 
*** Recherche des fichiers dans C:\WINDOWS\ 
 
*** Recherche des fichiers dans C:\WINDOWS\system32 
C:\WINDOWS\system32\csrs.exe FOUND 
C:\WINDOWS\system32\i FOUND 
C:\WINDOWS\system32\iexplore.exe FOUND 
C:\WINDOWS\system32\logon.exe FOUND 
C:\WINDOWS\system32\spoolsvc.exe FOUND 
C:\WINDOWS\system32\winamp.exe FOUND 
C:\WINDOWS\system32\winIogon.exe FOUND 
C:\WINDOWS\system32\iexplore.exe FOUND 
 
*** Recherche des fichiers dans C:\Program Files 
*** Fin du rapport !

==================================================

Voici le rapport de SmitFraudFix :

Je l'avais déjà passé il y 2 jours, je n'avais pas encore le problème de hosts qui vient d'arriver et il m'avait trouvé une dll (c:\windows\system32\gebcabx.dll) que j'ai dû faire disparaître depuis parce qu'elle n'existe plus.

Pour VundoFix, si j'ai le courage, je le passe maintenant et si j'ai le choix entre Redémarrer et Arrêter, je finirais et posterais après avoir été dormir. J'étais pressée d'arriver à ce point vu que tu m'avais parlé du winlogon.

Par contre, si y'a un truc qui gère le problème de l'explorer.exe qui bouffe plus de 80 % de la CPU en permanence sans raison, je suis intéressée.
Ou alors un File Manager Freeware pas gros et rapide à installer (sauf si c'est pas le moment) qui lui ne se fera pas attaquer.
Parce que je me sers de cygwin au maximum mais, quand je dois lancer des exécutables, ce serait plus pratique, au lieu d'attendre minimum1/4 d'heure l'affichage du contenu du répertoire avant de pouvoir cliquer ! ...

=========================================================

SmitFraudFix v2.210

Rapport fait à  6:38:30,81, 11/08/2007
Executé à partir de F:\Stockage\Logiciels\Virus\siri.urz.free.fr\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est FAT32
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» Process
»»»»»»»»»»»»»»»»»»»»»»»» hosts

Fichier hosts corrompu !

255.255.255.255 ar.atwola.com atdmt.com avp.ch avp.com avp.ru awaps.net ca.com dispatch.mcafee.com download.mcafee.com download.microsoft.com downloads.microsoft.com engine.awaps.net f-secure.com ftp.f-secure.com ftp.sophos.com go.microsoft.com liveupdate.symantec.com mast.mcafee.com mcafee.com msdn.microsoft.com my-etrust.com nai.com networkassociates.com office.microsoft.com phx.corporate-ir.net secure.nai.com securityresponse.symantec.com service1.symantec.com sophos.com spd.atdmt.com support.microsoft.com symantec.com update.symantec.com updates.symantec.com us.mcafee.com vil.nai.com viruslist.ru windowsupdate.microsoft.com www.avp.ch www.avp.com www.avp.ru www.awaps.net www.ca.com www.f-secure.com www.kaspersky.ru www.mcafee.com www.my-etrust.com www.nai.com www.networkassociates.com www.sophos.com www.symantec.com www.trendmicro.com www.viruslist.com www.viruslist.ru www3.ca.com

»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\XXX
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\XXX\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\XANTOP~1\FAVORIS
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="c:\\windows\\system32\\awvtrss.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock
»»»»»»»»»»»»»»»»»»»»»»»» DNS
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin

=========================================================

Bonjour moK´s@.

Pour le Mode Sans Echec, c'est pas que je sais pas, c'est plus que j'y arrive pas, et je suppose qu'il y a un rapport avec le message concernant THotKey qui est apparu en Mode Normal.
Mais maintenant, j'ai compris : quand, dans les choix, il me propose pas le Mode Sans Echec, j'appuie sur On/Off, c'est sûrement pas bon, mais, en Mode Normal, j'ai rien le temps de faire et un écran bleu au bout de 3-4 minutes, alors j'ai pas vraiment le choix ... !

Donc, je reste en permanence en Mode Sans Echec (avec Réseau), sauf si tu me spécifies le contraire, surtout tant que les problèmes ne sont pas au moins un peu réglés ...

Par contre, il me reste encore la possibilité de switcher entre Mode Sans Echec et Mode Ligne De Commande, mais là, j'aurais plus internet et certains des outils sont graphiques (VundoFix), donc je pourrais pas tout faire ...

Donc, maintenant, je vais faire Clean et SmitFraudFix avec suppression ...

D'abord, les rapports de VundoFix et aussi de HijackThis :
Il y a eu un 1er passage, incomplet, et, avant de redémarrer, j'ai viré des lignes avec HijackThis,
puis un 2ème passage, encore incomplet, et là aussi, j'ai fait un peu de ménage avec HijackThis.
Et là, je devrais faire un 3ème passage,
mais je crois que je vais commencer par Clean et SmitFraudFix ...

Euh, avant ça, je crois qu'il y a eu un problème avec HijackThis vers 3h00 ...
Voici les fichiers backup qui correspondent à 2 lignes que je lui ai demandé d'enlevé :
1er fichier (backup-20070811-030022-947) :
==============================================================

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html

???????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????=????`?6?????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????

==============================================================
2ème fichier (backup-20070811-030023-192) :
==============================================================

O23 - Service: ms hexidecimal defx (mshexdefx) - Unknown owner - C:\WINDOWS\system32\dllcache\ivchost.exe

==============================================================
Et, entre ces 2 fichiers, j'ai l'impression qu'il a crée 2 autres fichiers avec des dates anciennes (2005), mais avec les mêmes timestamps dans les noms des fichiers :
* backup-20070811-030022-947.dll
* backup-20070811-030022-947.inf (celui-là, à l'intérieur, j'ai peur qu'il fasse des trucs malveillants)

Est-ce que HijackThis a un problème ou est-ce que c'est des backups de fichiers qu'il a viré (pour me laisser la possibilité de revenir en arrière) ???

==============================================================
VundoFix - 1er passage :
==============================================================

VundoFix V6.5.7

Checking Java version...

Sun Java not detected
Scan started at 07:22:00 11/08/2007

Listing files found while scanning....

[...]

Beginning removal...

[Je te mets une ligne sur 2 ...]

C:\windows\system32\awtsspp.dll Has been deleted!
C:\WINDOWS\System32\bxeowdxg.dll Has been deleted!
C:\windows\system32\byxvttu.dll Has been deleted!
C:\windows\system32\byxywur.dll Has been deleted!
C:\windows\system32\jkkjiff.dll Has been deleted!
C:\windows\system32\kkyivpde.exe Has been deleted!
C:\windows\system32\mllji.exe Has been deleted!
C:\WINDOWS\System32\mpsut.bak1 Has been deleted!
C:\WINDOWS\System32\mpsut.bak2 Has been deleted!
C:\WINDOWS\System32\mpsut.ini Has been deleted!
C:\WINDOWS\System32\nwjrfdut.dll Has been deleted!
C:\windows\system32\pmnkljj.dll Has been deleted!
C:\windows\system32\pxqslmgh.exe Has been deleted!
C:\windows\system32\qomlkji.dll Has been deleted!
C:\windows\system32\rqrronn.dll Has been deleted!
C:\WINDOWS\System32\tudfrjwn.ini Has been deleted!

C:\WINDOWS\System32\tuspm.dll Could not be deleted.

C:\windows\system32\urqrqrr.dll Has been deleted!

C:\WINDOWS\System32\wvurqno.dll Could not be deleted.
C:\windows\system32\wvuussr.dll Could not be deleted.

