Virus ConHook sème la zizanie sur mon PC :s

Résolu/Fermé

Neolink - 30 sept. 2007 à 14:05
papyber Messages postés 6406 Date d'inscription samedi 24 mars 2007 Statut Contributeur sécurité Dernière intervention 3 octobre 2010 - 2 oct. 2007 à 17:55

Bonjour à tous
Je me suis pris le cheval de troie, ConHook, un message de mon antivirus s'affiche n'importe quand et m'informe qu'une dll bizarre rode dans system32.
J'ai avast.
Voici un log de HiJackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:59:15, on 30/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
D:\Logiciel\Alwil Software\Avast4\aswUpdSv.exe
D:\Logiciel\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
D:\Logiciel\Alwil Software\Avast4\ashMaiSv.exe
D:\Logiciel\Alwil Software\Avast4\ashWebSv.exe
D:\Logiciel\AlienGUIse\wbload.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
D:\Logiciel\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBEE.EXE
D:\Logiciel\Logitech\G-series Software\LGDCore.exe
D:\Logiciel\Logitech\G-series Software\LCDMon.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
D:\Logiciel\Logitech\G-series Software\Applets\LCDPop3\LCDPOP3.exe
D:\Logiciel\Logitech\G-series Software\Applets\LCDClock.exe
D:\Logiciel\Logitech\G-series Software\Applets\LCDMedia.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
D:\Logiciel\Mozilla Firefox 2\firefox.exe
D:\Logiciel\Winrar\WinRAR.exe
C:\DOCUME~1\Neolink\LOCALS~1\Temp\Rar$EX00.563\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.files-ftp.com/~unicorni/phpBB2/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {837B45D6-BF85-457D-AABF-6D2E7815F791} - C:\WINDOWS\system32\gebywxx.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avast!] D:\Logiciel\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [EPSON Stylus DX4000 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBEE.EXE /FU "C:\WINDOWS\TEMP\E_S81.tmp" /EF "HKLM"
O4 - HKLM\..\Run: [Launch LGDCore] "D:\Logiciel\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Launch LCDMon] "D:\Logiciel\Logitech\G-series Software\LCDMon.exe"
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Logiciel\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [Online News Screensaver] D:\Logiciel\Online News Screensaver\onsagent.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.files-ftp.com/~unicorni/phpBB2/index.php
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Program Files\Yahoo!\Common\Yinsthelper.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: gebywxx - C:\WINDOWS\SYSTEM32\gebywxx.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Logiciel\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - D:\Logiciel\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - D:\Logiciel\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - D:\Logiciel\Alwil Software\Avast4\ashWebSv.exe

A voir également:

Virus ConHook sème la zizanie sur mon PC :s
Test performance pc - Guide
Plus de son sur mon pc - Guide
Mon pc rame que faire - Guide
Reinitialiser pc - Guide
Mon pc s'allume mais ne démarre pas windows 10 - Guide

14 réponses

Réponse 1 / 14

papyber Messages postés 6406 Date d'inscription samedi 24 mars 2007 Statut Contributeur sécurité Dernière intervention 3 octobre 2010 257
30 sept. 2007 à 14:09

Télécharge VundoFix.exe (par Atribune) sur ton Bureau
http://www.atribune.org/ccount/click.php?id=4
clic double sur VundoFix.exe afin de le lancer
clic sur le bouton Scan for Vundo
Lorsque le scan est complété, clic sur le bouton Remove Vundo
Une invite te demandera si tu veux supprimer les fichiers, clic YES
Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
Tu verras une invite qui t'annonce que ton PC va redémarrer;
clic OK
Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clic sur le bouton Scan for Vundo".
Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis dans ta prochaine réponse

Réponse 2 / 14

Neolink
30 sept. 2007 à 14:37

Donc après avoir passer le VundoFix 3 fois (il n'a pas delet le fichier), j'obtient ce rapport:

VundoFix V6.5.9

Checking Java version...

Scan started at 14:20:41 30/09/2007

Listing files found while scanning....

C:\windows\system32\gebywxx.dll

Beginning removal...

Attempting to delete C:\windows\system32\gebywxx.dll
C:\windows\system32\gebywxx.dll Could not be deleted.

Performing Repairs to the registry.
Done!

