Virus ConHook sème la zizanie sur mon PC :s

Résolu
Neolink -  
papyber Messages postés 6430 Statut Contributeur sécurité -
Bonjour à tous
Je me suis pris le cheval de troie, ConHook, un message de mon antivirus s'affiche n'importe quand et m'informe qu'une dll bizarre rode dans system32.
J'ai avast.
Voici un log de HiJackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:59:15, on 30/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
D:\Logiciel\Alwil Software\Avast4\aswUpdSv.exe
D:\Logiciel\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
D:\Logiciel\Alwil Software\Avast4\ashMaiSv.exe
D:\Logiciel\Alwil Software\Avast4\ashWebSv.exe
D:\Logiciel\AlienGUIse\wbload.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
D:\Logiciel\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBEE.EXE
D:\Logiciel\Logitech\G-series Software\LGDCore.exe
D:\Logiciel\Logitech\G-series Software\LCDMon.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
D:\Logiciel\Logitech\G-series Software\Applets\LCDPop3\LCDPOP3.exe
D:\Logiciel\Logitech\G-series Software\Applets\LCDClock.exe
D:\Logiciel\Logitech\G-series Software\Applets\LCDMedia.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
D:\Logiciel\Mozilla Firefox 2\firefox.exe
D:\Logiciel\Winrar\WinRAR.exe
C:\DOCUME~1\Neolink\LOCALS~1\Temp\Rar$EX00.563\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.files-ftp.com/~unicorni/phpBB2/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {837B45D6-BF85-457D-AABF-6D2E7815F791} - C:\WINDOWS\system32\gebywxx.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avast!] D:\Logiciel\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [EPSON Stylus DX4000 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBEE.EXE /FU "C:\WINDOWS\TEMP\E_S81.tmp" /EF "HKLM"
O4 - HKLM\..\Run: [Launch LGDCore] "D:\Logiciel\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Launch LCDMon] "D:\Logiciel\Logitech\G-series Software\LCDMon.exe"
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Logiciel\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [Online News Screensaver] D:\Logiciel\Online News Screensaver\onsagent.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.files-ftp.com/~unicorni/phpBB2/index.php
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Program Files\Yahoo!\Common\Yinsthelper.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: gebywxx - C:\WINDOWS\SYSTEM32\gebywxx.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Logiciel\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - D:\Logiciel\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - D:\Logiciel\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - D:\Logiciel\Alwil Software\Avast4\ashWebSv.exe

--
End of file - 4851 bytes

J'ai chercher partout, essayer de réparer, en vaint, si vous avez une solution, je vous en remercie d'avance ;)
Amicalement
Configuration: Windows XP
Firefox 2.0.0.7

14 réponses

  1. papyber Messages postés 6430 Statut Contributeur sécurité 257
     
    Télécharge VundoFix.exe (par Atribune) sur ton Bureau
    http://www.atribune.org/ccount/click.php?id=4
    clic double sur VundoFix.exe afin de le lancer
    clic sur le bouton Scan for Vundo
    Lorsque le scan est complété, clic sur le bouton Remove Vundo
    Une invite te demandera si tu veux supprimer les fichiers, clic YES
    Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
    Tu verras une invite qui t'annonce que ton PC va redémarrer;
    clic OK
    Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clic sur le bouton Scan for Vundo".
    Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis dans ta prochaine réponse
    0
  2. Neolink
     
    Donc après avoir passer le VundoFix 3 fois (il n'a pas delet le fichier), j'obtient ce rapport:

    VundoFix V6.5.9

    Checking Java version...

    Scan started at 14:20:41 30/09/2007

    Listing files found while scanning....

    C:\windows\system32\gebywxx.dll

    Beginning removal...

    Attempting to delete C:\windows\system32\gebywxx.dll
    C:\windows\system32\gebywxx.dll Could not be deleted.

    Performing Repairs to the registry.
    Done!

    Beginning removal...

    Attempting to delete C:\windows\system32\gebywxx.dll
    C:\windows\system32\gebywxx.dll Could not be deleted.

    Performing Repairs to the registry.
    Done!

    VundoFix V6.5.9

    Checking Java version...

    Scan started at 14:27:24 30/09/2007

    Listing files found while scanning....

    C:\WINDOWS\system32\gebywxx.dll

    Ensuite j'ai fais un scan puis log avec HiJackThis, voici le rapport:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 14:33:20, on 30/09/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    D:\Logiciel\Alwil Software\Avast4\aswUpdSv.exe
    D:\Logiciel\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\spoolsv.exe
    D:\Logiciel\AlienGUIse\wbload.exe
    C:\WINDOWS\Explorer.EXE
    C:\Documents and Settings\Neolink\Bureau\vundofix.exe
    C:\WINDOWS\system32\svchost.exe
    D:\Logiciel\Alwil Software\Avast4\ashMaiSv.exe
    D:\Logiciel\Alwil Software\Avast4\ashWebSv.exe
    D:\LOGICIEL\MOZILL~2\FIREFOX.EXE
    C:\WINDOWS\system32\taskmgr.exe
    C:\WINDOWS\system32\NOTEPAD.EXE
    C:\DOCUME~1\Neolink\LOCALS~1\Temp\Rar$EX00.062\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.google.fr/?gws_rd=ssl
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.files-ftp.com/~unicorni/phpBB2/index.php
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: (no name) - {837B45D6-BF85-457D-AABF-6D2E7815F791} - C:\WINDOWS\system32\gebywxx.dll
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [avast!] D:\Logiciel\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
    O4 - HKLM\..\Run: [EPSON Stylus DX4000 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBEE.EXE /FU "C:\WINDOWS\TEMP\E_S81.tmp" /EF "HKLM"
    O4 - HKLM\..\Run: [Launch LGDCore] "D:\Logiciel\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
    O4 - HKLM\..\Run: [Launch LCDMon] "D:\Logiciel\Logitech\G-series Software\LCDMon.exe"
    O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Logiciel\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKCU\..\Run: [Online News Screensaver] D:\Logiciel\Online News Screensaver\onsagent.exe
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O14 - IERESET.INF: START_PAGE_URL=http://www.files-ftp.com/~unicorni/phpBB2/index.php
    O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Program Files\Yahoo!\Common\Yinsthelper.dll
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
    O20 - Winlogon Notify: gebywxx - C:\WINDOWS\SYSTEM32\gebywxx.dll
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Logiciel\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: avast! Antivirus - ALWIL Software - D:\Logiciel\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - D:\Logiciel\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - D:\Logiciel\Alwil Software\Avast4\ashWebSv.exe
    0
  3. papyber Messages postés 6430 Statut Contributeur sécurité 257
     
    on va essayer comme cela, si cela ne marche pas, on emploiera l'artillerie lourde!!!lol!!
    vundo est souvent récalcitrant
    il en reste donc tu fais ceci en suivant bien les consignes
    Relance Vundofix

    http://www.atribune.org/ccount/click.php?id=4

    * Ne clique pas sur "Scan for a vundo"
    * Clique droit au milieu de la fenêtre
    * Clique sur Add more files ?
    * Copie/colle les fichiers ci-dessous ( un par case) :

    C:\windows\system32\gebywxx.dll

    * Clique sur Add files
    * Ensuite clique sur Close Windows
    * Enfin, clique sur Remove Vundo ( les fichiers précédents doivent apparaitre dans la fenêtre principale)
    * Si l'outils demande un redémarrage, accepte
    · Poste le rapport Vundofix, ainsi qu'un nouveau log hijackthis

    si le fichier n'est toujours pas supprimé, tu feras ceci
    * Télécharge VirtumundoBeGone sur ton bureau .

    * double-clic sur VirtumundoBeGone.exe

    * Suis les instructions à l'écran

    * Quand le scan est terminé, enregistre le rapport.

    * Copie/Colle le ici

    poste les rapports obtenus et un rapport Hijack This
    0
  4. FillPCA Messages postés 2264 Statut Contributeur sécurité 123
     
    Bonjour à tous,
    Pour suivre. Cette variante est assez coriace.

    FillPCA
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Neolink
     
    Voici le rapport VirtumundoBeGone.exe:

    [09/30/2007, 14:58:34] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\Neolink\Bureau\VirtumundoBeGone.exe" )
    [09/30/2007, 14:59:00] - Detected System Information:
    [09/30/2007, 14:59:00] - Windows Version: 5.1.2600, Service Pack 2
    [09/30/2007, 14:59:00] - Current Username: Neolink (Admin)
    [09/30/2007, 14:59:00] - Windows is in NORMAL mode.
    [09/30/2007, 14:59:00] - Searching for Browser Helper Objects:
    [09/30/2007, 14:59:00] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Aide pour le lien d'Adobe PDF Reader)
    [09/30/2007, 14:59:00] - BHO 2: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
    [09/30/2007, 14:59:00] - BHO 3: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()
    [09/30/2007, 14:59:00] - WARNING: BHO has no default name. Checking for Winlogon reference.
    [09/30/2007, 14:59:00] - No filename found. Continuing.
    [09/30/2007, 14:59:00] - BHO 4: {837B45D6-BF85-457D-AABF-6D2E7815F791} ()
    [09/30/2007, 14:59:00] - WARNING: BHO has no default name. Checking for Winlogon reference.
    [09/30/2007, 14:59:00] - Checking for HKLM\...\Winlogon\Notify\gebywxx
    [09/30/2007, 14:59:00] - Found: HKLM\...\Winlogon\Notify\gebywxx - This is probably Virtumundo.
    [09/30/2007, 14:59:00] - Assigning {837B45D6-BF85-457D-AABF-6D2E7815F791} MSEvents Object
    [09/30/2007, 14:59:00] - BHO list has been changed! Starting over...
    [09/30/2007, 14:59:00] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Aide pour le lien d'Adobe PDF Reader)
    [09/30/2007, 14:59:00] - BHO 2: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
    [09/30/2007, 14:59:00] - BHO 3: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()
    [09/30/2007, 14:59:00] - WARNING: BHO has no default name. Checking for Winlogon reference.
    [09/30/2007, 14:59:00] - No filename found. Continuing.
    [09/30/2007, 14:59:00] - BHO 4: {837B45D6-BF85-457D-AABF-6D2E7815F791} (MSEvents Object)
    [09/30/2007, 14:59:00] - ALERT: Found MSEvents Object!
    [09/30/2007, 14:59:00] - Finished Searching Browser Helper Objects
    [09/30/2007, 14:59:00] - *** Detected MSEvents Object
    [09/30/2007, 14:59:00] - Trying to remove MSEvents Object...
    [09/30/2007, 14:59:01] - Terminating Process: IEXPLORE.EXE
    [09/30/2007, 14:59:01] - Terminating Process: RUNDLL32.EXE
    [09/30/2007, 14:59:01] - Disabling Automatic Shell Restart
    [09/30/2007, 14:59:01] - Terminating Process: EXPLORER.EXE
    [09/30/2007, 14:59:02] - Suspending the NT Session Manager System Service
    [09/30/2007, 14:59:02] - Terminating Windows NT Logon/Logoff Manager
    [09/30/2007, 14:59:02] - Re-enabling Automatic Shell Restart
    [09/30/2007, 14:59:02] - File to disable: C:\WINDOWS\system32\gebywxx.dll
    [09/30/2007, 14:59:02] - Renaming C:\WINDOWS\system32\gebywxx.dll -> C:\WINDOWS\system32\gebywxx.dll.vir
    [09/30/2007, 14:59:02] - File successfully renamed!
    [09/30/2007, 14:59:02] - Removing HKLM\...\Browser Helper Objects\{837B45D6-BF85-457D-AABF-6D2E7815F791}
    [09/30/2007, 14:59:02] - Removing HKCR\CLSID\{837B45D6-BF85-457D-AABF-6D2E7815F791}
    [09/30/2007, 14:59:02] - Adding Kill Bit for ActiveX for GUID: {837B45D6-BF85-457D-AABF-6D2E7815F791}
    [09/30/2007, 14:59:02] - Deleting ATLEvents/MSEvents Registry entries
    [09/30/2007, 14:59:02] - Removing HKLM\...\Winlogon\Notify\gebywxx
    [09/30/2007, 14:59:02] - Searching for Browser Helper Objects:
    [09/30/2007, 14:59:02] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Aide pour le lien d'Adobe PDF Reader)
    [09/30/2007, 14:59:02] - BHO 2: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
    [09/30/2007, 14:59:02] - BHO 3: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()
    [09/30/2007, 14:59:02] - WARNING: BHO has no default name. Checking for Winlogon reference.
    [09/30/2007, 14:59:02] - No filename found. Continuing.
    [09/30/2007, 14:59:02] - Finished Searching Browser Helper Objects
    [09/30/2007, 14:59:02] - Finishing up...
    [09/30/2007, 14:59:02] - A restart is needed.
    [09/30/2007, 14:59:05] - Attempting to Restart via STOP error (Blue Screen!)