C:\windows\system32\xxyxvtr.dll Has been deleted!
C:\windows\system32\xxyxxuv.dll Has been deleted!
C:\windows\system32\xxyyvst.dll Has been deleted!

Performing Repairs to the registry.
Done!

==============================================================

Lignes virées avec HijackThis (1er passage) :
==============================================================

O20 - AppInit_DLLs: c:\windows\system32\awvtrss.dll
O1 - Hosts: 255.255.255.255 ar.atwola.com atdmt.com avp.ch avp.com avp.ru awaps.net ca.com dispatch.mcafee.com download.mcafee.com download.microsoft.com downloads.microsoft.com engine.awaps.net f-secure.com ftp.f-secure.com ftp.sophos.com go.microsoft.com liveupdate.symantec.com mast.mcafee.com mcafee.com msdn.microsoft.com my-etrust.com nai.com networkassociates.com office.microsoft.com phx.corporate-ir.net secure.nai.com securityresponse.symantec.com service1.symantec.com sophos.com spd.atdmt.com support.microsoft.com symantec.com update.symantec.com updates.symantec.com us.mcafee.com vil.nai.com viruslist.ru windowsupdate.microsoft.com www.avp.ch www.avp.com www.avp.ru www.awaps.net www.ca.com www.f-secure.com www.kaspersky.ru www.mcafee.com www.my-etrust.com www.nai.com www.networkassociates.com www.sophos.com www.symantec.com www.trendmicro.com www.viruslist.com www.viruslist.ru www3.ca.com
O23 - Service: QuickTime - Unknown owner - C:\WINDOWS\QuickTime.exe
O4 - HKLM\..\RunServices: [xMbZYI\wavVaYJ`IaatLx] C:\WINDOWS\System32\isjcpe.exe
O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\System32\winIogon.exe
O4 - HKLM\..\Run: [xMbZYI\wavVaYJ`IaatLx] C:\WINDOWS\System32\isjcpe.exe
O23 - Service: ms hexidecimal defx (mshexdefx) - Unknown owner - C:\WINDOWS\system32\dllcache\ivchost.exe

==============================================================
VundoFix - 2eme passage :
==============================================================

VundoFix V6.5.7

Checking Java version...

Sun Java not detected
Scan started at 07:54:27 11/08/2007

Listing files found while scanning....

[...]

Beginning removal...

[Je te laisse une ligne sur 2]

C:\WINDOWS\System32\ccchrmbg.dll Has been deleted!

C:\WINDOWS\System32\fssdxrtj.dll Could not be deleted.

C:\WINDOWS\System32\jtrxdssf.ini Has been deleted!
C:\WINDOWS\System32\mpsut.bak1 Has been deleted!
C:\WINDOWS\System32\mpsut.ini Has been deleted!

C:\WINDOWS\System32\tuspm.dll Could not be deleted.
C:\windows\system32\urqomkj.dll Could not be deleted.
C:\WINDOWS\system32\wvurqno.dll Could not be deleted.

C:\windows\system32\wvuussr.dll Has been deleted!

Performing Repairs to the registry.
Done!

==============================================================
Lignes virées avec HijackThis (2eme passage) :
==============================================================

O4 - HKLM\..\Run: [Client Server Runtime Process] C:\WINDOWS\System32\csrs.exe
O23 - Service: Microsoft Media - Unknown owner - C:\WINDOWS\System32\dllcache\Rtsecar.exe
O4 - HKLM\..\Run: [Spooler SubSystem App] C:\WINDOWS\System32\spooIsv.exe
O23 - Service: DomainService -   - C:\WINDOWS\System32\qcjrswto.exe
O20 - AppInit_DLLs: c:\windows\system32\awvtrss.dll
O4 - HKLM\..\Run: [Winamp Agent] C:\WINDOWS\System32\winamp.exe
O4 - HKCU\..\Run: [DDC] C:\WINDOWS\System32\qcjrswto.exe
O23 - Service: ms hexidecimal defx (mshexdefx) - Unknown owner - C:\WINDOWS\system32\dllcache\ivchost.exe
O4 - HKLM\..\Run: [Microsoft Internet Explorer] C:\WINDOWS\System32\iexplore.exe

==============================================================

moK' s@, j'avais oublié : bon courage pour l'épluchage des logs et merci pour ta disponibilité ...

Ouh la la !
J'étais en train de t'expliquer qu'ils s'attaquaient très fort à Internet Explorer et à explorer.exe, mais là, c'est la 3ème fois que j'essaye d'envoyer ce post ... !!!

Pour Internet Explorer, une grande fenêtre vide (explorer.exe n'arrive plus à afficher) qui s'ouvre à chaque rafraîchissement et que je dois fermer.

Pour explorer.exe, il l'a tué, et, tout d'un coup, je ne pouvais plus faire << Parcourir ... >> (la fenêtre était vide et mal disposée), des pop-ups vides (y compris pas de texte sur les boutons), plus de Bureau, plus de variables d'environnement, jusqu'au redémarrage forcé et là, il ne connaissait plus la commande shutdown -a ... !!! J'ai crû que je ne pourrais plus jamais démarrer ...

Il m'a donc redémarré, là, j'ai eu des problèmes de ventilo, puis un pop-up pour Internet Explorer avec un titre du style << Sous-système MS-DOS 16 bits >> (!!! ???) et je ne pouvais faire que << Fermer >> et puis, ça a recommencé et encore un shutdown forcé et pas de commande shutdown -a ...

Cette fois-ci, apparemment, j'ai un peu plus de temps : j'ai tué l'explorer.exe au démarrage et je ne l'ai pas relancé. On va voir si j'arrive au bout de mon message ...

Scan de HijackThis (+ OTMoveIt) que tu viens de me demander et que j'ai fais au démarrage :
J'ai mis << *** >> devant les lignes que je vire
et, avant de redémarrer, avec OTMoveIt, je vire ça :
C:\WINDOWS\System32\spooIsv.exe
C:\WINDOWS\System32\lssas.exe
C:\WINDOWS\System32\algs.exe
C:\WINDOWS\System32\iexplore.exe
C:\WINDOWS\System32\logon.exe
C:\WINDOWS\System32\uueox.exe
c:\windows\system32\awvtrss.dll
C:\WINDOWS\system32\dllcache\ivchost.exe

Comme je me dépêche avant de me faire encore avoir, j'epsère que je n'en ai pas oubliés ...

=========================================================

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:55:12, on 11/08/2007
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Securite\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\taskmgr.exe
D:\Securite\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: NetXfer - {C16CBAAC-A75C-4DB5-A0DD-CDF5CAFCDD3A} - F:\Logiciels\Utilitaires\NetTransport\NXToolBar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe /Type 20
O4 - HKLM\..\Run: [TosHKCW.exe] "C:\Program Files\TOSHIBA\Wireless Hotkey\TosHKCW.exe"
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [TouchED] C:\Program Files\TOSHIBA\TouchED\TouchED.Exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [WLANSTA.EXE] WLANSTA.EXE START
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [Norton Ghost 9.0] D:\Securite\Symantec\Norton Ghost\Agent\GhostTray.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] "C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe"
O4 - HKLM\..\Run: [avast!] D:\Securite\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "D:\Securite\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
*** O4 - HKLM\..\Run: [Spooler SubSystem App] C:\WINDOWS\System32\spooIsv.exe
*** O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\System32\lssas.exe
*** O4 - HKLM\..\Run: [Application Layer Gateway Service] C:\WINDOWS\System32\algs.exe
*** O4 - HKLM\..\Run: [Microsoft Internet Explorer] C:\WINDOWS\System32\iexplore.exe
*** O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\System32\logon.exe
*** O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\WINDOWS\System32\uueox.exe
O4 - HKLM\..\RunOnce: [VundoFix] "F:\Stockage\Logiciels\Virus\www.atribune.org\vundofix.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [HijackThis startup scan] D:\Securite\Trend Micro\HijackThis\HijackThis.exe /startupscan
O4 - HKCU\..\Run: [eMuleAutoStart] D:\Internet\eMule\emule.exe -AutoStart
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: wkcalrem.LNK = C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkCalRem.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Tout télécharger avec NetXfer - F:\Logiciels\Utilitaires\NetTransport\NXAddList.html
O8 - Extra context menu item: Télécharger avec NetXfer - F:\Logiciels\Utilitaires\NetTransport\NXAddLink.html
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
*** O20 - AppInit_DLLs: c:\windows\system32\awvtrss.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Securite\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - D:\Securite\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - D:\Securite\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - D:\Securite\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - D:\Securite\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
*** O23 - Service: ms hexidecimal defx (mshexdefx) - Unknown owner - C:\WINDOWS\system32\dllcache\ivchost.exe
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Ghost - Symantec Corporation - D:\Securite\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SPBBCSvc - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