Beginning removal...

Attempting to delete C:\windows\system32\gebywxx.dll
C:\windows\system32\gebywxx.dll Could not be deleted.

Performing Repairs to the registry.
Done!

VundoFix V6.5.9

Checking Java version...

Scan started at 14:27:24 30/09/2007

Listing files found while scanning....

C:\WINDOWS\system32\gebywxx.dll

Ensuite j'ai fais un scan puis log avec HiJackThis, voici le rapport:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:33:20, on 30/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
D:\Logiciel\Alwil Software\Avast4\aswUpdSv.exe
D:\Logiciel\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Logiciel\AlienGUIse\wbload.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\Neolink\Bureau\vundofix.exe
C:\WINDOWS\system32\svchost.exe
D:\Logiciel\Alwil Software\Avast4\ashMaiSv.exe
D:\Logiciel\Alwil Software\Avast4\ashWebSv.exe
D:\LOGICIEL\MOZILL~2\FIREFOX.EXE
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\DOCUME~1\Neolink\LOCALS~1\Temp\Rar$EX00.062\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.files-ftp.com/~unicorni/phpBB2/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {837B45D6-BF85-457D-AABF-6D2E7815F791} - C:\WINDOWS\system32\gebywxx.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avast!] D:\Logiciel\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [EPSON Stylus DX4000 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBEE.EXE /FU "C:\WINDOWS\TEMP\E_S81.tmp" /EF "HKLM"
O4 - HKLM\..\Run: [Launch LGDCore] "D:\Logiciel\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Launch LCDMon] "D:\Logiciel\Logitech\G-series Software\LCDMon.exe"
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Logiciel\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [Online News Screensaver] D:\Logiciel\Online News Screensaver\onsagent.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.files-ftp.com/~unicorni/phpBB2/index.php
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Program Files\Yahoo!\Common\Yinsthelper.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: gebywxx - C:\WINDOWS\SYSTEM32\gebywxx.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Logiciel\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - D:\Logiciel\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - D:\Logiciel\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - D:\Logiciel\Alwil Software\Avast4\ashWebSv.exe

Réponse 3 / 14

papyber Messages postés 6406 Date d'inscription samedi 24 mars 2007 Statut Contributeur sécurité Dernière intervention 3 octobre 2010 257
30 sept. 2007 à 14:53

on va essayer comme cela, si cela ne marche pas, on emploiera l'artillerie lourde!!!lol!!
vundo est souvent récalcitrant
il en reste donc tu fais ceci en suivant bien les consignes
Relance Vundofix

http://www.atribune.org/ccount/click.php?id=4

* Ne clique pas sur "Scan for a vundo"
* Clique droit au milieu de la fenêtre
* Clique sur Add more files ?
* Copie/colle les fichiers ci-dessous ( un par case) :

C:\windows\system32\gebywxx.dll

* Clique sur Add files
* Ensuite clique sur Close Windows
* Enfin, clique sur Remove Vundo ( les fichiers précédents doivent apparaitre dans la fenêtre principale)
* Si l'outils demande un redémarrage, accepte
· Poste le rapport Vundofix, ainsi qu'un nouveau log hijackthis

si le fichier n'est toujours pas supprimé, tu feras ceci
* Télécharge VirtumundoBeGone sur ton bureau .

* double-clic sur VirtumundoBeGone.exe

* Suis les instructions à l'écran

* Quand le scan est terminé, enregistre le rapport.

* Copie/Colle le ici

poste les rapports obtenus et un rapport Hijack This

Réponse 4 / 14

FillPCA Messages postés 2242 Date d'inscription samedi 21 avril 2007 Statut Contributeur sécurité Dernière intervention 18 février 2023 123
30 sept. 2007 à 14:53

Bonjour à tous,
Pour suivre. Cette variante est assez coriace.