    Voici le rapport HiJackThis:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 15:02:26, on 30/09/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    D:\Logiciel\Alwil Software\Avast4\aswUpdSv.exe
    D:\Logiciel\Alwil Software\Avast4\ashServ.exe
    D:\Logiciel\AlienGUIse\wbload.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\SOUNDMAN.EXE
    D:\Logiciel\ALWILS~1\Avast4\ashDisp.exe
    C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBEE.EXE
    C:\WINDOWS\system32\svchost.exe
    D:\Logiciel\Logitech\G-series Software\LGDCore.exe
    D:\Logiciel\Logitech\G-series Software\LCDMon.exe
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
    D:\Logiciel\Adobe\Reader 8.0\Reader\Reader_sl.exe
    D:\Logiciel\Alwil Software\Avast4\ashMaiSv.exe
    D:\Logiciel\Logitech\G-series Software\Applets\LCDPop3\LCDPOP3.exe
    D:\Logiciel\Alwil Software\Avast4\ashWebSv.exe
    D:\Logiciel\Logitech\G-series Software\Applets\LCDClock.exe
    D:\Logiciel\Logitech\G-series Software\Applets\LCDMedia.exe
    C:\WINDOWS\system32\NOTEPAD.EXE
    D:\Logiciel\Mozilla Firefox 2\firefox.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Documents and Settings\Neolink\Bureau\Utilitaires\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.google.fr/?gws_rd=ssl
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.files-ftp.com/~unicorni/phpBB2/index.php
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [avast!] D:\Logiciel\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
    O4 - HKLM\..\Run: [EPSON Stylus DX4000 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBEE.EXE /FU "C:\WINDOWS\TEMP\E_S81.tmp" /EF "HKLM"
    O4 - HKLM\..\Run: [Launch LGDCore] "D:\Logiciel\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
    O4 - HKLM\..\Run: [Launch LCDMon] "D:\Logiciel\Logitech\G-series Software\LCDMon.exe"
    O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Logiciel\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKCU\..\Run: [Online News Screensaver] D:\Logiciel\Online News Screensaver\onsagent.exe
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O14 - IERESET.INF: START_PAGE_URL=http://www.files-ftp.com/~unicorni/phpBB2/index.php
    O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Program Files\Yahoo!\Common\Yinsthelper.dll
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Logiciel\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: avast! Antivirus - ALWIL Software - D:\Logiciel\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - D:\Logiciel\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - D:\Logiciel\Alwil Software\Avast4\ashWebSv.exe

    VundoFix n'a rien fait, il ne veut pas delet le fichier ...

    L'ennuie c'est que plusieurs dll sont infecté, et avast me le dit n'importe quand, je commence à en avoir marre des petits idiots et leurs virus, ils peuvent se les mettre là ou je pense :O
    Bref, je te merci de consacrer un peu de ton temps pour m'aider ^^
    0
  7. papyber Messages postés 6430 Statut Contributeur sécurité 257
     
    virtumonde l'a supprimé.
    quels sont les fichiers infectés détectés par Avast? il les a mis en quarantaine?
    donne les moi ainsi que le chemin

    on va vérifier s'il reste quelque chose
    Télécharge DiagHelp.zip sur ton bureau
    http://www.malekal.com/download/DiagHelp.zip
    Tuto : http://www.malekal.com/DiagHelp/DiagHelp.php
    Ne double-clique pas dessus !! Fais un clic droit sur le fichier et extraire tout.
    Un nouveau dossier chercher va être créé.
    Ouvre le et double-clic sur go.cmd (le .cmd peut ne pas apparaître)
    Une fenêtre va s'ouvrir, choisis l'option 1
    L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande.
    Pendant l'analyse après le rapport CATCHME sur l'écran rouge, tu dois appuyer sue entrée pour que l'outil continue ses recherches. Suis les consignes écrites.
    Une fenêtre avec le rapport s'ouvre alors. Copie/colle son contenu. (Il se trouve aussi ici : c:\resultat.txt)
    Double-clique sur ce fichier, Fais CTRL+A puis CTRL+C.
    Dans ta prochaine réponse, colle le rapport en faisant CTRL+V.
    0
  8. Neolink
     
    Excuse moi de répondre un peu tard, j'ai un gros rhume, mal de gorge, fièvre, fatigue et mal de tête, à part ça, ça va xD
    Bon voici le rapport effectué grâce à DiagHelp (un petit peu long)

    DiagHelp version v1.2 - http://www.malekal.com
    excute le 30/09/2007 à 16:48:58,26

    Liste des derniers fichies modifies/crees dans windir\system32 et prefetch
    C:\WINDOWS\prefetch\CHCP.COM-18156052.pf -->30/09/2007 16:48:52
    C:\WINDOWS\prefetch\MSNMSGR.EXE-366A1A81.pf -->30/09/2007 16:48:40
    C:\WINDOWS\prefetch\CMD.EXE-087B4001.pf -->30/09/2007 16:48:35
    C:\WINDOWS\prefetch\CLI.EXE-06A4F0BB.pf -->30/09/2007 16:48:02
    C:\WINDOWS\prefetch\WINRAR.EXE-2F90D3C3.pf -->30/09/2007 16:47:37
    C:\WINDOWS\prefetch\FIREFOX.EXE-1BAC6EA8.pf -->30/09/2007 16:45:59
    C:\WINDOWS\prefetch\LOGONUI.EXE-0AF22957.pf -->30/09/2007 16:45:53
    C:\WINDOWS\prefetch\VERCLSID.EXE-3667BD89.pf -->30/09/2007 15:07:00
    C:\WINDOWS\prefetch\NOTEPAD.EXE-336351A9.pf -->30/09/2007 15:02:36
    C:\WINDOWS\prefetch\HIJACKTHIS.EXE-00E53510.pf -->30/09/2007 15:02:32

    C:\WINDOWS\System32\drivers\aswmon.sys -->28/07/2007 00:02:49
    C:\WINDOWS\System32\drivers\aswmon2.sys -->28/07/2007 00:02:34
    C:\WINDOWS\System32\drivers\aswRdr.sys -->28/07/2007 00:00:39
    C:\WINDOWS\System32\drivers\aswTdi.sys -->27/07/2007 23:59:57
    C:\WINDOWS\System32\drivers\aavmker4.sys -->27/07/2007 23:58:36
    C:\WINDOWS\System32\drivers\ativvpxx.vp -->27/06/2007 04:27:56
    C:\WINDOWS\System32\drivers\ati2mtag.sys -->27/06/2007 03:58:18

    C:\WINDOWS\System32\VundoFixSVC.exe -->30/09/2007 14:25:11
    C:\WINDOWS\System32\wpa.dbl -->30/09/2007 09:40:47
    C:\WINDOWS\System32\mljjg.dll -->25/09/2007 18:36:27
    C:\WINDOWS\System32\gebywxx.dll.vir -->23/09/2007 12:42:55
    C:\WINDOWS\System32\SpoonUninstall.exe -->22/09/2007 10:55:06
    C:\WINDOWS\System32\SpoonUninstall-dBpoweramp DirectShow Decoder.dat -->22/09/2007 10:54:13
    C:\WINDOWS\System32\SpoonUninstall-dBpoweramp DirectShow Decoder.bmp -->22/09/2007 10:54:03
    C:\WINDOWS\System32\SpoonUninstall-dBpoweramp Real Audio (Helix) Encoder.dat -->21/09/2007 19:20:56
    C:\WINDOWS\System32\SpoonUninstall-dBpoweramp Real Audio (Helix) Encoder.bmp -->21/09/2007 19:20:48
    C:\WINDOWS\System32\pncrt.dll -->21/09/2007 19:05:38
    C:\WINDOWS\System32\jupdate-1.6.0_02-b06.log -->07/09/2007 12:34:52
    C:\WINDOWS\System32\ati64hlp.stb -->04/09/2007 09:24:27
    C:\WINDOWS\System32\ati64hl2.stb -->03/09/2007 10:44:18
    C:\WINDOWS\System32\FNTCACHE.DAT -->02/09/2007 14:12:40
    C:\WINDOWS\System32\TZLog.log -->01/09/2007 17:17:40
    C:\WINDOWS\System32\PerfStringBackup.INI -->01/09/2007 11:07:34
    C:\WINDOWS\System32\perfh00C.dat -->01/09/2007 11:07:34
    C:\WINDOWS\System32\perfh009.dat -->01/09/2007 11:07:34
    C:\WINDOWS\System32\perfc00C.dat -->01/09/2007 11:07:34
    C:\WINDOWS\System32\perfc009.dat -->01/09/2007 11:07:34
    C:\WINDOWS\System32\BASSMOD.dll -->31/08/2007 19:19:04
    C:\WINDOWS\System32\BuzzingBee.wav -->30/08/2007 20:44:05
    C:\WINDOWS\System32\LoopyMusic.wav -->30/08/2007 20:44:04
    C:\WINDOWS\System32\AeXSetup.log -->30/08/2007 10:58:52
    C:\WINDOWS\System32\CONFIG.NT -->30/08/2007 10:52:52

    C:\WINDOWS\WindowsUpdate.log -->30/09/2007 15:07:07
    C:\WINDOWS\0.log -->30/09/2007 15:00:15
    C:\WINDOWS\wiadebug.log -->30/09/2007 15:00:13
    C:\WINDOWS\wiaservc.log -->30/09/2007 15:00:12
    C:\WINDOWS\bootstat.dat -->30/09/2007 14:59:53
    C:\WINDOWS\SchedLgU.Txt -->29/09/2007 20:08:13
    C:\WINDOWS\setupapi.log -->25/09/2007 14:45:25
    C:\WINDOWS\setupact.log -->20/09/2007 19:47:31
    C:\WINDOWS\ALCFDRTM.VER -->08/09/2007 19:49:01
    C:\WINDOWS\EPSTPLOG.TXT -->08/09/2007 14:21:49
    C:\WINDOWS\EPSMTL32.TXT -->08/09/2007 14:21:46
    C:\WINDOWS\CDE DX4000EFDG.ini -->08/09/2007 14:21:03
    C:\WINDOWS\epsswt_log.txt -->08/09/2007 14:20:34
    C:\WINDOWS\mozver.dat -->07/09/2007 12:34:57
    C:\WINDOWS\wmsetup.log -->04/09/2007 14:22:02

    MD5 des fichiers sensibles
    tcpip.sys 1dbf125862891817f374f407626967f4
    ndis.sys 558635d3af1c7546d26067d5d9b6959e
    null.sys 73c1e1f395918bc2c6dd67af7591a3ad
    svchost.exe 1bd6c2f707a275cb7c16fd99fe0f31ca

    Le volume dans le lecteur C n'a pas de nom.
    Le numéro de série du volume est 0035-CE79

    Répertoire de C:\WINDOWS\temp

    20/10/2005 11:12 217 088 alcrmv.exe
    12/08/2005 12:40 307 200 alcupd.exe
    15/07/2005 10:48 40 960 ChCfg.exe
    24/10/2005 08:55 10 459 648 RTLCPL.exe
    24/10/2005 08:45 90 112 soundman.exe
    5 fichier(s) 11 115 008 octets
    0 Rép(s) 1 257 115 648 octets libres

    Le volume dans le lecteur C n'a pas de nom.
    Le numéro de série du volume est 0035-CE79

    Répertoire de C:\WINDOWS\system32

    04/08/2004 00:54 6 144 csrss.exe
    1 fichier(s) 6 144 octets
    0 Rép(s) 1 257 115 648 octets libres

    Contenu de Downloaded Program Files
    Le volume dans le lecteur C n'a pas de nom.
    Le numéro de série du volume est 0035-CE79

    Répertoire de C:\WINDOWS\Downloaded Program Files

    08/09/2007 14:26 <REP> .
    08/09/2007 14:26 <REP> ..
    30/08/2007 05:12 65 desktop.ini
    25/07/2002 17:13 24 576 dwusplay.dll
    25/07/2002 17:13 196 608 dwusplay.exe
    25/07/2002 17:05 172 032 isusweb.dll
    4 fichier(s) 393 281 octets

    Total des fichiers listés :
    4 fichier(s) 393 281 octets
    2 Rép(s) 1 257 115 648 octets libres

    Recherche de rootkit! (Merci S!Ri)

    Recherche d'infections connues

    Export des clefs sensibles..