--
End of file - 7379 bytes

=========================================================

Pour OTMoveIt, ça a l'air OK, sauf ça :

DllUnregisterServer procedure not found in c:\windows\system32\awvtrss.dll
c:\windows\system32\awvtrss.dll NOT unregistered.
c:\windows\system32\awvtrss.dll moved successfully.

Et revoilà, le scan de HijackThis après fix :
Rem. : HijackThis ne me demande pas de redémarrer ...
(Désolée, je prends pas le temps de trop regarder et virer les lignes en trop, parce que j'ai peur de me faire redémarrer ...)
=========================================================

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:25:16, on 11/08/2007
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
D:\Securite\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\taskmgr.exe
D:\Securite\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\System32\cmd.exe
C:\cygwin\bin\bash.exe
C:\Program Files\Freewares\VideoLAN\VLC\vlc.exe
C:\WINDOWS\System32\notepad.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Freewares\adslTV\adsltv.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\spooIsv.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\csrs.exe
F:\Stockage\Logiciels\Virus\Old_Timer (Dowload.bleepingcomputer.com)\OTMoveIt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: NetXfer - {C16CBAAC-A75C-4DB5-A0DD-CDF5CAFCDD3A} - F:\Logiciels\Utilitaires\NetTransport\NXToolBar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe /Type 20
O4 - HKLM\..\Run: [TosHKCW.exe] "C:\Program Files\TOSHIBA\Wireless Hotkey\TosHKCW.exe"
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [TouchED] C:\Program Files\TOSHIBA\TouchED\TouchED.Exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [WLANSTA.EXE] WLANSTA.EXE START
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [Norton Ghost 9.0] D:\Securite\Symantec\Norton Ghost\Agent\GhostTray.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] "C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe"
O4 - HKLM\..\Run: [avast!] D:\Securite\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "D:\Securite\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [Client Server Runtime Process] C:\WINDOWS\System32\csrs.exe
O4 - HKLM\..\RunOnce: [VundoFix] "F:\Stockage\Logiciels\Virus\www.atribune.org\vundofix.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [HijackThis startup scan] D:\Securite\Trend Micro\HijackThis\HijackThis.exe /startupscan
O4 - HKCU\..\Run: [eMuleAutoStart] D:\Internet\eMule\emule.exe -AutoStart
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: wkcalrem.LNK = C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkCalRem.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Tout télécharger avec NetXfer - F:\Logiciels\Utilitaires\NetTransport\NXAddList.html
O8 - Extra context menu item: Télécharger avec NetXfer - F:\Logiciels\Utilitaires\NetTransport\NXAddLink.html
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O20 - AppInit_DLLs: c:\windows\system32\awvtrss.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Securite\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - D:\Securite\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - D:\Securite\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - D:\Securite\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - D:\Securite\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: ms hexidecimal defx (mshexdefx) - Unknown owner - C:\WINDOWS\system32\dllcache\ivchost.exe (file missing)
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Ghost - Symantec Corporation - D:\Securite\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SPBBCSvc - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

--
End of file - 7475 bytes

=========================================================

Bon, apparemment, je n'arrive pas à virer :

O20 - AppInit_DLLs: c:\windows\system32\awvtrss.dll
O23 - Service: ms hexidecimal defx (mshexdefx) - Unknown owner - C:\WINDOWS\system32\dllcache\ivchost.exe (file missing)

et j'ai oublié de fixer :

O4 - HKLM\..\Run: [Client Server Runtime Process] C:\WINDOWS\System32\csrs.exe

=> Je les vire tout de suite avec HijackThis et OTMoveIt et aussi C:\WINDOWS\System32\spooIsv.exe qui est en train de tourner

Bon, OTMoveIt me demande un reboot.

Après, si y'a rien de nouveau, je ferai le Clean et le SmitFraudFix.

A plus.

Désolée, après le reboot pour OTMoveIt, j'ai pas eu le Mode Sans Echec, comme il fallait que je fasse On/Off et que j'ai presque rien mangé depuis 3-4 jours, entre On et Off, j'ai fait une pause courses ...

Je suis consciente qu'on est le week-end, donc si tu me laisses tomber (temporairement), je comprendrais très bien.

Bon, voilà le log de OTMoveIt avant le reboot :

Rem. : 1) Pour c:\windows\system32\awvtrss.dll, j'ai essayé aussi C:\WINDOWS\... parce que c'est ça son vrai path.
2) Pour tout ce qui était prévu de détruire au redémarrage, il a échoué : les fichiers :
* c:\windows\system32\awvtrss.dll
* C:\WINDOWS\System32\csrs.exe
sont toujours là ...
====================================================

DllUnregisterServer procedure not found in c:\windows\system32\awvtrss.dll
c:\windows\system32\awvtrss.dll NOT unregistered.
File move failed. c:\windows\system32\awvtrss.dll scheduled to be moved on reboot.
DllUnregisterServer procedure not found in C:\WINDOWS\system32\awvtrss.dll
C:\WINDOWS\system32\awvtrss.dll NOT unregistered.
File move failed. C:\WINDOWS\system32\awvtrss.dll scheduled to be moved on reboot.
File/Folder C:\WINDOWS\system32\dllcache\ivchost.exe not found.
File move failed. C:\WINDOWS\System32\csrs.exe scheduled to be moved on reboot.
C:\WINDOWS\System32\spooIsv.exe moved successfully.
 
Created on 08/11/2007 18:40:51

====================================================

J'ai compris ce que tu m'as dit de faire dans ton dernier post, mais le a), je crois que c'est un peu la dernière manip que je viens de faire :
a) virer avec HijackThis et OTMoveIt et rebooter si il le demande, mais apparemment il va demander
b) virer avec VundoFix-Click droit et rebooter si nécessaire
+ Clean et SMitFraudFix en mode suppression
puis un scan HijackThis

Mais pour le a) et b), est-ce qu'il ne vaudrait pas mieux que je fasse le tout d'un coup, cad HijackThis+OTMoveIt et, avant le << click Yes to reboot >>, la manip VundoFix-Click droit jusqu'à << Click Yes to reboot >> et, après, je clicke sur un des 2 Yes (ou les 2 si j'ai le temps) et, comme ça, ils travailleront tous les 2 lors du même reboot et auront peut-être plus de chance de réussir ???

... Je n'avais pas vu que le site était revenu ..., mais, maintenant, je crois que je vais aller me coucher ...
Avant, je poste ce que j'avais préparé.
Si tu ne me réponds pas, je pense qu'ensuite, j'essayerais de m'occuper de Kerio.
Bonne lecture/bonne nuit/bonne journée/bon week-end !