FillPCA

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question

Réponse 5 / 14

Neolink
30 sept. 2007 à 15:06

Voici le rapport VirtumundoBeGone.exe:

[09/30/2007, 14:58:34] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\Neolink\Bureau\VirtumundoBeGone.exe" )
[09/30/2007, 14:59:00] - Detected System Information:
[09/30/2007, 14:59:00] - Windows Version: 5.1.2600, Service Pack 2
[09/30/2007, 14:59:00] - Current Username: Neolink (Admin)
[09/30/2007, 14:59:00] - Windows is in NORMAL mode.
[09/30/2007, 14:59:00] - Searching for Browser Helper Objects:
[09/30/2007, 14:59:00] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Aide pour le lien d'Adobe PDF Reader)
[09/30/2007, 14:59:00] - BHO 2: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[09/30/2007, 14:59:00] - BHO 3: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()
[09/30/2007, 14:59:00] - WARNING: BHO has no default name. Checking for Winlogon reference.
[09/30/2007, 14:59:00] - No filename found. Continuing.
[09/30/2007, 14:59:00] - BHO 4: {837B45D6-BF85-457D-AABF-6D2E7815F791} ()
[09/30/2007, 14:59:00] - WARNING: BHO has no default name. Checking for Winlogon reference.
[09/30/2007, 14:59:00] - Checking for HKLM\...\Winlogon\Notify\gebywxx
[09/30/2007, 14:59:00] - Found: HKLM\...\Winlogon\Notify\gebywxx - This is probably Virtumundo.
[09/30/2007, 14:59:00] - Assigning {837B45D6-BF85-457D-AABF-6D2E7815F791} MSEvents Object
[09/30/2007, 14:59:00] - BHO list has been changed! Starting over...
[09/30/2007, 14:59:00] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Aide pour le lien d'Adobe PDF Reader)
[09/30/2007, 14:59:00] - BHO 2: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[09/30/2007, 14:59:00] - BHO 3: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()
[09/30/2007, 14:59:00] - WARNING: BHO has no default name. Checking for Winlogon reference.
[09/30/2007, 14:59:00] - No filename found. Continuing.
[09/30/2007, 14:59:00] - BHO 4: {837B45D6-BF85-457D-AABF-6D2E7815F791} (MSEvents Object)
[09/30/2007, 14:59:00] - ALERT: Found MSEvents Object!
[09/30/2007, 14:59:00] - Finished Searching Browser Helper Objects
[09/30/2007, 14:59:00] - *** Detected MSEvents Object
[09/30/2007, 14:59:00] - Trying to remove MSEvents Object...
[09/30/2007, 14:59:01] - Terminating Process: IEXPLORE.EXE
[09/30/2007, 14:59:01] - Terminating Process: RUNDLL32.EXE
[09/30/2007, 14:59:01] - Disabling Automatic Shell Restart
[09/30/2007, 14:59:01] - Terminating Process: EXPLORER.EXE
[09/30/2007, 14:59:02] - Suspending the NT Session Manager System Service
[09/30/2007, 14:59:02] - Terminating Windows NT Logon/Logoff Manager
[09/30/2007, 14:59:02] - Re-enabling Automatic Shell Restart
[09/30/2007, 14:59:02] - File to disable: C:\WINDOWS\system32\gebywxx.dll
[09/30/2007, 14:59:02] - Renaming C:\WINDOWS\system32\gebywxx.dll -> C:\WINDOWS\system32\gebywxx.dll.vir
[09/30/2007, 14:59:02] - File successfully renamed!
[09/30/2007, 14:59:02] - Removing HKLM\...\Browser Helper Objects\{837B45D6-BF85-457D-AABF-6D2E7815F791}
[09/30/2007, 14:59:02] - Removing HKCR\CLSID\{837B45D6-BF85-457D-AABF-6D2E7815F791}
[09/30/2007, 14:59:02] - Adding Kill Bit for ActiveX for GUID: {837B45D6-BF85-457D-AABF-6D2E7815F791}
[09/30/2007, 14:59:02] - Deleting ATLEvents/MSEvents Registry entries
[09/30/2007, 14:59:02] - Removing HKLM\...\Winlogon\Notify\gebywxx
[09/30/2007, 14:59:02] - Searching for Browser Helper Objects:
[09/30/2007, 14:59:02] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Aide pour le lien d'Adobe PDF Reader)
[09/30/2007, 14:59:02] - BHO 2: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[09/30/2007, 14:59:02] - BHO 3: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()
[09/30/2007, 14:59:02] - WARNING: BHO has no default name. Checking for Winlogon reference.
[09/30/2007, 14:59:02] - No filename found. Continuing.
[09/30/2007, 14:59:02] - Finished Searching Browser Helper Objects
[09/30/2007, 14:59:02] - Finishing up...
[09/30/2007, 14:59:02] - A restart is needed.
[09/30/2007, 14:59:05] - Attempting to Restart via STOP error (Blue Screen!)