    Liste des fichiers en exception sur le pare-feu XP SP2

    "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
    "C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
    "C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
    "D:\\Logiciel\\Teamspeak2_RC2 Server\\server_windows.exe"="D:\\Logiciel\\Teamspeak2_RC2 Server\\server_windows.exe:*:Enabled:Server"
    "D:\\Jeux\\Valve\\Steam\\steamapps\\neolinkp6\\half-life\\hl.exe"="D:\\Jeux\\Valve\\Steam\\steamapps\\neolinkp6\\half-life\\hl.exe:*:Enabled:Half-Life Launcher"
    "D:\\Logiciel\\eMule\\emule.exe"="D:\\Logiciel\\eMule\\emule.exe:*:Enabled:eMule"
    "D:\\Logiciel\\iMesh Applications\\iMesh\\iMesh.exe"="D:\\Logiciel\\iMesh Applications\\iMesh\\iMesh.exe:*:Enabled:iMesh"
    "D:\\Logiciel\\Mozilla Firefox 2\\firefox.exe"="D:\\Logiciel\\Mozilla Firefox 2\\firefox.exe:*:Enabled:Firefox"
    "C:\\Program Files\\Skype\\Phone\\Skype.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe:*:Enabled:Skype. Take a deep breath "

    "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
    "C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
    "C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

    Export de la clef SharedTaskScheduler

    [SharedTaskScheduler]
    "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"
    "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

    exports des policies
    REGEDIT4

    [system]
    "dontdisplaylastusername"=dword:00000000
    "legalnoticecaption"=""
    "legalnoticetext"=""
    "shutdownwithoutlogon"=dword:00000001
    "undockwithoutlogon"=dword:00000001

    Export des clefs sensibles..
    Rechercher adresses sensibles dans le fichier HOSTS...
    catchme 0.3.1160 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2007-09-30 16:49:11
    Windows 5.1.2600 Service Pack 2 NTFS

    scanning hidden services & system hive ...

    scanning hidden registry entries ...

    scanning hidden files ...

    scan completed successfully
    hidden services: 0
    hidden files: 0

    KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

    Process list by traversal of KiWaitListHead

    248 - soundman.exe
    260 - ashDisp.exe
    284 - E_FATIBEE.EXE
    512 - LGDCore.exe
    628 - csrss.exe
    664 - winlogon.exe
    708 - services.exe
    720 - lsass.exe
    828 - LCDMon.exe
    884 - svchost.exe
    956 - svchost.exe
    1048 - atiptaxx.exe
    1092 - svchost.exe
    1148 - ati2evxx.exe
    1204 - svchost.exe
    1356 - svchost.exe
    1388 - cmd.exe
    1508 - ashServ.exe
    1740 - ashMaiSv.exe
    1756 - msnmsgr.exe
    1808 - spoolsv.exe
    1904 - ashWebSv.exe
    1992 - LCDPOP3.exe
    2004 - explorer.exe
    2148 - LCDClock.exe
    2220 - LCDMedia.exe
    2280 - firefox.exe
    2564 - alg.exe
    3448 - usnsvc.exe

    Total number of processes = 29
    NOTE: Under WinXP, this will not show all processes.

    KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

    Driver/Module list by traversal of PsLoadedModuleList

    804D7000 - \WINDOWS\system32\ntkrnlpa.exe
    806CE000 - \WINDOWS\system32\hal.dll
    BADA8000 - \WINDOWS\system32\KDCOM.DLL
    BACB8000 - \WINDOWS\system32\BOOTVID.dll
    BA778000 - ACPI.sys
    BADAA000 - \WINDOWS\system32\DRIVERS\WMILIB.SYS
    BA767000 - pci.sys
    BA8A8000 - isapnp.sys
    BAE70000 - pciide.sys
    BAB28000 - \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
    BA8B8000 - MountMgr.sys
    BA748000 - ftdisk.sys
    BADAC000 - dmload.sys
    BA722000 - dmio.sys
    BAB30000 - PartMgr.sys
    BA8C8000 - VolSnap.sys
    BA70A000 - atapi.sys
    BA6F3000 - nvata.sys
    BA8D8000 - disk.sys
    BA8E8000 - \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
    BA6D3000 - fltMgr.sys
    BA6C1000 - sr.sys
    BA8F8000 - PxHelp20.sys
    BA6AA000 - KSecDD.sys
    BA61D000 - Ntfs.sys
    BA5F0000 - NDIS.sys
    BA5D5000 - Mup.sys
    BA9F8000 - \SystemRoot\system32\DRIVERS\processr.sys
    BAB60000 - \SystemRoot\system32\DRIVERS\usbohci.sys
    B9D57000 - \SystemRoot\system32\DRIVERS\USBPORT.SYS
    BAB68000 - \SystemRoot\system32\DRIVERS\usbehci.sys
    B9461000 - \SystemRoot\system32\drivers\ALCXWDM.SYS
    B943D000 - \SystemRoot\system32\drivers\portcls.sys
    BAA88000 - \SystemRoot\system32\drivers\drmk.sys
    B941A000 - \SystemRoot\system32\drivers\ks.sys
    BAA98000 - \SystemRoot\system32\DRIVERS\imapi.sys
    BAAA8000 - \SystemRoot\system32\DRIVERS\cdrom.sys
    BAAC8000 - \SystemRoot\system32\DRIVERS\redbook.sys
    BA599000 - \SystemRoot\system32\DRIVERS\nvnetbus.sys
    B93DA000 - \SystemRoot\system32\DRIVERS\NVNRM.SYS
    B93A7000 - \SystemRoot\system32\DRIVERS\NVSNPU.SYS
    B9142000 - \SystemRoot\system32\DRIVERS\ati2mtag.sys
    B1216000 - \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
    B493E000 - \SystemRoot\system32\DRIVERS\ASACPI.sys
    B67A0000 - \SystemRoot\system32\DRIVERS\fdc.sys
    B1205000 - \SystemRoot\system32\DRIVERS\serial.sys
    B8707000 - \SystemRoot\system32\DRIVERS\serenum.sys
    B11F1000 - \SystemRoot\system32\DRIVERS\parport.sys
    BAF4A000 - \SystemRoot\system32\drivers\msmpu401.sys
    B8703000 - \SystemRoot\system32\DRIVERS\gameenum.sys
    BAF4B000 - \SystemRoot\system32\DRIVERS\audstub.sys
    BA978000 - \SystemRoot\system32\DRIVERS\rasl2tp.sys
    B86FF000 - \SystemRoot\system32\DRIVERS\ndistapi.sys
    B11DA000 - \SystemRoot\system32\DRIVERS\ndiswan.sys
    BA988000 - \SystemRoot\system32\DRIVERS\raspppoe.sys
    BA998000 - \SystemRoot\system32\DRIVERS\raspptp.sys
    B6798000 - \SystemRoot\system32\DRIVERS\TDI.SYS
    B11C9000 - \SystemRoot\system32\DRIVERS\psched.sys
    B7F74000 - \SystemRoot\system32\DRIVERS\msgpc.sys
    B6790000 - \SystemRoot\system32\DRIVERS\ptilink.sys
    B6788000 - \SystemRoot\system32\DRIVERS\raspti.sys
    B1198000 - \SystemRoot\system32\DRIVERS\rdpdr.sys
    BA9A8000 - \SystemRoot\system32\DRIVERS\termdd.sys
    B6780000 - \SystemRoot\system32\DRIVERS\kbdclass.sys
    B6778000 - \SystemRoot\system32\DRIVERS\mouclass.sys
    B493C000 - \SystemRoot\system32\DRIVERS\swenum.sys
    B1164000 - \SystemRoot\system32\DRIVERS\update.sys
    B6154000 - \SystemRoot\system32\DRIVERS\mssmbios.sys
    BA9B8000 - \SystemRoot\system32\DRIVERS\usbhub.sys
    B493A000 - \SystemRoot\system32\DRIVERS\USBD.SYS
    BA9C8000 - \SystemRoot\System32\Drivers\NDProxy.SYS
    BA9E8000 - \SystemRoot\system32\DRIVERS\NVENETFD.sys
    B6392000 - \SystemRoot\system32\DRIVERS\flpydisk.sys
    B4934000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS
    B139E000 - \SystemRoot\System32\Drivers\Null.SYS
    B384C000 - \SystemRoot\System32\Drivers\Beep.SYS
    B6382000 - \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
    B4CC6000 - \SystemRoot\System32\drivers\vga.sys
    B384A000 - \SystemRoot\System32\Drivers\mnmdd.SYS
    B3848000 - \SystemRoot\System32\DRIVERS\RDPCDD.sys
    B4CA6000 - \SystemRoot\System32\Drivers\Msfs.SYS
    B4C9E000 - \SystemRoot\System32\Drivers\Npfs.SYS
    B39F8000 - \SystemRoot\system32\DRIVERS\rasacd.sys
    A5065000 - \SystemRoot\system32\DRIVERS\ipsec.sys
    A500D000 - \SystemRoot\system32\DRIVERS\tcpip.sys
    B86A3000 - \SystemRoot\System32\Drivers\aswTdi.SYS
    A4FE5000 - \SystemRoot\system32\DRIVERS\netbt.sys
    A4FC3000 - \SystemRoot\System32\drivers\afd.sys
    B8693000 - \SystemRoot\system32\DRIVERS\netbios.sys
    A4F98000 - \SystemRoot\system32\DRIVERS\rdbss.sys
    A4F29000 - \SystemRoot\system32\DRIVERS\mrxsmb.sys
    B8683000 - \SystemRoot\System32\Drivers\Fips.SYS
    A4F08000 - \SystemRoot\system32\DRIVERS\ipnat.sys
    B8673000 - \SystemRoot\system32\DRIVERS\wanarp.sys
    B4C96000 - \SystemRoot\System32\Drivers\Aavmker4.SYS
    B8653000 - \SystemRoot\System32\Drivers\Cdfs.SYS
    B316D000 - \SystemRoot\system32\DRIVERS\hidusb.sys
    B7F84000 - \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
    B3169000 - \SystemRoot\system32\DRIVERS\mouhid.sys
    BABA8000 - \SystemRoot\system32\DRIVERS\usbccgp.sys
    BAD90000 - \SystemRoot\system32\DRIVERS\kbdhid.sys
    A4EF1000 - \SystemRoot\System32\Drivers\dump_nvata.sys
    B383A000 - \SystemRoot\System32\Drivers\dump_WMILIB.SYS
    BF800000 - \SystemRoot\System32\win32k.sys
    BADA4000 - \SystemRoot\System32\drivers\Dxapi.sys
    B4C86000 - \SystemRoot\System32\watchdog.sys
    BF9C3000 - \SystemRoot\System32\drivers\dxg.sys
    BAE95000 - \SystemRoot\System32\drivers\dxgthk.sys
    A3629000 - \SystemRoot\system32\DRIVERS\atinavt2.sys
    B9A81000 - \SystemRoot\system32\DRIVERS\BdaSup.SYS
    BF9D5000 - \SystemRoot\System32\ati2dvag.dll
    BFA1B000 - \SystemRoot\System32\ati2cqag.dll
    BFA77000 - \SystemRoot\System32\atikvmag.dll
    BFAC8000 - \SystemRoot\System32\atiok3x2.dll
    BFAF3000 - \SystemRoot\System32\ati3duag.dll
    BFDC2000 - \SystemRoot\System32\ativvaxx.dll
    B9A85000 - \SystemRoot\system32\DRIVERS\ndisuio.sys
    A134B000 - \SystemRoot\System32\Drivers\aswMon2.SYS
    A126E000 - \SystemRoot\system32\drivers\wdmaud.sys
    BAA48000 - \SystemRoot\system32\drivers\sysaudio.sys
    A1011000 - \SystemRoot\system32\DRIVERS\mrxdav.sys
    BAE14000 - \SystemRoot\System32\Drivers\ParVdm.SYS
    A0EA7000 - \SystemRoot\system32\DRIVERS\srv.sys
    A0AD4000 - \SystemRoot\System32\Drivers\HTTP.sys
    A0B15000 - \SystemRoot\System32\Drivers\aswRdr.SYS
    BAEFA000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys

    Total number of drivers = 126

    Liste des programmes installes

    ABBYY FineReader 6.0 Sprint
    Adobe Reader 8.1.0 - Français
    AlienGUIse Theme Manager
    Archiveur WinRAR
    ATI - Software Uninstall Utility
    ATI Catalyst Control Center
    ATI Control Panel
    ATI Display Driver
    avast! Antivirus
    Catalyst 7.7 + Control Panel
    Catalyst Control Center Core Implementation
    Catalyst Control Center Graphics Full Existing
    Catalyst Control Center Graphics Full New
    Catalyst Control Center Graphics Light
    Catalyst Control Center Graphics Previews Common
    ccc-core-preinstall
    ccc-core-static
    ccc-utility
    CCC Help English
    CCleaner (remove only)
    Change Extension
    Correctif Windows XP - KB873339
    Correctif Windows XP - KB885835
    Correctif Windows XP - KB885836
    Correctif Windows XP - KB886185
    Correctif Windows XP - KB887472
    Correctif Windows XP - KB888302
    Correctif Windows XP - KB890859
    Correctif Windows XP - KB891781
    DAoC Portal
    dBpoweramp DirectShow Decoder
    dBpoweramp Real Audio (Helix) Encoder
    East-Tec Eraser 2006 Version 7.0
    eMule
    EPSON Attach To Email
    EPSON Attach To Email
    EPSON File Manager
    EPSON Logiciel imprimante
    EPSON Scan
    EPSON Scan Assistant
    ESDX4000_4050_CX3900
    Free - Kit de connexion
    GUILD WARS
    HijackThis 2.0.2
    iMesh
    Java(TM) 6 Update 2
    K-Lite Codec Pack 3.4.5 Full
    Logitech G-series Keyboard Software
    Messenger Plus! Live
    Microsoft .NET Framework 2.0
    Microsoft .NET Framework 2.0
    Mise à jour de sécurité pour Lecteur Windows Media (KB911564)
    Mise à jour de sécurité pour Lecteur Windows Media 6.4 (KB925398)
    Mise à jour de sécurité pour Lecteur Windows Media 9 (KB936782)
    Mise à jour de sécurité pour Windows XP (KB890046)
    Mise à jour de sécurité pour Windows XP (KB893756)
    Mise à jour de sécurité pour Windows XP (KB896358)
    Mise à jour de sécurité pour Windows XP (KB896423)
    Mise à jour de sécurité pour Windows XP (KB896428)
    Mise à jour de sécurité pour Windows XP (KB899587)
    Mise à jour de sécurité pour Windows XP (KB899591)
    Mise à jour de sécurité pour Windows XP (KB900725)
    Mise à jour de sécurité pour Windows XP (KB901017)
    Mise à jour de sécurité pour Windows XP (KB901214)
    Mise à jour de sécurité pour Windows XP (KB902400)
    Mise à jour de sécurité pour Windows XP (KB904706)
    Mise à jour de sécurité pour Windows XP (KB905414)
    Mise à jour de sécurité pour Windows XP (KB905749)
    Mise à jour de sécurité pour Windows XP (KB908519)
    Mise à jour de sécurité pour Windows XP (KB911562)
    Mise à jour de sécurité pour Windows XP (KB911927)
    Mise à jour de sécurité pour Windows XP (KB913580)
    Mise à jour de sécurité pour Windows XP (KB914388)
    Mise à jour de sécurité pour Windows XP (KB914389)
    Mise à jour de sécurité pour Windows XP (KB917344)
    Mise à jour de sécurité pour Windows XP (KB917953)
    Mise à jour de sécurité pour Windows XP (KB918118)
    Mise à jour de sécurité pour Windows XP (KB918439)
    Mise à jour de sécurité pour Windows XP (KB919007)
    Mise à jour de sécurité pour Windows XP (KB920213)
    Mise à jour de sécurité pour Windows XP (KB920670)
    Mise à jour de sécurité pour Windows XP (KB920683)
    Mise à jour de sécurité pour Windows XP (KB920685)
    Mise à jour de sécurité pour Windows XP (KB921503)
    Mise à jour de sécurité pour Windows XP (KB922819)
    Mise à jour de sécurité pour Windows XP (KB923191)
    Mise à jour de sécurité pour Windows XP (KB923414)
    Mise à jour de sécurité pour Windows XP (KB923689)
    Mise à jour de sécurité pour Windows XP (KB923789)
    Mise à jour de sécurité pour Windows XP (KB923980)
    Mise à jour de sécurité pour Windows XP (KB924270)
    Mise à jour de sécurité pour Windows XP (KB924496)
    Mise à jour de sécurité pour Windows XP (KB924667)
    Mise à jour de sécurité pour Windows XP (KB925902)
    Mise à jour de sécurité pour Windows XP (KB926255)
    Mise à jour de sécurité pour Windows XP (KB926436)
    Mise à jour de sécurité pour Windows XP (KB927779)
    Mise à jour de sécurité pour Windows XP (KB927802)
    Mise à jour de sécurité pour Windows XP (KB928255)
    Mise à jour de sécurité pour Windows XP (KB928843)
    Mise à jour de sécurité pour Windows XP (KB929123)
    Mise à jour de sécurité pour Windows XP (KB930178)
    Mise à jour de sécurité pour Windows XP (KB931261)
    Mise à jour de sécurité pour Windows XP (KB931784)
    Mise à jour de sécurité pour Windows XP (KB932168)
    Mise à jour de sécurité pour Windows XP (KB935839)
    Mise à jour de sécurité pour Windows XP (KB935840)
    Mise à jour de sécurité pour Windows XP (KB936021)
    Mise à jour de sécurité pour Windows XP (KB937143)
    Mise à jour de sécurité pour Windows XP (KB938127)
    Mise à jour de sécurité pour Windows XP (KB938829)
    Mise à jour pour Windows XP (KB894391)
    Mise à jour pour Windows XP (KB898461)
    Mise à jour pour Windows XP (KB900485)
    Mise à jour pour Windows XP (KB908531)
    Mise à jour pour Windows XP (KB910437)
    Mise à jour pour Windows XP (KB911280)
    Mise à jour pour Windows XP (KB916595)
    Mise à jour pour Windows XP (KB920872)
    Mise à jour pour Windows XP (KB922582)
    Mise à jour pour Windows XP (KB927891)
    Mise à jour pour Windows XP (KB930916)
    Mise à jour pour Windows XP (KB933360)
    Mise à jour pour Windows XP (KB938828)
    Mozilla Firefox (2.0.0.7)
    NVIDIA Drivers
    PIF DESIGNER
    Real Alternative 1.60
    Realtek AC'97 Audio
    Reason Demo
    Security Update for Microsoft .NET Framework 2.0 (KB928365)
    Skins
    Skype™ 3.5
    Solar System 3D Screensaver 1.2
    Star Wars 3D Screensaver 1.3
    Switch
    Unix Utilities for Yahoo! Widgets
    VideoLAN VLC media player 0.8.6c
    WebFldrs XP
    Winamp (remove only)
    Windows Installer 3.1 (KB893803)
    Windows Live Messenger
    Windows Media Format Runtime
    Yahoo! Install Manager
    Yahoo! Widgets

    Le volume dans le lecteur C n'a pas de nom.
    Le numéro de série du volume est 0035-CE79

    Répertoire de C:\Program Files

    22/09/2007 16:43 <REP> .
    22/09/2007 16:43 <REP> ..
    08/09/2007 14:25 <REP> ABBYY FineReader 6.0 Sprint
    20/09/2007 11:08 <REP> Adobe
    30/08/2007 10:58 <REP> Altiris
    02/09/2007 19:58 <REP> ATI Technologies
    30/08/2007 10:39 <REP> AvRack
    30/08/2007 05:09 <REP> ComPlus Applications
    08/09/2007 14:26 <REP> EPSON
    22/09/2007 11:24 <REP> Fichiers communs
    30/08/2007 08:33 <REP> Free.fr
    31/08/2007 23:45 <REP> Internet Explorer
    07/09/2007 12:34 <REP> Java
    31/08/2007 23:49 <REP> Messenger
    30/08/2007 05:13 <REP> microsoft frontpage
    30/08/2007 05:10 <REP> Movie Maker
    30/08/2007 05:08 <REP> MSN
    30/08/2007 05:09 <REP> MSN Gaming Zone
    30/08/2007 19:38 <REP> MSN Messenger
    22/09/2007 10:58 <REP> NCH Swift Sound
    30/08/2007 05:11 <REP> NetMeeting
    30/08/2007 05:09 <REP> Online Services
    31/08/2007 23:48 <REP> Outlook Express
    08/09/2007 10:56 <REP> Plus!
    30/08/2007 10:39 <REP> Realtek AC97
    30/08/2007 10:39 <REP> Realtek Sound Manager
    30/08/2007 05:11 <REP> Services en ligne
    30/08/2007 10:53 <REP> Skype
    31/08/2007 18:11 <REP> Winamp
    30/08/2007 19:38 <REP> Windows Live
    31/08/2007 23:48 <REP> Windows Media Player
    30/08/2007 05:09 <REP> Windows NT
    30/08/2007 05:13 <REP> xerox
    02/09/2007 18:05 <REP> Yahoo!
    0 fichier(s) 0 octets
    34 Rép(s) 1 255 960 576 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le numéro de série du volume est 0035-CE79

    Répertoire de C:\Program Files\fichiers communs

    22/09/2007 11:24 <REP> .
    22/09/2007 11:24 <REP> ..
    20/09/2007 11:09 <REP> Adobe
    08/09/2007 14:26 <REP> InstallShield
    07/09/2007 12:34 <REP> Java
    30/08/2007 05:17 <REP> Microsoft Shared
    30/08/2007 05:11 <REP> MSSoap
    30/08/2007 07:04 <REP> ODBC
    22/09/2007 11:24 <REP> Real
    30/08/2007 05:11 <REP> Services
    30/08/2007 10:52 <REP> Skype
    30/08/2007 07:04 <REP> SpeechEngines
    30/08/2007 08:27 <REP> Stardock
    31/08/2007 23:48 <REP> System
    02/09/2007 11:10 <REP> Wise Installation Wizard
    0 fichier(s) 0 octets
    15 Rép(s) 1 255 960 576 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le numéro de série du volume est 0035-CE79