*** Liste des process qui tournaient une fois que j'avais tout préparé un peu avant de lancer la manip grâce à CygWin (Rem.: Il indique 2 heures de moins).

Les << unknown >> sont soit méchants, soit temporaires, mais je ne peux pas leur faire grand chose ...
Avant de commencer la manip, j'ai fermé adsltv, iexplore.exe et 1 Notepad.

$ ps -fasW | less
    PID TTY     STIME COMMAND
      4  -1  19:24:48 *** unknown ***
    616  -1  18:51:15 \SystemRoot\System32\smss.exe
    840  -1  18:51:23 \??\C:\WINDOWS\system32\winlogon.exe
    888  -1  18:51:25 C:\WINDOWS\system32\services.exe
    900  -1  18:51:25 C:\WINDOWS\system32\lsass.exe
   1320  -1  18:51:49 D:\Securite\Grisoft\AVG Anti-Spyware 7.5\guard.exe
   1560  -1  18:52:02 C:\WINDOWS\System32\taskmgr.exe
   1624  -1  18:52:31 D:\Securite\Trend Micro\HijackThis\HijackThis.exe
   1716  -1  18:52:41 C:\WINDOWS\system32\NOTEPAD.EXE
   1728  -1  18:52:48 C:\WINDOWS\System32\cmd.exe
   1740  -1  18:52:49 /usr/bin/bash
   1888  -1  18:53:08 C:\WINDOWS\system32\NOTEPAD.EXE
[Fermé]   2004  -1  18:54:50 C:\Program Files\Freewares\adslTV\adsltv.exe
[Fermé]   2044  -1  18:55:14 C:\Program Files\Internet Explorer\iexplore.exe
    536  -1  18:56:27 C:\WINDOWS\System32\winIogon.exe
   1960  -1  18:57:08 C:\WINDOWS\System32\rundll32.exe
   1824  -1  18:57:22 C:\WINDOWS\System32\svchost.exe
   1272  -1  18:58:54 C:\WINDOWS\System32\explorer.exe
   1276  -1  19:03:44 C:\WINDOWS\System32\spooIsv.exe
   1524  -1  19:04:03 C:\WINDOWS\system32\NOTEPAD.EXE
    348  -1  19:04:34 F:\Stockage\Logiciels\Virus\Old_Timer (Dowload.bleepingcom
puter.com)\OTMoveIt.exe
   1084  -1  19:11:59 C:\WINDOWS\system32\shdtj.exe
   1212  -1  19:12:09 C:\WINDOWS\system32\gilsoh.exe
    476  -1  19:45:55 C:\WINDOWS\system32\mmc.exe
    400  -1  20:17:40 F:\Stockage\Logiciels\Virus\www.atribune.org\VundoFix.exe
    520  -1  20:52:23 C:\WINDOWS\system32\svchost.exe
   1404  -1  20:53:36 C:\WINDOWS\System32\algs.exe
    316  -1  20:55:25 /usr/bin/ps
    904  -1  20:55:25 C:\cygwin\bin\bash.exe
    316  -1  20:55:25 /usr/bin/ps
   1552  -1  20:55:25 *** unknown ***

==============================================

*** Scan de Hijack This au démarrage :

J'ai mis :
<< *** >> devant les (4) lignes que je vais fixer
et
<< +++ >> devant/dans les lignes un peu longues que je pense OK (dis-moi si je me trompe).
(Ca sera moins chiant à lire)
==============================================

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:52:41, on 11/08/2007
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Securite\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\taskmgr.exe
D:\Securite\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - +++
O3 - Toolbar: NetXfer - +++
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe /Type 20
O4 - HKLM\..\Run: [TosHKCW.exe] "C:\Program Files\TOSHIBA\Wireless Hotkey\TosHKCW.exe"
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [TouchED] C:\Program Files\TOSHIBA\TouchED\TouchED.Exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [WLANSTA.EXE] WLANSTA.EXE START
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [Norton Ghost 9.0] +++
O4 - HKLM\..\Run: [ccApp] +++ \Symantec Shared\ +++
O4 - HKLM\..\Run: [SSC_UserPrompt] +++ \Symantec Shared\ +++
O4 - HKLM\..\Run: [avast!] D:\Securite\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [avgnt] +++ \AntiVir PersonalEdition Classic\ +++
O4 - HKLM\..\Run: [!AVG Anti-Spyware] +++ \AVG Anti-Spyware 7.5\ +++
*** O4 - HKLM\..\Run: [Spooler SubSystem App] C:\WINDOWS\System32\spoolsvc.exe
*** O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\System32\Isass.exe
O4 - HKLM\..\RunOnce: [VundoFix] "F:\Stockage\Logiciels\Virus\www.atribune.org\vundofix.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [HijackThis startup scan] +++
O4 - HKCU\..\Run: [eMuleAutoStart] +++
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: wkcalrem.LNK +++
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Tout télécharger avec NetXfer +++
O8 - Extra context menu item: Télécharger avec NetXfer +++
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
*** O20 - AppInit_DLLs: c:\windows\system32\awvtrss.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Securite\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - +++ \Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - +++ \Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - +++ \Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - +++ \AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - +++ \Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - +++ \Symantec Shared\ccSetMgr.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
*** O23 - Service: ms hexidecimal defx (mshexdefx) - Unknown owner - C:\WINDOWS\system32\dllcache\ivchost.exe (file missing)
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - +++ \Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Ghost - Symantec Corporation - +++ \Norton Ghost\Agent\PQV2iSvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - +++ \Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Protection Center Service (NSCService) - +++ \Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Symantec AVScan (SAVScan) - +++ \Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - +++ \Symantec Shared\SNDSrvc.exe
O23 - Service: SPBBCSvc - Symantec Corporation - +++ \Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - +++ \Symantec Shared\CCPD-LC\symlcsvc.exe

--
End of file - 7079 bytes

==============================================
*** Pour le service ms hexidecimal defx,

* il n'est pas démarré, parce que je suis en mode sans échec
* j'ai changé sa config :
** pour Type de Démarrage, j'ai modifié Automatique en Désactivé (mais il n'apparaîtra plus dans HijackThis ... !) ;
** pour les actions de Récupérations, j'ai mis << Ne Rien Faire >> pour toutes les Défaillances.
** dans Connexion, j'ai modifié Activé en Désactivé pour tous les profils matériels.
==============================================
*** Pour OTMoveIt,
je lui ai demandé tout ça à supprimer :

C:\WINDOWS\System32\csrs.exe
C:\WINDOWS\System32\spoolsvc.exe
C:\WINDOWS\System32\Isass.exe
c:\windows\system32\awvtrss.dll
C:\WINDOWS\System32\awvtrss.dll
C:\WINDOWS\system32\awvtrss.dll
C:\WINDOWS\system32\dllcache\ivchost.exe

+

C:\WINDOWS\System32\tuvwuuu.dll (cf. VundoFix)

+ (cf. plus haut la liste des process)

C:\WINDOWS\System32\winIogon.exe
C:\WINDOWS\System32\spooIsv.exe
C:\WINDOWS\system32\shdtj.exe
C:\WINDOWS\system32\gilsoh.exe
C:\WINDOWS\System32\algs.exe