Voici le rapport HiJackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:02:26, on 30/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
D:\Logiciel\Alwil Software\Avast4\aswUpdSv.exe
D:\Logiciel\Alwil Software\Avast4\ashServ.exe
D:\Logiciel\AlienGUIse\wbload.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
D:\Logiciel\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBEE.EXE
C:\WINDOWS\system32\svchost.exe
D:\Logiciel\Logitech\G-series Software\LGDCore.exe
D:\Logiciel\Logitech\G-series Software\LCDMon.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
D:\Logiciel\Adobe\Reader 8.0\Reader\Reader_sl.exe
D:\Logiciel\Alwil Software\Avast4\ashMaiSv.exe
D:\Logiciel\Logitech\G-series Software\Applets\LCDPop3\LCDPOP3.exe
D:\Logiciel\Alwil Software\Avast4\ashWebSv.exe
D:\Logiciel\Logitech\G-series Software\Applets\LCDClock.exe
D:\Logiciel\Logitech\G-series Software\Applets\LCDMedia.exe
C:\WINDOWS\system32\NOTEPAD.EXE
D:\Logiciel\Mozilla Firefox 2\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Neolink\Bureau\Utilitaires\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.files-ftp.com/~unicorni/phpBB2/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avast!] D:\Logiciel\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [EPSON Stylus DX4000 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBEE.EXE /FU "C:\WINDOWS\TEMP\E_S81.tmp" /EF "HKLM"
O4 - HKLM\..\Run: [Launch LGDCore] "D:\Logiciel\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Launch LCDMon] "D:\Logiciel\Logitech\G-series Software\LCDMon.exe"
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Logiciel\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [Online News Screensaver] D:\Logiciel\Online News Screensaver\onsagent.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.files-ftp.com/~unicorni/phpBB2/index.php
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Program Files\Yahoo!\Common\Yinsthelper.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Logiciel\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - D:\Logiciel\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - D:\Logiciel\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - D:\Logiciel\Alwil Software\Avast4\ashWebSv.exe

VundoFix n'a rien fait, il ne veut pas delet le fichier ...

L'ennuie c'est que plusieurs dll sont infecté, et avast me le dit n'importe quand, je commence à en avoir marre des petits idiots et leurs virus, ils peuvent se les mettre là ou je pense :O
Bref, je te merci de consacrer un peu de ton temps pour m'aider ^^

Réponse 6 / 14

papyber Messages postés 6406 Date d'inscription samedi 24 mars 2007 Statut Contributeur sécurité Dernière intervention 3 octobre 2010 257
30 sept. 2007 à 15:17

virtumonde l'a supprimé.
quels sont les fichiers infectés détectés par Avast? il les a mis en quarantaine?
donne les moi ainsi que le chemin

on va vérifier s'il reste quelque chose
Télécharge DiagHelp.zip sur ton bureau
http://www.malekal.com/download/DiagHelp.zip
Tuto : http://www.malekal.com/DiagHelp/DiagHelp.php
Ne double-clique pas dessus !! Fais un clic droit sur le fichier et extraire tout.
Un nouveau dossier chercher va être créé.
Ouvre le et double-clic sur go.cmd (le .cmd peut ne pas apparaître)
Une fenêtre va s'ouvrir, choisis l'option 1
L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande.
Pendant l'analyse après le rapport CATCHME sur l'écran rouge, tu dois appuyer sue entrée pour que l'outil continue ses recherches. Suis les consignes écrites.
Une fenêtre avec le rapport s'ouvre alors. Copie/colle son contenu. (Il se trouve aussi ici : c:\resultat.txt)
Double-clique sur ce fichier, Fais CTRL+A puis CTRL+C.
Dans ta prochaine réponse, colle le rapport en faisant CTRL+V.