    Répertoire de C:\Program Files\fichiers communs\Microsoft Shared\Web Folders

    30/08/2007 05:17 <REP> .
    30/08/2007 05:17 <REP> ..
    18/05/2001 15:57 561 209 MSONSEXT.DLL
    03/06/1999 12:09 122 937 MSOWS409.DLL
    07/03/2001 07:00 127 033 MSOWS40c.DLL
    3 fichier(s) 811 179 octets
    2 Rép(s) 1 255 960 576 octets libres

    c:\Documents and Settings\Neolink\Bureau\VirtumundoBeGone.exe
    c:\Documents and Settings\Neolink\Bureau\VundoFix(2).exe
    c:\Documents and Settings\Neolink\Bureau\VundoFix.exe
    c:\Documents and Settings\Neolink\Bureau\DiagHelp\DiagHelp\catchme.exe
    c:\Documents and Settings\Neolink\Bureau\DiagHelp\DiagHelp\diff.exe
    c:\Documents and Settings\Neolink\Bureau\DiagHelp\DiagHelp\dumphive.exe
    c:\Documents and Settings\Neolink\Bureau\DiagHelp\DiagHelp\FilesInfoCmd.exe
    c:\Documents and Settings\Neolink\Bureau\DiagHelp\DiagHelp\find2.exe
    c:\Documents and Settings\Neolink\Bureau\DiagHelp\DiagHelp\Fport.exe
    c:\Documents and Settings\Neolink\Bureau\DiagHelp\DiagHelp\grep.exe
    c:\Documents and Settings\Neolink\Bureau\DiagHelp\DiagHelp\KProcCheck.exe
    c:\Documents and Settings\Neolink\Bureau\DiagHelp\DiagHelp\LFiles.exe
    c:\Documents and Settings\Neolink\Bureau\DiagHelp\DiagHelp\LISTDLLS.exe
    c:\Documents and Settings\Neolink\Bureau\DiagHelp\DiagHelp\md5sums.exe
    c:\Documents and Settings\Neolink\Bureau\DiagHelp\DiagHelp\pslist.exe
    c:\Documents and Settings\Neolink\Bureau\DiagHelp\DiagHelp\streams.exe
    c:\Documents and Settings\Neolink\Bureau\DiagHelp\DiagHelp\swreg.exe
    c:\Documents and Settings\Neolink\Bureau\Documents\Listes Baladeuses\Listes baladeuses.exe
    c:\Documents and Settings\Neolink\Bureau\Documents\login\18026.exe
    c:\Documents and Settings\Neolink\Bureau\Documents\login\26195.exe
    c:\Documents and Settings\Neolink\Bureau\Documents\login\logonuiElectric.exe
    c:\Documents and Settings\Neolink\Bureau\Documents\login\Consumation\logonui.exe
    c:\Documents and Settings\Neolink\Bureau\Documents\N\n_v14.exe
    c:\Documents and Settings\Neolink\Bureau\Documents\NetSupport Manager Evaluation\setup.exe
    c:\Documents and Settings\Neolink\Bureau\Documents\Wallpaper\178845.exe
    c:\Documents and Settings\Neolink\Bureau\Utilitaires\HijackThis.exe
    c:\Documents and Settings\Neolink\Bureau\Utilitaires\GenProc\outil\swreg.exe
    c:\Documents and Settings\Neolink\Bureau\Utilitaires\Streambox Ripper\Streambox Ripper.exe
    c:\Documents and Settings\Neolink\Local Settings\Application Data\Yahoo\Widget Engine\Unzipped\SimpleMonitor.widget\SimpleMonitor.widget\Contents\resources\exe\simpleinfo.exe
    c:\Documents and Settings\Neolink\Local Settings\Temp\a1tg4v32.exe
    c:\Documents and Settings\Neolink\Local Settings\Temp\ywe_setup.2007.07.19.02.exe
    c:\Documents and Settings\Neolink\Local Settings\Temp\ywe_unixutils_setup.exe
    c:\Documents and Settings\Neolink\Mes documents\Autres\Adobe Acrobat Reader 7.08 FR.exe
    c:\Documents and Settings\Neolink\Mes documents\Autres\daemon403-x86.exe
    c:\Documents and Settings\Neolink\Mes documents\Autres\everestultimate301.exe
    c:\Documents and Settings\Neolink\Mes documents\Autres\Radio_Fr_solo09-Install.exe
    c:\Documents and Settings\Neolink\Mes documents\Autres\SetupPorrast102.exe
    c:\Documents and Settings\Neolink\Mes documents\Autres\windows-live-messenger_windows_live_messenger_8.0.0812_francais_19367.exe
    c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\YahooWidgetEngine.exe
    c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\bin\sh.exe
    c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\bin\zsh.exe
    c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\basename.exe
    c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\bc.exe
    c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\bunzip2.exe
    c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\bzip2.exe
    c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\bzip2recover.exe
    c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\cal.exe
    c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\cat.exe
    c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\chgrp.exe
    c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\chmod.exe
    c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\chown.exe
    c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\cksum.exe
    c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\cmp.exe
    c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\comm.exe
    c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\compress.exe
    c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\cp.exe
    c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\curl.exe
    c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\cut.exe
    c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\date.exe
    c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\dc.exe
    c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\dd.exe
    c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\df.exe
    c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\diff.exe
    c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\diff3.exe
    c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\dirname.exe
    c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\du.exe
    c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\echo.exe
    c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\egrep.exe
    c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\env.exe
    c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\expand.exe
    c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\expr.exe
    c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\fgrep.exe
    c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\find.exe
    c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\fmt.exe
    c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\fold.exe
    c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\fsplit.exe
    c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\gawk.exe
    c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\grep.exe
    c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\gunzip.exe
    c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\gzip.exe
    c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\head.exe
    c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\id.exe
    c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\install.exe
    c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\join.exe
    c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\less.exe
    c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\lesskey.exe
    c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\ln.exe
    c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\logname.exe
    c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\ls.exe
    c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\m4.exe
    c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\make.exe
    c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\makedepend.exe
    c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\man.exe
    c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\md5sum.exe
    c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\mkdir.exe
    c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\mv.exe
    c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\od.exe
    c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\open.exe
    c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\paste.exe
    c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\patch.exe
    c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\pr.exe
    c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\printenv.exe
    c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\printf.exe
    c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\pwd.exe
    c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\rm.exe
    c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\rmdir.exe
    c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\sdiff.exe
    c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\sed.exe
    c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\shar.exe
    c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\sleep.exe
    c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\sort.exe
    c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\split.exe
    c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\su.exe
    c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\sum.exe
    c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\sync.exe
    c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\tail.exe
    c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\tar.exe
    c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\tee.exe
    c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\test.exe
    c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\touch.exe
    c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\tr.exe
    c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\uname.exe
    c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\unexpand.exe
    c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\uniq.exe
    c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\unzip.exe
    c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\uudecode.exe
    c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\uuencode.exe
    c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\wc.exe
    c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\which.exe
    c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\whoami.exe
    c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\xargs.exe
    c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\yes.exe
    c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\zcat.exe
    c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\zip.exe
    c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\YCentral\YahooCentral.exe
    c:\Documents and Settings\Neolink\Mes documents\Calculatrice - Convertisseur\setup.exe
    c:\Documents and Settings\Neolink\Mes documents\Calculatrice - Convertisseur\Calculatrice - Convertisseur de monnaie Matrix\bin\Debug\Calculatrice - Convertisseur de monnaie Matrix.exe
    c:\Documents and Settings\Neolink\Mes documents\Calculatrice - Convertisseur\Calculatrice - Convertisseur de monnaie Matrix\bin\Debug\Calculatrice - Convertisseur de monnaie Matrix.vshost.exe
    c:\Documents and Settings\Neolink\Mes documents\Calculatrice - Convertisseur\Calculatrice - Convertisseur de monnaie Matrix\bin\Release\Calculatrice - Convertisseur de monnaie Matrix.exe
    c:\Documents and Settings\Neolink\Mes documents\Calculatrice - Convertisseur\Calculatrice - Convertisseur de monnaie Matrix\obj\Debug\Calculatrice - Convertisseur de monnaie Matrix.exe
    c:\Documents and Settings\Neolink\Mes documents\Calculatrice - Convertisseur\Calculatrice - Convertisseur de monnaie Matrix\obj\Release\Calculatrice - Convertisseur de monnaie Matrix.exe
    c:\Documents and Settings\Neolink\Mes documents\Calculatrice - Convertisseur\setup\Calculatrice - Convertisseur de monnaie Matrix.exe
    c:\Documents and Settings\Neolink\Mes documents\Calculatrice - Convertisseur\setup\Calculatrice - Convertisseur de monnaie Matrix.publish\setup.exe
    c:\Documents and Settings\Neolink\Mes documents\Mes images\Autre\DigitEight.exe
    c:\Documents and Settings\Neolink\Mes documents\Mes images\Autre\forever blue wallpaper.exe
    c:\Documents and Settings\Neolink\Mes documents\Mes images\Wallpapers\InstMsiA.Exe
    c:\Documents and Settings\Neolink\Mes documents\Mes images\Wallpapers\InstMsiW.Exe
    c:\Documents and Settings\Neolink\Mes documents\Mes images\Wallpapers\Setup.Exe
    c:\Documents and Settings\Neolink\Mes documents\Visual Studio 2005\Projects\Calculatrice - Convertisseur Nintendo\Calculatrice - Convertisseur Nintendo\bin\Debug\Calculatrice - Convertisseur Nintendo.vshost.exe
    c:\Documents and Settings\Neolink\Mes documents\Visual Studio 2005\Projects\Caluclatrice\Caluclatrice\bin\Debug\Caluclatrice.vshost.exe
    c:\Documents and Settings\Neolink\Mes documents\Visual Studio 2005\Projects\FirstApplication\FirstApplication\bin\Debug\FirstApplication.exe
    c:\Documents and Settings\Neolink\Mes documents\Visual Studio 2005\Projects\FirstApplication\FirstApplication\bin\Debug\FirstApplication.vshost.exe
    c:\Documents and Settings\Neolink\Mes documents\Visual Studio 2005\Projects\FirstApplication\FirstApplication\obj\Debug\FirstApplication.exe
    c:\Documents and Settings\Neolink\Mes documents\Visual Studio 2005\Projects\MultiCopy\MultiCopy\bin\Debug\MultiCopy.vshost.exe
    c:\Documents and Settings\Neolink\Mes documents\Visual Studio 2005\Projects\Téléchargement CodeS SourceS\minimiser\MinWindow.exe
    c:\Documents and Settings\Neolink\Mes documents\Visual Studio 2005\Projects\Téléchargement CodeS SourceS\reduc\Reduc.exe
    c:\Documents and Settings\Neolink\Mes documents\Visual Studio 2005\Projects\Téléchargement CodeS SourceS\Windows XP Controls\Windows XP Controls\Windows XP Controls.exe
    c:\Documents and Settings\Neolink\Mes documents\Visual Studio 2005\Projects\Variables\Variables\bin\Debug\Calculatrice Convertisseur Matrix.vshost.exe
    c:\Documents and Settings\Neolink\Mes documents\Visual Studio 2005\Projects\Variables\Variables\bin\Debug\Résultats des opérations.exe
    c:\Documents and Settings\Neolink\Mes documents\Visual Studio 2005\Projects\Variables\Variables\bin\Debug\Variables.exe
    c:\Documents and Settings\Neolink\Mes documents\Visual Studio 2005\Projects\Variables\Variables\bin\Debug\Variables.vshost.exe
    c:\Documents and Settings\Neolink\Mes documents\Visual Studio 2005\Projects\Variables\Variables\bin\Debug\Résultats des opérations.publish\setup.exe
    c:\Documents and Settings\Neolink\Mes documents\Visual Studio 2005\Projects\Variables\Variables\bin\Release\Résultats des opérations.exe
    c:\Documents and Settings\Neolink\Mes documents\Visual Studio 2005\Projects\Variables\Variables\obj\Debug\Résultats des opérations.exe
    c:\Documents and Settings\Neolink\Mes documents\Visual Studio 2005\Projects\Variables\Variables\obj\Debug\Variables.exe
    c:\Documents and Settings\Neolink\Mes documents\Visual Studio 2005\Projects\Variables\Variables\obj\Release\Résultats des opérations.exe
    c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\production\ppcrlconfig.dll
    c:\Documents and Settings\LocalService\Application Data\Microsoft\UPnP Device Host\upnphost\udhisapi.dll
    c:\Documents and Settings\Neolink\Application Data\Mozilla\Firefox\Profiles\31k84hdu.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\googletoolbar.dll
    c:\Documents and Settings\Neolink\Application Data\Mozilla\Firefox\Profiles\31k84hdu.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\metrics.dll
    c:\Documents and Settings\Neolink\Mes documents\Visual Studio 2005\Projects\FirstApplication\FirstApplication\obj\Debug\TempPE\My Project.Resources.Designer.vb.dll