Log de OTMoveIt :
==============================================

C:\WINDOWS\System32\csrs.exe moved successfully.
C:\WINDOWS\System32\spoolsvc.exe moved successfully.
C:\WINDOWS\System32\Isass.exe moved successfully.
DllUnregisterServer procedure not found in c:\windows\system32\awvtrss.dll
c:\windows\system32\awvtrss.dll NOT unregistered.
File move failed. c:\windows\system32\awvtrss.dll scheduled to be moved on reboot.
DllUnregisterServer procedure not found in C:\WINDOWS\System32\awvtrss.dll
C:\WINDOWS\System32\awvtrss.dll NOT unregistered.
File move failed. C:\WINDOWS\System32\awvtrss.dll scheduled to be moved on reboot.
DllUnregisterServer procedure not found in C:\WINDOWS\system32\awvtrss.dll
C:\WINDOWS\system32\awvtrss.dll NOT unregistered.
File move failed. C:\WINDOWS\system32\awvtrss.dll scheduled to be moved on reboot.
File/Folder C:\WINDOWS\system32\dllcache\ivchost.exe not found.
DllUnregisterServer procedure not found in C:\WINDOWS\System32\tuvwuuu.dll
C:\WINDOWS\System32\tuvwuuu.dll NOT unregistered.
C:\WINDOWS\System32\tuvwuuu.dll moved successfully.
C:\WINDOWS\System32\winIogon.exe moved successfully.
File move failed. C:\WINDOWS\System32\spooIsv.exe scheduled to be moved on reboot.
File move failed. C:\WINDOWS\system32\shdtj.exe scheduled to be moved on reboot.
C:\WINDOWS\system32\gilsoh.exe moved successfully.
C:\WINDOWS\System32\algs.exe moved successfully.
File/Folder  not found.
 
Created on 08/11/2007 23:11:32

==============================================
*** Pour VundoFix,
comme tu ne m'as pas dis ce que tu en pensais, j'ai choisi la méthode OTMoveIt et Vundo Fix travaillent dans le même reboot ...
Dans la fenêtre de VundoFix, il y avait déjà tout ça :

C:\WINDOWS\System32\fssdxrtj.dll
C:\WINDOWS\System32\mpsut.ini
C:\WINDOWS\System32\tuspm.dll
C:\windows\system32\urqomkj.dll
C:\WINDOWS\system32\wvurqno.dll

que j'ai laissés et j'ai rajouté :

C:\WINDOWS\System32\tuvwuuu.dll (je l'ai trouvée par hasard)
c:\windows\system32\awvtrss.dll
C:\WINDOWS\System32\csrs.exe
C:\WINDOWS\System32\spoolsvc.exe
C:\WINDOWS\System32\Isass.exe
C:\WINDOWS\system32\dllcache\ivchost.exe
C:\WINDOWS\System32\awvtrss.dll
C:\WINDOWS\system32\awvtrss.dll
C:\WINDOWS\System32\winIogon.exe
C:\WINDOWS\System32\spooIsv.exe
C:\WINDOWS\system32\shdtj.exe
C:\WINDOWS\system32\gilsoh.exe
C:\WINDOWS\System32\algs.exe

Log de VundoFix (résumé, j'ai gardé une ligne sur 2) :
==============================================

Beginning removal...

C:\WINDOWS\System32\algs.exe Could not be deleted.
C:\WINDOWS\system32\awvtrss.dll Could not be deleted.
C:\WINDOWS\System32\awvtrss.dll Could not be deleted.
c:\windows\system32\awvtrss.dll Could not be deleted.

C:\WINDOWS\System32\fssdxrtj.dll Has been deleted!

C:\WINDOWS\system32\gilsoh.exe Could not be deleted.

C:\WINDOWS\System32\mpsut.ini Has been deleted!

C:\WINDOWS\system32\shdtj.exe Could not be deleted.
C:\WINDOWS\System32\spooIsv.exe Could not be deleted.
C:\WINDOWS\System32\tuspm.dll Could not be deleted.

C:\windows\system32\urqomkj.dll Has been deleted!

C:\WINDOWS\System32\winIogon.exe Could not be deleted.

C:\WINDOWS\system32\wvurqno.dll Could not be deleted.

Performing Repairs to the registry.
Done!

==============================================
2ème HijackThis :
Avant de redémarrer, j'ai fait un scan que j'ai regardé rapidement et j'ai encore viré 4 lignes supplémentaires de trucs qui traînaient :
==============================================

O20 - AppInit_DLLs: c:\windows\system32\awvtrss.dll
O4 - HKLM\..\Run: [Application Layer Gateway Service] C:\WINDOWS\System32\algs.exe
O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\System32\winIogon.exe
O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\WINDOWS\system32\gilsoh.exe

==============================================

Bonjour moK' s@,

C'est gentil de revenir me voir, parce que je me sens un peu toute seule et désemparée (si ce n'est désespérée ... ?) face à ces envahisseurs qui me tapent sur le système.
En plus, pas de son => pas de télé/radio, c'est vraiment pas gai ...
Du coup, j'ai pas fait grand chose de plus (i.e. je ne me suis pas encore occupée de Kerio).

Avant d'éteindre, j'avais repassé un VundoFix (Scan + Remove).
Problème :
1) Là, j'ai attendu trop de temps après le redémarrage (10 min. !) pour le relancer et c'est trop tard : j'ai un pop-up << Erreur d'Exécution ... >>.
2) J'ai l'impression que les Fix qui prévoient de finir leur travail au redémarrage (VundoFix, OTMoveIt et HijackThis) ne le finissent jamais, car, en Mode Sans Echec, ils ne sont pas relancés ...

moK' s@ :
bon sa s´arrange un peu, on dirait ;-)

=> Ah bon !?? moi, c'est pas du tout l'impression que j'ai ... !!!

moK' s@ :
a tu fixé les ligne que tu avais dis que tu allais fixer? car il ne faut pas toutes les fixer!!!

=> Aie ! Aie ! Aie !

Depuis qu'il a fallu que je réécrive 3 fois le même post, parce que je n'arrêterais pas de me faire redémarrer, maintenant je les prépare à l'avance.
Donc oui, je l'ai sûrement fait ...
De quelle(S?) ligne(S?) tu parles ???
Si tu veux, je peux te lister toutes les lignes que j'ai fixé avec HijackThis (c'est de lui que tu parles ??), parce qu'il les garde en backup dans des fichiers, sauf quand y'avait trop de problèmes (plus de variables d'environnement) et qu'il ne pouvait pas trouver son path ou créer de fichier.

Bon, j'essaye la manip' HijackThis + OTMoveIt pr csrs.exe ; j'ai déjà peur que ça ne marche pas ...

Après, je ferais le virusscan, puis Navilog1.exe.

Merci encore pour tout.

Malheureusement, je suis assez d'accord avec toi !!
Et je suis aussi fatiguée + énervée + désespérée + furax ...
Et je me demande encore comment c'est arrivé !
En plus, j'ai l'impression qu'ils appellent leurs potes pour qu'il y ait encore plus de squatteurs ... (D'où le titre !)

Bonjour moK' s@,

J'espère que tu as passé un bon week-end.

Je viens de faire un nouveau HijackThis un peu après le démarrage, mais [merde, mon clavier écrit tout seul !!!] j'ai pris le temps de brancher le cable réseau et de lancer Internet Explorer : y'a beaucoup de trucs moches dedans, mais je yte fais grâce du log, je vais attendre de faire ta manip Navilog1 avant
+ j'a noté que tu m'as dit d'arrêter de fixer le choses à moitié.

J'ai un nouveau problème : hier, comme je ne faisais pas de manip de nettoyage et qu'il y avait des méchants process qui prennaient beaucoup trop de CPU, j'essayais de les tuer avec le Task Manager, mais j'avais un pop-up comme quoi je n'avais pas le droit (si il apparaît à nouveau, je te le recopierais). Y a-t-il un autre moyen de tuer ces processus ? Par exemple, avec Cygwin (mais le kill $PID ne marche pas, peut-être parce que ma version de CygWin est trop vieille) ?

Bon, je fais ta manip' Navilog1.

A plus et merci.