Réponse 7 / 14

Neolink
30 sept. 2007 à 17:09

Excuse moi de répondre un peu tard, j'ai un gros rhume, mal de gorge, fièvre, fatigue et mal de tête, à part ça, ça va xD
Bon voici le rapport effectué grâce à DiagHelp (un petit peu long)

DiagHelp version v1.2 - http://www.malekal.com
excute le 30/09/2007 à 16:48:58,26

Liste des derniers fichies modifies/crees dans windir\system32 et prefetch
C:\WINDOWS\prefetch\CHCP.COM-18156052.pf -->30/09/2007 16:48:52
C:\WINDOWS\prefetch\MSNMSGR.EXE-366A1A81.pf -->30/09/2007 16:48:40
C:\WINDOWS\prefetch\CMD.EXE-087B4001.pf -->30/09/2007 16:48:35
C:\WINDOWS\prefetch\CLI.EXE-06A4F0BB.pf -->30/09/2007 16:48:02
C:\WINDOWS\prefetch\WINRAR.EXE-2F90D3C3.pf -->30/09/2007 16:47:37
C:\WINDOWS\prefetch\FIREFOX.EXE-1BAC6EA8.pf -->30/09/2007 16:45:59
C:\WINDOWS\prefetch\LOGONUI.EXE-0AF22957.pf -->30/09/2007 16:45:53
C:\WINDOWS\prefetch\VERCLSID.EXE-3667BD89.pf -->30/09/2007 15:07:00
C:\WINDOWS\prefetch\NOTEPAD.EXE-336351A9.pf -->30/09/2007 15:02:36
C:\WINDOWS\prefetch\HIJACKTHIS.EXE-00E53510.pf -->30/09/2007 15:02:32

C:\WINDOWS\System32\drivers\aswmon.sys -->28/07/2007 00:02:49
C:\WINDOWS\System32\drivers\aswmon2.sys -->28/07/2007 00:02:34
C:\WINDOWS\System32\drivers\aswRdr.sys -->28/07/2007 00:00:39
C:\WINDOWS\System32\drivers\aswTdi.sys -->27/07/2007 23:59:57
C:\WINDOWS\System32\drivers\aavmker4.sys -->27/07/2007 23:58:36
C:\WINDOWS\System32\drivers\ativvpxx.vp -->27/06/2007 04:27:56
C:\WINDOWS\System32\drivers\ati2mtag.sys -->27/06/2007 03:58:18

C:\WINDOWS\System32\VundoFixSVC.exe -->30/09/2007 14:25:11
C:\WINDOWS\System32\wpa.dbl -->30/09/2007 09:40:47
C:\WINDOWS\System32\mljjg.dll -->25/09/2007 18:36:27
C:\WINDOWS\System32\gebywxx.dll.vir -->23/09/2007 12:42:55
C:\WINDOWS\System32\SpoonUninstall.exe -->22/09/2007 10:55:06
C:\WINDOWS\System32\SpoonUninstall-dBpoweramp DirectShow Decoder.dat -->22/09/2007 10:54:13
C:\WINDOWS\System32\SpoonUninstall-dBpoweramp DirectShow Decoder.bmp -->22/09/2007 10:54:03
C:\WINDOWS\System32\SpoonUninstall-dBpoweramp Real Audio (Helix) Encoder.dat -->21/09/2007 19:20:56
C:\WINDOWS\System32\SpoonUninstall-dBpoweramp Real Audio (Helix) Encoder.bmp -->21/09/2007 19:20:48
C:\WINDOWS\System32\pncrt.dll -->21/09/2007 19:05:38
C:\WINDOWS\System32\jupdate-1.6.0_02-b06.log -->07/09/2007 12:34:52
C:\WINDOWS\System32\ati64hlp.stb -->04/09/2007 09:24:27
C:\WINDOWS\System32\ati64hl2.stb -->03/09/2007 10:44:18
C:\WINDOWS\System32\FNTCACHE.DAT -->02/09/2007 14:12:40
C:\WINDOWS\System32\TZLog.log -->01/09/2007 17:17:40
C:\WINDOWS\System32\PerfStringBackup.INI -->01/09/2007 11:07:34
C:\WINDOWS\System32\perfh00C.dat -->01/09/2007 11:07:34
C:\WINDOWS\System32\perfh009.dat -->01/09/2007 11:07:34
C:\WINDOWS\System32\perfc00C.dat -->01/09/2007 11:07:34
C:\WINDOWS\System32\perfc009.dat -->01/09/2007 11:07:34
C:\WINDOWS\System32\BASSMOD.dll -->31/08/2007 19:19:04
C:\WINDOWS\System32\BuzzingBee.wav -->30/08/2007 20:44:05
C:\WINDOWS\System32\LoopyMusic.wav -->30/08/2007 20:44:04
C:\WINDOWS\System32\AeXSetup.log -->30/08/2007 10:58:52
C:\WINDOWS\System32\CONFIG.NT -->30/08/2007 10:52:52