    ****** Fin du rapport DiagHelp

    Ensuite, voici les noms des fichiers infectés, peut-être que d'autres fichiers apparaitront par la suite ><
    Ils sont tous situés dans le dossier c:\windows\system32
    awtqn.dll
    awtqq.dll
    awtqr.dll
    awvtt.dll
    ddabx.dll
    gebya.dll
    gebyw.dll
    gebyy.dll
    geebb.dll
    jkhff.dll
    jkhhf.dll
    jkkjg.dll
    jkklj.dll
    jkkll.dll
    mljgf.dll
    mljgh.dll
    mljjj.dll
    mljjk.dll
    mlljg.dll
    mllmj.dll
    mllml.dll
    pmkhe.dll
    pmkhf.dll
    pmnlm.dll
    ssqro.dll
    sstqp.dll
    sstts.dll
    ssttu.dll
    vtstq.dll
    vtstu.dll
    vturq.dll
    vturs.dll

    Il n'y aurait pas un moyen de détruires la cochonerie à partir de sa source, c'est à dire, un fichier *.exe ou une clé de registre ??
    Ou alors empêcher tout virus Win32:ConHook-CA [Trj] d'entrée ? (je sais la question parrait débile mais bon, si ça peut faire avancer les choses :P)
    Merci encore de ton aide papyber ;)
    0
  9. papyber Messages postés 6430 Statut Contributeur sécurité 257
     
    une aspirine, un bon grog, une bouillotte, une bonne sieste et cela devrait aller mieux!! soigne toi bien!

    on va détruire tous ces fichiers
    Télécharge OTMoveIt (de Old_Timer) sur ton Bureau.
    http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe

    clic double sur OTMoveIt.exe pour le lancer.
    copie la liste qui se trouve en citation ci-dessous,
    et colle-la dans le cadre de gauche de OTMoveIt :
    Paste List of Files/Folders to be moved.

    c:\windows\system32\awtqn.dll
    c:\windows\system32\awtqq.dll
    c:\windows\system32\awtqr.dll
    c:\windows\system32\awvtt.dll
    c:\windows\system32\ddabx.dll
    c:\windows\system32\gebya.dll
    c:\windows\system32\gebyw.dll
    c:\windows\system32\gebyy.dll
    c:\windows\system32\geebb.dll
    c:\windows\system32\jkhff.dll
    c:\windows\system32\jkhhf.dll
    c:\windows\system32\jkkjg.dll
    c:\windows\system32\jkklj.dll
    c:\windows\system32\jkkll.dll
    c:\windows\system32\mljgf.dll
    c:\windows\system32\mljgh.dll
    c:\windows\system32\mljjj.dll
    c:\windows\system32\mljjk.dll
    c:\windows\system32\mlljg.dll
    c:\windows\system32\mllmj.dll
    c:\windows\system32\mllml.dll
    c:\windows\system32\pmkhe.dll
    c:\windows\system32\pmkhf.dll
    c:\windows\system32\pmnlm.dll
    c:\windows\system32\ssqro.dll
    c:\windows\system32\sstqp.dll
    c:\windows\system32\sstts.dll
    c:\windows\system32\ssttu.dll
    c:\windows\system32\vtstq.dll
    c:\windows\system32\vtstu.dll
    c:\windows\system32\vturq.dll
    c:\windows\system32\vturs.dll
    C:\WINDOWS\System32\gebywxx.dll
    C:\WINDOWS\System32\gebywxx.dll.vir

    clique sur MoveIt! pour lancer la suppression.
    le résultat apparaîtra dans le cadre Results.
    clique sur Exit pour fermer.
    poste le rapport situé dans C:\\\_OTMoveIt\MovedFiles.

    il te sera peut-être demandé de redémarrer le pc pour achever la suppression.
    si c'est le cas accepte par Yes.

    et on va utiliser l'artillerie lourde pour virer ce qu'il reste
    Télécharge combofix.exe (par sUBs) sur ton Bureau
    http://download.bleepingcomputer.com/sUBs/ComboFix.exe
    Double clique combofix.exe.
    Tape sur la touche Y (Yes) pour démarrer le scan.
    Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse
    NOTE : Le rapport se trouve également ici : C:\Combofix.txt
    tu me postes les rapports obtenus et un rapport hijack this
    0
  10. Neolink
     
    Rapport ComboFix:

    ComboFix 07-09-21.2 - "Neolink" 2007-09-30 18:36:31.1 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1516 [GMT 2:00]
    * Created a new restore point
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\DOCUME~1\Neolink\APPLIC~1\AntiSpywareBot
    C:\DOCUME~1\Neolink\APPLIC~1\AntiSpywareBot\Log\2007 Sep 24 - 06_13_32 PM_593.log
    C:\DOCUME~1\Neolink\APPLIC~1\AntiSpywareBot\Log\2007 Sep 24 - 12_31_45 PM_890.log
    C:\DOCUME~1\Neolink\APPLIC~1\AntiSpywareBot\Log\2007 Sep 24 - 12_31_46 PM_718.log
    C:\DOCUME~1\Neolink\APPLIC~1\AntiSpywareBot\rs.dat
    C:\DOCUME~1\Neolink\APPLIC~1\AntiSpywareBot\Settings\CustomScan.stg
    C:\DOCUME~1\Neolink\APPLIC~1\AntiSpywareBot\Settings\IgnoreList.stg
    C:\DOCUME~1\Neolink\APPLIC~1\AntiSpywareBot\Settings\ScanInfo.stg
    C:\DOCUME~1\Neolink\APPLIC~1\AntiSpywareBot\Settings\ScanResults.stg
    C:\DOCUME~1\Neolink\APPLIC~1\AntiSpywareBot\Settings\SelectedFolders.stg
    C:\DOCUME~1\Neolink\APPLIC~1\AntiSpywareBot\Settings\Settings.stg
    C:\WINDOWS\system32\mljjg.dll
    C:\WINDOWS\Tasks.\AntiSpywareBot Scheduled Scan.job

    .
    ((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

    -------\poof

    ((((((((((((((((((((((((((((( Fichiers créés 2007-08-28 to 2007-09-30 ))))))))))))))))))))))))))))))))))))
    .