Navilog1 :

Cool ! Merci à HijackThis de m'avoir filé un indice !
J'ai lancé de moi-même Navilog1 et, avec son fichier suppauto.txt, il a fait sa manip', sauf que :
1) il manque la partie F-Secure BlackLight
2) j'ai un pop-up style Dr Watson pour le process << gnc.exe >> (plus très sûre de comment il s'appelait) et j'étais obligée de faire OK et ça a terminé Navilog1, mais je pense qu'il avait fini ...

J'ai l'impression que Navilog1 a bien travaillé ...

Voici le log :
===================================================

Clean Navipromo version 2.0.7 commencé le 13/08/2007 à 18:40:53,10

Fix lancé depuis C:\Program Files\navilog1
Mise a jour le 11.08.2007 a 18h00 by IL-MAFIOSO

Mode suppression automatique avec prise en charge résultats Blacklight

*** fsbl1.txt non trouvé ***
(Assurez-vous que Blacklight n'avait rien trouvé lors de la recherche)
 

*** Suppression dossiers dans C:\WINDOWS ***
*** Suppression dossiers dans C:\Program Files ***
*** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***
*** Suppression dossiers dans C:\Documents and Settings\XXX\Application Data ***
*** Suppression fichiers ***
*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\XXX\Local Settings\Temp effectué !

*** Sauvegarde du registre vers dossier Backupnavi *** 
 
sauvegarde du registre réalise avec succes !

*** Nettoyage registre ***

Nettoyage registre Ok

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:

2)Recherche et Suppression Heuristique :

* 
** 
*** 
**** 
***** 
****** 
******* 
******** 
C:\WINDOWS\system32\qcjrswto.exe trouvé !
Copie C:\WINDOWS\system32\qcjrswto.exe réalise avec succes !
C:\WINDOWS\system32\qcjrswto.exe supprimé !
C:\WINDOWS\system32\doqkktwt.exe trouvé !
Copie C:\WINDOWS\system32\doqkktwt.exe réalise avec succes !
C:\WINDOWS\system32\doqkktwt.exe supprimé !
C:\WINDOWS\system32\goxzt.exe trouvé !
Copie C:\WINDOWS\system32\goxzt.exe réalise avec succes !
C:\WINDOWS\system32\goxzt.exe supprimé !

3)Contrôle présence clés Rootkit dans le registre :

Aucune autre clés présente dans le registre !

4)Certificats :


*** Recherche avec GenericNaviSearch Beta ***
!!! Ces résultats peuvent révéler des fichiers légitimes !!!
!!! A verifier impérativement avant toute suppression manuelle !!!

Fichiers trouvés non supprimés :

Aucun Fichier trouvé !

Fichiers suspects non supprimés :

Aucun Fichier suspect trouvé !


*** Nettoyage termine le 13/08/2007 à 19:03:31,81 ***

===================================================
OTMoveIt :
Voici le log,
sauf que awvtrss.dll est toujours présent ... !
===================================================

C:\WINDOWS\System32\rxeqg.exe moved successfully.
DllUnregisterServer procedure not found in c:\windows\system32\awvtrss.dll
c:\windows\system32\awvtrss.dll NOT unregistered.
c:\windows\system32\awvtrss.dll moved successfully.
 
Created on 08/13/2007 19:14:08

===================================================
HijackThis :
Je te laisse tout tel quel sans rien enlever et sans fixer pour pas faire d'erreurs ...
===================================================

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:20:38, on 13/08/2007
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
D:\Securite\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\taskmgr.exe
C:\WINDOWS\System32\lssas.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\cmd.exe
C:\cygwin\bin\bash.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Internet Explorer\iexplore.exe
D:\Securite\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Freewares\adslTV\adsltv.exe
C:\WINDOWS\System32\spoolsvc.exe
C:\WINDOWS\NOTEPAD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: 255.255.255.255 ar.atwola.com atdmt.com avp.ch avp.com avp.ru awaps.net ca.com dispatch.mcafee.com download.mcafee.com download.microsoft.com downloads.microsoft.com engine.awaps.net f-secure.com ftp.f-secure.com ftp.sophos.com go.microsoft.com liveupdate.symantec.com mast.mcafee.com mcafee.com msdn.microsoft.com my-etrust.com nai.com networkassociates.com office.microsoft.com phx.corporate-ir.net secure.nai.com securityresponse.symantec.com service1.symantec.com sophos.com spd.atdmt.com support.microsoft.com symantec.com update.symantec.com updates.symantec.com us.mcafee.com vil.nai.com viruslist.ru windowsupdate.microsoft.com www.avp.ch www.avp.com www.avp.ru www.awaps.net www.ca.com www.f-secure.com www.kaspersky.ru www.mcafee.com www.my-etrust.com www.nai.com www.networkassociates.com www.sophos.com www.symantec.com www.trendmicro.com www.viruslist.com www.viruslist.ru www3.ca.com
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: NetXfer - {C16CBAAC-A75C-4DB5-A0DD-CDF5CAFCDD3A} - F:\Logiciels\Utilitaires\NetTransport\NXToolBar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe /Type 20
O4 - HKLM\..\Run: [TosHKCW.exe] "C:\Program Files\TOSHIBA\Wireless Hotkey\TosHKCW.exe"
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [TouchED] C:\Program Files\TOSHIBA\TouchED\TouchED.Exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [WLANSTA.EXE] WLANSTA.EXE START
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [Norton Ghost 9.0] D:\Securite\Symantec\Norton Ghost\Agent\GhostTray.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] "C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe"
O4 - HKLM\..\Run: [avast!] D:\Securite\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "D:\Securite\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [Winamp Agent] C:\WINDOWS\System32\winamp.exe
O4 - HKLM\..\Run: [Microsoft Internet Explorer] C:\WINDOWS\System32\iexplore.exe
O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\WINDOWS\System32\zbfuy.exe
O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\System32\winIogon.exe
O4 - HKLM\..\Run: [Application Layer Gateway Service] C:\WINDOWS\System32\algs.exe
O4 - HKLM\..\Run: [xMbZYI\wavVaYJ`IaatLx] C:\WINDOWS\System32\prvypwqnl.exe
O4 - HKLM\..\Run: [Windows Network Firewall] C:\WINDOWS\System32\firewall.exe
O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\System32\lssas.exe
O4 - HKLM\..\Run: [Spooler SubSystem App] C:\WINDOWS\System32\spoolsvc.exe
O4 - HKLM\..\RunServices: [xMbZYI\wavVaYJ`IaatLx] C:\WINDOWS\System32\prvypwqnl.exe
O4 - HKLM\..\RunOnce: [VundoFix] "F:\Stockage\Logiciels\Virus\www.atribune.org\vundofix.exe"
O4 - HKLM\..\RunOnce: [navilog1] C:\Program Files\Navilog1\navilog1.bat
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [HijackThis startup scan] D:\Securite\Trend Micro\HijackThis\HijackThis.exe /startupscan
O4 - HKCU\..\Run: [eMuleAutoStart] D:\Internet\eMule\emule.exe -AutoStart
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-21-162025716-3095290957-3256936711-1005\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-21-162025716-3095290957-3256936711-1005 Startup: wkcalrem.LNK = C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkCalRem.exe (User '?')
O4 - Startup: wkcalrem.LNK = C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkCalRem.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Tout télécharger avec NetXfer - F:\Logiciels\Utilitaires\NetTransport\NXAddList.html
O8 - Extra context menu item: Télécharger avec NetXfer - F:\Logiciels\Utilitaires\NetTransport\NXAddLink.html
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O20 - AppInit_DLLs: c:\windows\system32\awvtrss.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Securite\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - D:\Securite\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - D:\Securite\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - D:\Securite\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - D:\Securite\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Ghost - Symantec Corporation - D:\Securite\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SPBBCSvc - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