C:\WINDOWS\WindowsUpdate.log -->30/09/2007 15:07:07
C:\WINDOWS\0.log -->30/09/2007 15:00:15
C:\WINDOWS\wiadebug.log -->30/09/2007 15:00:13
C:\WINDOWS\wiaservc.log -->30/09/2007 15:00:12
C:\WINDOWS\bootstat.dat -->30/09/2007 14:59:53
C:\WINDOWS\SchedLgU.Txt -->29/09/2007 20:08:13
C:\WINDOWS\setupapi.log -->25/09/2007 14:45:25
C:\WINDOWS\setupact.log -->20/09/2007 19:47:31
C:\WINDOWS\ALCFDRTM.VER -->08/09/2007 19:49:01
C:\WINDOWS\EPSTPLOG.TXT -->08/09/2007 14:21:49
C:\WINDOWS\EPSMTL32.TXT -->08/09/2007 14:21:46
C:\WINDOWS\CDE DX4000EFDG.ini -->08/09/2007 14:21:03
C:\WINDOWS\epsswt_log.txt -->08/09/2007 14:20:34
C:\WINDOWS\mozver.dat -->07/09/2007 12:34:57
C:\WINDOWS\wmsetup.log -->04/09/2007 14:22:02

MD5 des fichiers sensibles
tcpip.sys 1dbf125862891817f374f407626967f4
ndis.sys 558635d3af1c7546d26067d5d9b6959e
null.sys 73c1e1f395918bc2c6dd67af7591a3ad
svchost.exe 1bd6c2f707a275cb7c16fd99fe0f31ca

Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 0035-CE79

Répertoire de C:\WINDOWS\temp

20/10/2005 11:12 217 088 alcrmv.exe
12/08/2005 12:40 307 200 alcupd.exe
15/07/2005 10:48 40 960 ChCfg.exe
24/10/2005 08:55 10 459 648 RTLCPL.exe
24/10/2005 08:45 90 112 soundman.exe
5 fichier(s) 11 115 008 octets
0 Rép(s) 1 257 115 648 octets libres

Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 0035-CE79

Répertoire de C:\WINDOWS\system32

04/08/2004 00:54 6 144 csrss.exe
1 fichier(s) 6 144 octets
0 Rép(s) 1 257 115 648 octets libres

Contenu de Downloaded Program Files
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 0035-CE79

Répertoire de C:\WINDOWS\Downloaded Program Files

08/09/2007 14:26 <REP> .
08/09/2007 14:26 <REP> ..
30/08/2007 05:12 65 desktop.ini
25/07/2002 17:13 24 576 dwusplay.dll
25/07/2002 17:13 196 608 dwusplay.exe
25/07/2002 17:05 172 032 isusweb.dll
4 fichier(s) 393 281 octets

Total des fichiers listés :
4 fichier(s) 393 281 octets
2 Rép(s) 1 257 115 648 octets libres

Recherche de rootkit! (Merci S!Ri)

Recherche d'infections connues

Export des clefs sensibles..