    2007-09-30 18:36 51,200 --a------ C:\WINDOWS\NirCmd.exe
    2007-09-30 14:25 24,576 --a------ C:\WINDOWS\system32\VundoFixSVC.exe
    2007-09-30 14:20 <REP> d-------- C:\VundoFix Backups
    2007-09-22 11:26 <REP> d-------- C:\DOCUME~1\Neolink\APPLIC~1\Media Player Classic
    2007-09-22 11:26 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Real
    2007-09-22 10:58 <REP> d-------- C:\Program Files\NCH Swift Sound
    2007-09-22 10:58 <REP> d-------- C:\DOCUME~1\Neolink\APPLIC~1\NCH Swift Sound
    2007-09-22 10:54 2,679 --a------ C:\WINDOWS\system32\SpoonUninstall-dBpoweramp DirectShow Decoder.dat
    2007-09-21 19:24 <REP> d-------- C:\DOCUME~1\Neolink\APPLIC~1\dBpoweramp
    2007-09-21 19:20 11,468 --a------ C:\WINDOWS\system32\SpoonUninstall-dBpoweramp Real Audio (Helix) Encoder.dat
    2007-09-21 19:15 167,936 --a------ C:\WINDOWS\system32\SpoonUninstall.exe
    2007-09-21 19:15 <REP> d-------- C:\DOCUME~1\Neolink\APPLIC~1\AccurateRip
    2007-09-21 19:05 <REP> d-------- C:\Program Files\Fichiers communs\Real
    2007-09-21 19:03 <REP> d-------- C:\DOCUME~1\Neolink\APPLIC~1\Real
    2007-09-10 18:04 <REP> d---s---- C:\DOCUME~1\Neolink\UserData
    2007-09-08 14:33 15,104 --a--c--- C:\WINDOWS\system32\dllcache\usbscan.sys
    2007-09-08 14:33 15,104 --a------ C:\WINDOWS\system32\drivers\usbscan.sys
    2007-09-08 14:25 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\UDL
    2007-09-08 14:24 <REP> d-------- C:\Program Files\ABBYY FineReader 6.0 Sprint
    2007-09-08 14:21 46,080 --a------ C:\WINDOWS\system32\escimgd.dll
    2007-09-08 14:21 29,696 --a------ C:\WINDOWS\system32\escwiad.dll
    2007-09-08 14:21 22,016 --a------ C:\WINDOWS\system32\esccmd.dll
    2007-09-08 10:56 <REP> d-------- C:\Program Files\Plus!
    2007-09-04 14:26 <REP> d-------- C:\DOCUME~1\Neolink\APPLIC~1\vlc
    2007-09-04 14:26 <REP> d-------- C:\DOCUME~1\Neolink\APPLIC~1\dvdcss
    2007-09-02 20:00 <REP> d-------- C:\DOCUME~1\Neolink\APPLIC~1\Help
    2007-09-02 19:57 <REP> d-------- C:\Starconsole
    2007-09-02 18:40 <REP> d--h----- C:\WINDOWS\PIF
    2007-09-02 18:39 88,064 --a------ C:\WINDOWS\AMUninst01c.exe
    2007-09-02 18:05 <REP> d-------- C:\Program Files\Yahoo!
    2007-09-02 15:00 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Logitech
    2007-09-02 11:14 <REP> d-------- C:\DOCUME~1\Neolink\APPLIC~1\Propellerhead Software
    2007-09-02 11:10 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
    2007-09-01 22:07 <REP> d-------- C:\DOCUME~1\Neolink\APPLIC~1\iMesh
    2007-09-01 18:32 71,168 --a------ C:\WINDOWS\system32\E_FLBBEE.DLL
    2007-09-01 18:32 62,976 --a------ C:\WINDOWS\system32\E_FD4BBEE.DLL
    2007-09-01 18:32 49,152 --a------ C:\WINDOWS\system32\E_DCINST.DLL
    2007-09-01 18:31 <REP> d-------- C:\Program Files\EPSON
    2007-09-01 18:27 41 ---h----- C:\WINDOWS\dsez5003.dat
    2007-09-01 18:27 25,856 --a--c--- C:\WINDOWS\system32\dllcache\usbprint.sys
    2007-09-01 18:27 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys
    2007-09-01 11:32 479,232 --a------ C:\WINDOWS\system32\Solar System 3D Screensaver.scr
    2007-08-31 23:40 97,848 --a------ C:\WINDOWS\system32\bass.dll
    2007-08-31 23:40 622,592 --a------ C:\WINDOWS\system32\Star Wars 3D Screensaver.scr
    2007-08-31 23:10 1,323,520 --a------ C:\WINDOWS\3D Alien Clock.scr
    2007-08-31 19:22 <REP> d-------- C:\DOCUME~1\Neolink\APPLIC~1\Electronic Arts
    2007-08-31 18:10 <REP> d-------- C:\Program Files\Winamp
    2007-08-31 11:02 1,265 --a------ C:\WINDOWS\mozver.dat
    2007-08-31 10:44 <REP> d-------- C:\DOCUME~1\Neolink\APPLIC~1\EAST Technologies
    2007-08-31 10:27 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Messenger Plus!
    2007-08-30 22:45 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe
    2007-08-30 21:38 <REP> d-------- C:\DOCUME~1\Neolink\APPLIC~1\teamspeak2
    2007-08-30 20:44 60,416 --a------ C:\WINDOWS\ALCFDRTM.EXE
    2007-08-30 20:44 <REP> d-------- C:\WINDOWS\system32\Lang
    2007-08-30 19:38 <REP> d-------- C:\Program Files\Windows Live
    2007-08-30 19:34 <REP> d-------- C:\DOCUME~1\Neolink\Contacts
    2007-08-30 18:44 <REP> d----c--- C:\WINDOWS\system32\DRVSTORE
    2007-08-30 18:44 <REP> d-------- C:\Program Files\MSN Messenger
    2007-08-30 18:43 <REP> d-------- C:\DOCUME~1\Neolink\APPLIC~1\WinRAR
    2007-08-30 11:05 <REP> d--h----- C:\WINDOWS\$hf_mig$
    2007-08-30 11:00 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Google
    2007-08-30 10:58 <REP> d-------- C:\Program Files\Altiris
    2007-08-30 10:55 169,344 --a------ C:\WINDOWS\system32\drivers\atinavt2.sys
    2007-08-30 10:54 520,192 --------- C:\WINDOWS\system32\ati2sgag.exe
    2007-08-30 10:54 <REP> d-------- C:\Program Files\ATI Technologies
    2007-08-30 10:53 <REP> d-------- C:\DOCUME~1\Neolink\APPLIC~1\Skype
    2007-08-30 10:53 <REP> d-------- C:\ATI
    2007-08-30 10:52 <REP> d-------- C:\Program Files\Skype
    2007-08-30 10:52 <REP> d-------- C:\Program Files\Fichiers communs\Skype
    2007-08-30 10:52 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Skype
    2007-08-30 10:48 0 --a------ C:\WINDOWS\nsreg.dat
    2007-08-30 10:48 <REP> d-------- C:\DOCUME~1\Neolink\APPLIC~1\Talkback
    2007-08-30 10:39 90,112 -r------- C:\WINDOWS\soundman.exe
    2007-08-30 10:39 40,960 -r------- C:\WINDOWS\system32\ChCfg.exe
    2007-08-30 10:39 307,200 -r------- C:\WINDOWS\alcupd.exe
    2007-08-30 10:39 3,786,944 -r------- C:\WINDOWS\system32\drivers\alcxwdm.sys
    2007-08-30 10:39 217,088 -r------- C:\WINDOWS\alcrmv.exe
    2007-08-30 10:39 157,184 -r------- C:\WINDOWS\system32\RtlCPAPI.dll
    2007-08-30 10:39 10,459,648 -r------- C:\WINDOWS\system32\RTLCPL.exe
    2007-08-30 10:39 <REP> d--h----- C:\Program Files\InstallShield Installation Information
    2007-08-30 10:39 <REP> d-------- C:\Program Files\Realtek Sound Manager
    2007-08-30 10:39 <REP> d-------- C:\Program Files\Realtek AC97
    2007-08-30 10:39 <REP> d-------- C:\Program Files\AvRack
    2007-08-30 10:38 454,656 --a------ C:\WINDOWS\system32\CapabilityTable.exe
    2007-08-30 10:37 <REP> d-------- C:\Program Files\Fichiers communs\InstallShield
    2007-08-30 10:35 5,824 --a------ C:\WINDOWS\system32\drivers\ASUSHWIO.SYS
    2007-08-30 10:35 5,810 -ra------ C:\WINDOWS\system32\drivers\ASACPI.sys
    2007-08-30 10:18 <REP> d-------- C:\Ethernet
    2007-08-30 09:32 <REP> d-------- C:\DOCUME~1\Neolink\APPLIC~1\AdobeUM
    2007-08-30 09:29 <REP> d-------- C:\WINDOWS\Cache
    2007-08-30 08:33 <REP> d-------- C:\Program Files\Free.fr
    2007-08-30 08:27 36,864 --a------ C:\WINDOWS\system32\wbsys.dll
    2007-08-30 08:27 <REP> d-------- C:\Program Files\Fichiers communs\Stardock
    2007-08-30 07:06 60,288 --a--c--- C:\WINDOWS\system32\dllcache\drmk.sys
    2007-08-30 07:06 60,288 --a------ C:\WINDOWS\system32\drivers\drmk.sys
    2007-08-30 07:06 58,496 --a------ C:\WINDOWS\system32\drivers\redbook.sys
    2007-08-30 07:06 4,096 --a--c--- C:\WINDOWS\system32\dllcache\ksuser.dll
    2007-08-30 07:06 4,096 --a------ C:\WINDOWS\system32\ksuser.dll
    2007-08-30 07:06 2,944 --a------ C:\WINDOWS\system32\drivers\msmpu401.sys
    2007-08-30 07:06 145,792 --a--c--- C:\WINDOWS\system32\dllcache\portcls.sys

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2007-08-30 05:13 --------- d-------- C:\Program Files\microsoft frontpage
    2007-08-30 05:11 --------- d-------- C:\Program Files\Services en ligne
    2007-08-30 05:11 --------- d-------- C:\Program Files\Fichiers communs\MSSoap
    2007-07-30 19:19 92504 --a------ C:\WINDOWS\system32\cdm.dll
    2007-07-30 19:19 549720 --a------ C:\WINDOWS\system32\wuapi.dll
    2007-07-30 19:19 53080 --a------ C:\WINDOWS\system32\wuauclt.exe
    2007-07-30 19:19 43352 --a------ C:\WINDOWS\system32\wups2.dll
    2007-07-30 19:19 325976 --a------ C:\WINDOWS\system32\wucltui.dll
    2007-07-30 19:19 203096 --a------ C:\WINDOWS\system32\wuweb.dll
    2007-07-30 19:19 1712984 --a------ C:\WINDOWS\system32\wuaueng.dll
    2007-07-30 19:18 33624 --a------ C:\WINDOWS\system32\wups.dll
    2007-07-29 17:51 7680 --a------ C:\WINDOWS\system32\ff_vfw.dll
    2007-07-28 00:07 783224 --a------ C:\WINDOWS\system32\aswBoot.exe
    2007-07-27 23:57 95608 --a------ C:\WINDOWS\system32\AvastSS.scr
    2007-07-25 15:24 1559040 --a------ C:\WINDOWS\system32\xvidcore.dll
    2007-06-27 03:59 344064 --a------ C:\WINDOWS\system32\ATIDEMGX.dll
    2007-06-27 03:58 269312 --a------ C:\WINDOWS\system32\ati2dvag.dll
    2007-06-27 03:56 307200 --a------ C:\WINDOWS\system32\atiiiexx.dll
    2007-06-27 03:51 26112 --a------ C:\WINDOWS\system32\Ati2mdxx.exe
    2007-06-27 03:51 143360 --a------ C:\WINDOWS\system32\atipdlxx.dll
    2007-06-27 03:51 122880 --a------ C:\WINDOWS\system32\Oemdspif.dll
    2007-06-27 03:50 43520 --a------ C:\WINDOWS\system32\ati2edxx.dll
    2007-06-27 03:50 118784 --a------ C:\WINDOWS\system32\ati2evxx.dll
    2007-06-27 03:49 483328 --a------ C:\WINDOWS\system32\ati2evxx.exe
    2007-06-27 03:48 53248 --a------ C:\WINDOWS\system32\ATIDDC.DLL
    2007-06-27 03:44 8232960 --a------ C:\WINDOWS\system32\atioglx2.dll
    2007-06-27 03:41 2940992 --a------ C:\WINDOWS\system32\ati3duag.dll
    2007-06-27 03:31 1519744 --a------ C:\WINDOWS\system32\ativvaxx.dll
    2007-06-27 03:19 5435392 --a------ C:\WINDOWS\system32\atioglxx.dll
    2007-06-27 03:17 266240 --a------ C:\WINDOWS\system32\atikvmag.dll
    2007-06-27 03:16 17408 --a------ C:\WINDOWS\system32\atitvo32.dll
    2007-06-27 03:14 176128 --a------ C:\WINDOWS\system32\atiok3x2.dll
    2007-06-27 03:10 376832 --a------ C:\WINDOWS\system32\ati2cqag.dll
    2007-06-26 08:09 1104896 --a------ C:\WINDOWS\system32\msxml3.dll
    2007-06-19 15:32 282112 --a------ C:\WINDOWS\system32\gdi32.dll
    2007-06-13 15:22 1037312 --a------ C:\WINDOWS\explorer.exe
    2007-06-09 06:14 564224 --a------ C:\WINDOWS\system32\x264vfw.dll
    .

    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "SoundMan"="SOUNDMAN.EXE" [2005-10-24 08:45 C:\WINDOWS\soundman.exe]
    "avast!"="D:\Logiciel\ALWILS~1\Avast4\ashDisp.exe" [2007-07-28 00:03]
    "StartCCC"="C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 12:35]
    "Launch LGDCore"="D:\Logiciel\Logitech\G-series Software\LGDCore.exe" [2006-03-06 17:31]
    "Launch LCDMon"="D:\Logiciel\Logitech\G-series Software\LCDMon.exe" [2006-03-06 17:14]
    "ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-11-22 21:05]
    "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00]
    "Adobe Reader Speed Launcher"="D:\Logiciel\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06]

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Online News Screensaver"="D:\Logiciel\Online News Screensaver\onsagent.exe" []

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WB]
    D:\Logiciel\AlienGUIse\fastload.dll 2001-12-20 23:34 24576 D:\Logiciel\AlienGUIse\fastload.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
    "appinit_dlls"=wbsys.dll

    .
    **************************************************************************

    catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2007-09-30 18:38:25
    Windows 5.1.2600 Service Pack 2 NTFS

    scanning hidden processes ...

    scanning hidden autostart entries ...

    scanning hidden files ...

    scan completed successfully
    hidden files: 0

    **************************************************************************
    .
    Completion time: 2007-09-30 18:39:15 - machine was rebooted
    C:\ComboFix-quarantined-files.txt ... 2007-09-30 18:39
    .
    --- E O F ---

    Rapport OTMoveIt:

    LoadLibrary failed for c:\windows\system32\awtqn.dll
    c:\windows\system32\awtqn.dll NOT unregistered.
    c:\windows\system32\awtqn.dll moved successfully.
    LoadLibrary failed for c:\windows\system32\awtqq.dll
    c:\windows\system32\awtqq.dll NOT unregistered.
    c:\windows\system32\awtqq.dll moved successfully.
    LoadLibrary failed for c:\windows\system32\awtqr.dll
    c:\windows\system32\awtqr.dll NOT unregistered.
    c:\windows\system32\awtqr.dll moved successfully.
    LoadLibrary failed for c:\windows\system32\awvtt.dll
    c:\windows\system32\awvtt.dll NOT unregistered.
    c:\windows\system32\awvtt.dll moved successfully.
    LoadLibrary failed for c:\windows\system32\ddabx.dll
    c:\windows\system32\ddabx.dll NOT unregistered.
    c:\windows\system32\ddabx.dll moved successfully.
    LoadLibrary failed for c:\windows\system32\gebya.dll
    c:\windows\system32\gebya.dll NOT unregistered.
    c:\windows\system32\gebya.dll moved successfully.
    LoadLibrary failed for c:\windows\system32\gebyw.dll
    c:\windows\system32\gebyw.dll NOT unregistered.
    c:\windows\system32\gebyw.dll moved successfully.
    LoadLibrary failed for c:\windows\system32\gebyy.dll
    c:\windows\system32\gebyy.dll NOT unregistered.
    c:\windows\system32\gebyy.dll moved successfully.
    LoadLibrary failed for c:\windows\system32\geebb.dll
    c:\windows\system32\geebb.dll NOT unregistered.
    c:\windows\system32\geebb.dll moved successfully.
    LoadLibrary failed for c:\windows\system32\jkhff.dll
    c:\windows\system32\jkhff.dll NOT unregistered.
    c:\windows\system32\jkhff.dll moved successfully.
    LoadLibrary failed for c:\windows\system32\jkhhf.dll
    c:\windows\system32\jkhhf.dll NOT unregistered.
    c:\windows\system32\jkhhf.dll moved successfully.
    LoadLibrary failed for c:\windows\system32\jkkjg.dll
    c:\windows\system32\jkkjg.dll NOT unregistered.
    c:\windows\system32\jkkjg.dll moved successfully.
    LoadLibrary failed for c:\windows\system32\jkklj.dll
    c:\windows\system32\jkklj.dll NOT unregistered.
    c:\windows\system32\jkklj.dll moved successfully.
    LoadLibrary failed for c:\windows\system32\jkkll.dll
    c:\windows\system32\jkkll.dll NOT unregistered.
    c:\windows\system32\jkkll.dll moved successfully.
    LoadLibrary failed for c:\windows\system32\mljgf.dll
    c:\windows\system32\mljgf.dll NOT unregistered.
    c:\windows\system32\mljgf.dll moved successfully.
    LoadLibrary failed for c:\windows\system32\mljgh.dll
    c:\windows\system32\mljgh.dll NOT unregistered.
    c:\windows\system32\mljgh.dll moved successfully.
    LoadLibrary failed for c:\windows\system32\mljjj.dll
    c:\windows\system32\mljjj.dll NOT unregistered.
    c:\windows\system32\mljjj.dll moved successfully.
    LoadLibrary failed for c:\windows\system32\mljjk.dll
    c:\windows\system32\mljjk.dll NOT unregistered.
    c:\windows\system32\mljjk.dll moved successfully.
    LoadLibrary failed for c:\windows\system32\mlljg.dll
    c:\windows\system32\mlljg.dll NOT unregistered.
    c:\windows\system32\mlljg.dll moved successfully.
    LoadLibrary failed for c:\windows\system32\mllmj.dll
    c:\windows\system32\mllmj.dll NOT unregistered.
    c:\windows\system32\mllmj.dll moved successfully.
    LoadLibrary failed for c:\windows\system32\mllml.dll
    c:\windows\system32\mllml.dll NOT unregistered.
    c:\windows\system32\mllml.dll moved successfully.
    LoadLibrary failed for c:\windows\system32\pmkhe.dll
    c:\windows\system32\pmkhe.dll NOT unregistered.
    c:\windows\system32\pmkhe.dll moved successfully.
    LoadLibrary failed for c:\windows\system32\pmkhf.dll
    c:\windows\system32\pmkhf.dll NOT unregistered.
    c:\windows\system32\pmkhf.dll moved successfully.
    LoadLibrary failed for c:\windows\system32\pmnlm.dll
    c:\windows\system32\pmnlm.dll NOT unregistered.
    c:\windows\system32\pmnlm.dll moved successfully.
    LoadLibrary failed for c:\windows\system32\ssqro.dll
    c:\windows\system32\ssqro.dll NOT unregistered.
    c:\windows\system32\ssqro.dll moved successfully.
    LoadLibrary failed for c:\windows\system32\sstqp.dll
    c:\windows\system32\sstqp.dll NOT unregistered.
    c:\windows\system32\sstqp.dll moved successfully.
    LoadLibrary failed for c:\windows\system32\sstts.dll
    c:\windows\system32\sstts.dll NOT unregistered.
    c:\windows\system32\sstts.dll moved successfully.
    LoadLibrary failed for c:\windows\system32\ssttu.dll
    c:\windows\system32\ssttu.dll NOT unregistered.
    c:\windows\system32\ssttu.dll moved successfully.
    LoadLibrary failed for c:\windows\system32\vtstq.dll
    c:\windows\system32\vtstq.dll NOT unregistered.
    c:\windows\system32\vtstq.dll moved successfully.
    LoadLibrary failed for c:\windows\system32\vtstu.dll
    c:\windows\system32\vtstu.dll NOT unregistered.
    c:\windows\system32\vtstu.dll moved successfully.
    LoadLibrary failed for c:\windows\system32\vturq.dll
    c:\windows\system32\vturq.dll NOT unregistered.
    c:\windows\system32\vturq.dll moved successfully.
    LoadLibrary failed for c:\windows\system32\vturs.dll
    c:\windows\system32\vturs.dll NOT unregistered.
    c:\windows\system32\vturs.dll moved successfully.
    File/Folder C:\WINDOWS\System32\gebywxx.dll not found.
    File/Folder C:\WINDOWS\System32\gebywxx.dll.vir not found.

    Created on 09/30/2007 18:34:19

    Rapport HiJackThis:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 18:43, on 30/09/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    D:\Logiciel\Alwil Software\Avast4\aswUpdSv.exe
    D:\Logiciel\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\spoolsv.exe
    D:\Logiciel\AlienGUIse\wbload.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    D:\Logiciel\Alwil Software\Avast4\ashMaiSv.exe
    D:\Logiciel\Alwil Software\Avast4\ashWebSv.exe
    C:\WINDOWS\SOUNDMAN.EXE
    D:\Logiciel\ALWILS~1\Avast4\ashDisp.exe
    D:\Logiciel\Logitech\G-series Software\LGDCore.exe
    D:\Logiciel\Logitech\G-series Software\LCDMon.exe
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
    D:\Logiciel\Adobe\Reader 8.0\Reader\Reader_sl.exe
    D:\Logiciel\Logitech\G-series Software\Applets\LCDPop3\LCDPOP3.exe
    D:\Logiciel\Logitech\G-series Software\Applets\LCDMedia.exe
    D:\Logiciel\Logitech\G-series Software\Applets\LCDClock.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\WINDOWS\system32\wuauclt.exe
    D:\Logiciel\Mozilla Firefox 2\firefox.exe
    C:\WINDOWS\system32\NOTEPAD.EXE
    C:\Documents and Settings\Neolink\Bureau\Utilitaires\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.files-ftp.com/~unicorni/phpBB2/index.php
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [avast!] D:\Logiciel\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
    O4 - HKLM\..\Run: [Launch LGDCore] "D:\Logiciel\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
    O4 - HKLM\..\Run: [Launch LCDMon] "D:\Logiciel\Logitech\G-series Software\LCDMon.exe"
    O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Logiciel\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKCU\..\Run: [Online News Screensaver] D:\Logiciel\Online News Screensaver\onsagent.exe
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O14 - IERESET.INF: START_PAGE_URL=http://www.files-ftp.com/~unicorni/phpBB2/index.php
    O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Program Files\Yahoo!\Common\Yinsthelper.dll
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Logiciel\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: avast! Antivirus - ALWIL Software - D:\Logiciel\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - D:\Logiciel\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - D:\Logiciel\Alwil Software\Avast4\ashWebSv.exe

    Encore merci pour l'aide que tu apporte, apparement sur le rapport HiJackThis la saletée ConHook ne serait plus là ^^
    0
  11. papyber Messages postés 6430 Statut Contributeur sécurité 257
     
    je pense qu'on a bien avancé
    fais encore ceci
    Télécharge clean.zip, de Malekal
    http://www.malekal.com/download/clean.zip

    décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean.
    Ouvre le dossier clean qui se trouve sur ton bureau, et double-clic sur clean.cmd, une fenêtre noire va apparaître pendant un instant, laisse la ouverte.
    Choisis l'option 1 puis patiente
    poste le rapport obtenu
    0
  12. Neolink
     
    Rapport:

    30/09/2007 a 19:32:52,75

    *** Recherche des fichiers dans C:

    *** Recherche des fichiers dans C:\WINDOWS\

    *** Recherche des fichiers dans C:\WINDOWS\system32
    C:\WINDOWS\system32\SpoonUninstall.exe FOUND

    *** Recherche des fichiers dans C:\Program Files
    *** Fin du rapport !
    0
  13. papyber Messages postés 6430 Statut Contributeur sécurité 257
     
    télécharge AVG Antispyware
    https://www.avg.com/en-ww/free-antivirus-download
    mode d'utilisation :
    Lance AVG Anti-Spyware, mets le à jour,
    Clique sur le bouton « Analyse » onglet « paramètres »
    Puis « Comment réagir », clique sur Actions recommandées. Sélectionne Quarantaine

    Télécharge : - CCleaner
    https://www.pcastuces.com/logitheque/ccleaner.htm
    Ce logiciel va permettre de supprimer tous les fichiers temporaires. Avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires". Ensuite, Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. C'est tout.
    Un tuto
    http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm

    Comment aller en Mode sans échec lettre C
    https://forum.pcastuces.com/sujet.asp?f=25&s=3902
    1) Redémarre ton ordi
    2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip"
    3) Tu verras un écran avec options de démarrage apparaître
    4) Choisis la première option : Sans Échec, et valide avec "Entrée"
    5) Choisis ton compte habituel, et non Administrateur

    Redémarre en mode sans échec, copie ou imprime ce qui suit car tu n'auras pas accès à internet

    1*
    lance CCleaner , nettoyeur, et supprime tout ce qu'il trouve
    lance CCleaner erreur et supprime tout ce qu'il trouve
    2*
    lance avg antispyware
    Retour à l'onglet Analyse.
    Clique sur Analyse complète du système.
    A la fin du scan, choisis " Appliquer toutes les actions "
    Clique sur "Enregistrer le rapport". Le fichier texte se trouve dans le dossier Rapports du dossier d'AVG Anti-Spyware
    3*
    Ouvre le dossier jaune nommé clean sur ton bureau.
    Double-clique sur clean.cmd
    Choisis l'option 2 et copie sur le bureau le rapport généré.
    Si une fenêtre s'ouvre, laisse-la.
    Clique sur Q pour quitter le programme.

    redémarre normalement et poste moi les rapports obtenus

    AVG antispyware
    Clean .txt
    ainsi qu'un scan HijackThis.
    0
  14. Neolink
     
    Bonjour :)
    Je tiens à signaler, que ce p**** de Trojan ConHook est mort :D
    Après avoir suivi toutes tes explications j'ai réussi à l'éliminer.
    Merci beaucoup pour ton aide Papyber :D Très sympathique de ta part !
    0
  15. papyber Messages postés 6430 Statut Contributeur sécurité 257
     
    fais ceci en contrôle final
    faire un scan antivirus en ligne avec internet explorer et accepter l'activex
    poster le rapport ici ensuite
    https://www.bitdefender.fr/

    En bas, à gauche de la fenêtre, clique sur BitDefender SCAN ONLINE
    Dans la nouvelle fenêtre, clique sur I agree
    La fenêtre change encore, clique sur Click here to scan
    Les signatures se chargent, etc.

    tuto en image
    http://pageperso.aol.fr/rginformatique/mapage/defender.htm
    0