--
End of file - 8962 bytes

===================================================
Voilà, bonne lecture !

moK' s@ :

mais on as pas fini O_ö

=> [Pour le smiley, désolée, mais j'ai plus de copier-coller !! ...] Ouais, et, quand y'en a plus, y'en a encore ... !!

moK' s@ :

[désintaller les anti-virus en trop]

Si je récapitule (de tête, sans trop vérifier), j'ai :
* Norton AntiVirus que je n'arrive pas à activer, donc, de toute manière, il faut que je le désinstalle, même si c'est pour le réinstaller après, mais le lien que tu m'avais donné désinstallait aussi Norton Ghost et j'ai pas trop envie, faut que je regarde en local si j'ai un truc juste pour désinstaller Norton AV ...
* xscan53.cab, scan en ligne de www.secuser.com
+ pendant ce scan, j'avais installé ErrorSafe que tu m'as fait supprimer (c'était un méchant faux anti-virus ou un gentil vrai scan en ligne ???), mais il reste peut-être encore des traces (oui, dans le Menu Démarrer ...)
* avast! 4 Familial : j'aime pas l'interface
* Avira Antivir PersonalEdition Classic (que tu m'as fait installer, je crois) : je sais plus ce que j'en pense
* AVG Anti-Spyware 7.5 (que tu m'as fait installer, je crois) : lui, il a pas voulu me faire de rapport, mais il m'aura pas 2 fois, je pense que la prochaine fois, je l'obtiendrai mon rapport ... ; mais est-ce que c'est un anti-virus complet ou seulement un anti-spyware ???
* autre que j'aurais oublié ???

Sans le Bureau et le Menu Démarrer, je sais pas trop comment lancer le Panneau De Config, ou plutôt << Ajout/Suppression De Programmes ... >>.

Quoi garder/quoi désintaller ? Euh, je veux bien ton avis, là-dessus ...

Bon, je fais la manip HijackThis+OTMoveIt ...

moK´s@ :

moi j´aurais gardé antivir et installé un par feu, mais...

Ghost>norton alors,

supprime antivir et avast alors, pour error sfae, il n´y a plus de trace je pensse

=> Non, moi, je vais faire comme tu as dit :
AntiVir + Kerio (je l'ai pas encore installé, mais, en lisant le tuto, l'interface me plaisait plutôt)

et Norton AV : j'essayerai de désinstaller juste lui ...

Donc, tu veux que je désinstalle AVG ???


moK´s@ :

pour aller dans le panneau de configuration fais comme ceci :

appuie sur la touche windows, là tu as le menu demarrer qui va s´afficher et de la tu sais comment on fais non?

la touche windows : deux touche a droite de la barre d´espace

=> Pas d'explorer.exe qui tourne, sinon risques de big problems, donc pas de Bureau, pas de Menu Démarrer et la touche Windows n'affiche rien non plus ...
Et j'arrive pas à trouver où ils se situent avec << Parcourir ... >>.
Ce qu'il me faudrait, c'est la commande qui correspond soit au Panneau De Config, soit à << AJout/Suppression De Programmes ... >> pour pouvoir faire << Exécuter >>.


*** Manip HijackThis + OTMoveIt :

HijackThis :
Euh, la ligne

O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\WINDOWS\System32\zbfuy.exe

tu m'as pas dit de l'enlever, alors je l'ai laissée (même si ça me démangeait ...).

OTMoveIt :
Sont toujours là ou sont revenus :
* C:\WINDOWS\System32\winamp.exe
* C:\WINDOWS\System32\iexplore.exe
* C:\WINDOWS\System32\algs.exe
* C:\WINDOWS\System32\lssas.exe
* C:\WINDOWS\System32\spoolsvc.exe
* C:\windows\system32\awvtrss.dll

Sont partis :
* C:\WINDOWS\System32\winIogon.exe
* C:\WINDOWS\System32\prvypwqnl.exe
* C:\WINDOWS\System32\firewall.exe

Sont apparu ou étaient déjà là :
* C:\WINDOWS\System32\spooIsv.exe
* C:\windows\system32\awvwxyy.dll

Rem. :
Traînent dans C:\ et n'ont sûrement rien à faire chez moi :
* a.exe
* fdvbmyfm.exe
* hxvaqsbo.exe
* jtnpfut.exe
* qwowvusc.exe
* rvdc.exe
* tjncm.exe

Bon, y'en a plein aussi ailleurs (ex. : dans C:\WINDOWS\system32\), tu veux la liste ???

Log de OTMoveIt :
==============================================

C:\WINDOWS\System32\winamp.exe moved successfully.
C:\WINDOWS\System32\iexplore.exe moved successfully.
C:\WINDOWS\System32\winIogon.exe moved successfully.
File move failed. C:\WINDOWS\System32\algs.exe scheduled to be moved on reboot.
C:\WINDOWS\System32\prvypwqnl.exe moved successfully.
C:\WINDOWS\System32\firewall.exe moved successfully.
C:\WINDOWS\System32\lssas.exe moved successfully.
File move failed. C:\WINDOWS\System32\spoolsvc.exe scheduled to be moved on reboot.
File/Folder C:\WINDOWS\System32\prvypwqnl.exe not found.
DllUnregisterServer procedure not found in C:\windows\system32\awvtrss.dll
C:\windows\system32\awvtrss.dll NOT unregistered.
C:\windows\system32\awvtrss.dll moved successfully.
 
Created on 08/13/2007 20:34:54

==============================================
Reboot (demandé par OtMoveIt)

Log de HijackThis :
==============================================

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:40:40, on 13/08/2007
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
D:\Securite\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\taskmgr.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\System32\lssas.exe
F:\Stockage\Logiciels\Virus\Old_Timer (Dowload.bleepingcomputer.com)\OTMoveIt.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\Freewares\adslTV\adsltv.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\cmd.exe
C:\cygwin\bin\bash.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
D:\Securite\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: NetXfer - {C16CBAAC-A75C-4DB5-A0DD-CDF5CAFCDD3A} - F:\Logiciels\Utilitaires\NetTransport\NXToolBar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe /Type 20
O4 - HKLM\..\Run: [TosHKCW.exe] "C:\Program Files\TOSHIBA\Wireless Hotkey\TosHKCW.exe"
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [TouchED] C:\Program Files\TOSHIBA\TouchED\TouchED.Exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [WLANSTA.EXE] WLANSTA.EXE START
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [Norton Ghost 9.0] D:\Securite\Symantec\Norton Ghost\Agent\GhostTray.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] "C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe"
O4 - HKLM\..\Run: [avast!] D:\Securite\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "D:\Securite\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\WINDOWS\System32\zbfuy.exe
O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\System32\lssas.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [HijackThis startup scan] D:\Securite\Trend Micro\HijackThis\HijackThis.exe /startupscan
O4 - HKCU\..\Run: [eMuleAutoStart] D:\Internet\eMule\emule.exe -AutoStart
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: wkcalrem.LNK = C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkCalRem.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Tout télécharger avec NetXfer - F:\Logiciels\Utilitaires\NetTransport\NXAddList.html
O8 - Extra context menu item: Télécharger avec NetXfer - F:\Logiciels\Utilitaires\NetTransport\NXAddLink.html
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O20 - AppInit_DLLs: c:\windows\system32\awvtrss.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Securite\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - D:\Securite\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - D:\Securite\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - D:\Securite\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - D:\Securite\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Ghost - Symantec Corporation - D:\Securite\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SPBBCSvc - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

--
End of file - 7076 bytes

==============================================

Merci pour ta réponse, moe.