Liste des fichiers en exception sur le pare-feu XP SP2

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"D:\\Logiciel\\Teamspeak2_RC2 Server\\server_windows.exe"="D:\\Logiciel\\Teamspeak2_RC2 Server\\server_windows.exe:*:Enabled:Server"
"D:\\Jeux\\Valve\\Steam\\steamapps\\neolinkp6\\half-life\\hl.exe"="D:\\Jeux\\Valve\\Steam\\steamapps\\neolinkp6\\half-life\\hl.exe:*:Enabled:Half-Life Launcher"
"D:\\Logiciel\\eMule\\emule.exe"="D:\\Logiciel\\eMule\\emule.exe:*:Enabled:eMule"
"D:\\Logiciel\\iMesh Applications\\iMesh\\iMesh.exe"="D:\\Logiciel\\iMesh Applications\\iMesh\\iMesh.exe:*:Enabled:iMesh"
"D:\\Logiciel\\Mozilla Firefox 2\\firefox.exe"="D:\\Logiciel\\Mozilla Firefox 2\\firefox.exe:*:Enabled:Firefox"
"C:\\Program Files\\Skype\\Phone\\Skype.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe:*:Enabled:Skype. Take a deep breath "

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

Export de la clef SharedTaskScheduler

[SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

exports des policies
REGEDIT4

[system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

Export des clefs sensibles..
Rechercher adresses sensibles dans le fichier HOSTS...
catchme 0.3.1160 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-09-30 16:49:11
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden services: 0
hidden files: 0

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Process list by traversal of KiWaitListHead

248 - soundman.exe
260 - ashDisp.exe
284 - E_FATIBEE.EXE
512 - LGDCore.exe
628 - csrss.exe
664 - winlogon.exe
708 - services.exe
720 - lsass.exe
828 - LCDMon.exe
884 - svchost.exe
956 - svchost.exe
1048 - atiptaxx.exe
1092 - svchost.exe
1148 - ati2evxx.exe
1204 - svchost.exe
1356 - svchost.exe
1388 - cmd.exe
1508 - ashServ.exe
1740 - ashMaiSv.exe
1756 - msnmsgr.exe
1808 - spoolsv.exe
1904 - ashWebSv.exe
1992 - LCDPOP3.exe
2004 - explorer.exe
2148 - LCDClock.exe
2220 - LCDMedia.exe
2280 - firefox.exe
2564 - alg.exe
3448 - usnsvc.exe

Total number of processes = 29
NOTE: Under WinXP, this will not show all processes.

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Driver/Module list by traversal of PsLoadedModuleList