Je pense aussi que explorer.exe se lancera en même temps, donc cette méthode, ça sera pour plus tard ...

Mais, du coup, dans les Misc Tools de HijackThis, il y a aussi << Open Uninstall Manager >> qui me donne la liste de ce qui est installé et, pour tout de suite, c'est juste ce que je veux ...

Merci.

moe :
Par pure curiosité perso,

=> Moi qui suis super-curieuse, je vais pas hésiter à satisfaire ta curiosité, surtout qu'à mon avis, si tu vois un truc louche, tu me le signaleras ... Tandis que moi, je ne lis pas trop le .ini ...

Rem. : Sa date de modif, c'est toujours maintenant (i.e. elle arrête pas de bouger, alors que là, moi en tout cas, je ne fais pas de manip') ... !!!
Le voilà :
========================================

; for 16-bit app support

[drivers]
wave=mmdrv.dll
timer=timer.drv

[mci]
[driver32]
[386enh]
woafont=app850.FON
EGA80WOA.FON=EGA80850.FON
EGA40WOA.FON=EGA40850.FON
CGA80WOA.FON=CGA80850.FON
CGA40WOA.FON=CGA40850.FON
[TFTempCache]
NOTICE=1
[mcidrv32]
VideoVer=522701
_hr=19
_dr=13
WININET=2
[IDslow]
IDVer32=1122303

========================================

Bonsoir afideg,

Merci pour ta contribution, mais j'ai pas compris ta manip' et, juste pour voir, j'ai voulu essayer : exécuter -> gpedit.msc et j'obtiens un pop-up intitulé << gpedit.msc >> qui me dit : << Windows ne trouve pas 'gpedit.msc'. Vérifiez que vous avez entré le nom correctement etc. ....>>.
C'est la bonne ortographe ??

En tout cas, merci à tous les 3 (moK' s@ surtout, moe et afideg) d'intervenir, parce que, comme ça je me sens un peu seule ... Bien que je ne sois pas seule du tout, vu que je suis entourée de virus ... !!!


afideg :

Beau chantier, en effet.

=> Mon dieu, ça ne me rassure pas du tout.


afideg :

mok's@, tu as toutes les chances ==> de beaux topics très instructifs.

=> J'ai pas très bien compris ce que ça voulait dire, mais j'essaye d'être le plus détaillée possible pour que ça puisse resservir ...
Je m'étais dis qu'à la fin, j'essayerais un topo pour conclure, mais je sais pas si j'aurais le courage, je suis déjà pas mal embrouillée dans la séquence des événements ...


afideg :

Bravo et courage à Gail ==> fais confiance également à moe . Merci.

=> Merci ? Non, c'est moi qui dit merci ... !


A tous les 3 :

Est-ce que vous savez comment ça m'est arrivé ??? Histoire que, si je m'en sors, ça ne recommence pas ...

Est-ce que c'est une histoire qui finit bien (pour moi, pas pour les méchants virus) ???

Gail.

moK' s@ :

tu as resussie a desinstaller alors?

=> Pas encore, je pars 2 min. et, quand je reviens, il est en train de rebooter tout seul.
Après ça, il rame comme pas possible (sauf que ça a dû être en partie de ma faute, je crois que j'ai clické sur un truc sans le faire exprès).
Et le copier-coller qui arrête pas de disparaître ... (là, normalement, il me suffit de fermer Internet Explorer, puis de le relancer, mais, quand j'ai commencé un post, il faut d'abord que je le finisse ... !)

moK' s@ :

tu va garder antivir et instller kerio alors ;-)

OK.
Donc, je dis adieu à AVG ???

moK' s@ :

peut tu renomer hijack this en scan.exe et remettre un log stp

Je renomme juste l'exécutable HijackThis ? Pas le répertoire d'install ou autres ?
Le log, je pense que tu le veux après les désinstall et install ?

Merci pour la copie d'écran (et ma curiosité !).

Sûre : ton Editeur de Stratégie, je ne l'ai jamais vu.

J'ai encore fais un click mal-t-à-propos et j'ai lancé le Panneau de Config, qui a lancé explorer.exe (qui ne bouffe pas toute la CPU et ne me plante pas ou je parle trop vite) et j'en ai profité pour le mettre en raccourci sur mon Bureau, ainsi que << Ajout/Suppression De Programmes >>, mais, dans les Propriétés des 2 raccourcis, ne sont pas indiquées les commandes directes auquels ils correspondent ...
Enfin bon, tant pis !

Bonne nuit et merci encore.

Salut à tous(tes),

Gail, sincèrement je crois qu'il faudra prendre chaques problèmes au coup par coup.
Probable que les deux tools pour virer Sality prennent assez de cpu lors du scan pour que ton ventilo puisse prendre les tours nécessaires, si ce n'est pas le cas, tant pis lance une appli pour compléter.
Assures toi juste qu'entre deux scans ce ne soit pas la même appli utilisée, histoire que celle lancée juste avant puisse être désinfectée à son tour.
Va falloir que tu aies Sality à la roublardise ;-)

Ensuite pour ce qui concerne le redemarrage en mode normal, il me semble que les divers fixs, interviennent juste avant le lancement du bureau et ne permettent son ouverture qu'après la fin de nettoyage, tout dépend si tu as 4mn à partir du lancement d'explorer.exe ou de la procédure d'ouverture de session, avant l'écran bleu.
Tant pis Gail, faudra tenter quand ce sera le moment...
Franchement, je serais incapable de te dire si Sality est responsable de l'écran bleu, mais c'est possible car certains *.exe acceptent mal le patch réalisé par le ver pour greffer son code et peuvent provoquer un plantage lors de leur exécution.
Faudrait que je puisse tester cette infection et voir ce que ça donne ou alors jeter un oeil au fichier *.dump qui normalement à du être crée pour l'occase dans le dossier C:\WINDOWS\Minidump, tout dépendra de la taille qu'il fait et s'il est par conscéquant uploadable...

system.ini :

Dans ce cas, ne fais la modif qu'à la fin, après passages des deux removals et avant de rebooter ton pc.
On avisera si ça persiste, du moins ce sera un bon baromètre pour vérifier si la désinfection à marché ou pas.

Batch Gail.bat :

De rien, apparement tu batailles déjà depuis un bon moment avec ces saletés et si ça peut te faciliter la tâche, c'est avec plaisir.
Nan... le 4eme tskill est ok, le processus supoolsvc.exe n'existe peut-être pas chez toi, mais fait bien partis de certaines variantes, donc je me suis dit que mieux vallait prévenir que guérir lol.
L'arrêt de spoolsvc.exe est quant à lui prévu ligne 13 :-) et sa suppression un peu plus loin.
Reste à voir si le batch aura été efficace...

Je peux faire toutes ces manips avec le réseau ou est-ce que, si je reste branchée, je risque de nettoyer d'un côté pendant que ça se propage de l'autre (je crois qu'on parle de cautère sur une jambe de bois ...) ?

Bah tant que tu ne pourras pas faire confiance à l'intégrité des programmes que tu vas installer ou qui le sont déjà, difficile de faire autrement...
Tu peux par exemple télécharger et mettre à jour les divers outils avec la prise en charge réseau et effectuer le nettoyage en mode sans echec mais sans le net.

Là aussi, il faudra voir en fonction de l'évolution de la situation après cette première "grosse" tentative de désinfection.
D'ailleur à ce propos, Mok's@ (merci à lui pour la récap :-) ) t'a préparé une petite recette, lol

Tu as pu passer les removals tools ?
Tiens nous au courant du résultat de cette étape, elle est importante pour la suite et j'espère qu'elle s'est déroulée sans trop d'accrocs si tu as pu la commencer...

Bon courage Gail, à plus tard.