804D7000 - \WINDOWS\system32\ntkrnlpa.exe
806CE000 - \WINDOWS\system32\hal.dll
BADA8000 - \WINDOWS\system32\KDCOM.DLL
BACB8000 - \WINDOWS\system32\BOOTVID.dll
BA778000 - ACPI.sys
BADAA000 - \WINDOWS\system32\DRIVERS\WMILIB.SYS
BA767000 - pci.sys
BA8A8000 - isapnp.sys
BAE70000 - pciide.sys
BAB28000 - \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
BA8B8000 - MountMgr.sys
BA748000 - ftdisk.sys
BADAC000 - dmload.sys
BA722000 - dmio.sys
BAB30000 - PartMgr.sys
BA8C8000 - VolSnap.sys
BA70A000 - atapi.sys
BA6F3000 - nvata.sys
BA8D8000 - disk.sys
BA8E8000 - \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
BA6D3000 - fltMgr.sys
BA6C1000 - sr.sys
BA8F8000 - PxHelp20.sys
BA6AA000 - KSecDD.sys
BA61D000 - Ntfs.sys
BA5F0000 - NDIS.sys
BA5D5000 - Mup.sys
BA9F8000 - \SystemRoot\system32\DRIVERS\processr.sys
BAB60000 - \SystemRoot\system32\DRIVERS\usbohci.sys
B9D57000 - \SystemRoot\system32\DRIVERS\USBPORT.SYS
BAB68000 - \SystemRoot\system32\DRIVERS\usbehci.sys
B9461000 - \SystemRoot\system32\drivers\ALCXWDM.SYS
B943D000 - \SystemRoot\system32\drivers\portcls.sys
BAA88000 - \SystemRoot\system32\drivers\drmk.sys
B941A000 - \SystemRoot\system32\drivers\ks.sys
BAA98000 - \SystemRoot\system32\DRIVERS\imapi.sys
BAAA8000 - \SystemRoot\system32\DRIVERS\cdrom.sys
BAAC8000 - \SystemRoot\system32\DRIVERS\redbook.sys
BA599000 - \SystemRoot\system32\DRIVERS\nvnetbus.sys
B93DA000 - \SystemRoot\system32\DRIVERS\NVNRM.SYS
B93A7000 - \SystemRoot\system32\DRIVERS\NVSNPU.SYS
B9142000 - \SystemRoot\system32\DRIVERS\ati2mtag.sys
B1216000 - \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
B493E000 - \SystemRoot\system32\DRIVERS\ASACPI.sys
B67A0000 - \SystemRoot\system32\DRIVERS\fdc.sys
B1205000 - \SystemRoot\system32\DRIVERS\serial.sys
B8707000 - \SystemRoot\system32\DRIVERS\serenum.sys
B11F1000 - \SystemRoot\system32\DRIVERS\parport.sys
BAF4A000 - \SystemRoot\system32\drivers\msmpu401.sys
B8703000 - \SystemRoot\system32\DRIVERS\gameenum.sys
BAF4B000 - \SystemRoot\system32\DRIVERS\audstub.sys
BA978000 - \SystemRoot\system32\DRIVERS\rasl2tp.sys
B86FF000 - \SystemRoot\system32\DRIVERS\ndistapi.sys
B11DA000 - \SystemRoot\system32\DRIVERS\ndiswan.sys
BA988000 - \SystemRoot\system32\DRIVERS\raspppoe.sys
BA998000 - \SystemRoot\system32\DRIVERS\raspptp.sys
B6798000 - \SystemRoot\system32\DRIVERS\TDI.SYS
B11C9000 - \SystemRoot\system32\DRIVERS\psched.sys
B7F74000 - \SystemRoot\system32\DRIVERS\msgpc.sys
B6790000 - \SystemRoot\system32\DRIVERS\ptilink.sys
B6788000 - \SystemRoot\system32\DRIVERS\raspti.sys
B1198000 - \SystemRoot\system32\DRIVERS\rdpdr.sys
BA9A8000 - \SystemRoot\system32\DRIVERS\termdd.sys
B6780000 - \SystemRoot\system32\DRIVERS\kbdclass.sys
B6778000 - \SystemRoot\system32\DRIVERS\mouclass.sys
B493C000 - \SystemRoot\system32\DRIVERS\swenum.sys
B1164000 - \SystemRoot\system32\DRIVERS\update.sys
B6154000 - \SystemRoot\system32\DRIVERS\mssmbios.sys
BA9B8000 - \SystemRoot\system32\DRIVERS\usbhub.sys
B493A000 - \SystemRoot\system32\DRIVERS\USBD.SYS
BA9C8000 - \SystemRoot\System32\Drivers\NDProxy.SYS
BA9E8000 - \SystemRoot\system32\DRIVERS\NVENETFD.sys
B6392000 - \SystemRoot\system32\DRIVERS\flpydisk.sys
B4934000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS
B139E000 - \SystemRoot\System32\Drivers\Null.SYS
B384C000 - \SystemRoot\System32\Drivers\Beep.SYS
B6382000 - \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
B4CC6000 - \SystemRoot\System32\drivers\vga.sys
B384A000 - \SystemRoot\System32\Drivers\mnmdd.SYS
B3848000 - \SystemRoot\System32\DRIVERS\RDPCDD.sys
B4CA6000 - \SystemRoot\System32\Drivers\Msfs.SYS
B4C9E000 - \SystemRoot\System32\Drivers\Npfs.SYS
B39F8000 - \SystemRoot\system32\DRIVERS\rasacd.sys
A5065000 - \SystemRoot\system32\DRIVERS\ipsec.sys
A500D000 - \SystemRoot\system32\DRIVERS\tcpip.sys
B86A3000 - \SystemRoot\System32\Drivers\aswTdi.SYS
A4FE5000 - \SystemRoot\system32\DRIVERS\netbt.sys
A4FC3000 - \SystemRoot\System32\drivers\afd.sys
B8693000 - \SystemRoot\system32\DRIVERS\netbios.sys
A4F98000 - \SystemRoot\system32\DRIVERS\rdbss.sys
A4F29000 - \SystemRoot\system32\DRIVERS\mrxsmb.sys
B8683000 - \SystemRoot\System32\Drivers\Fips.SYS
A4F08000 - \SystemRoot\system32\DRIVERS\ipnat.sys
B8673000 - \SystemRoot\system32\DRIVERS\wanarp.sys
B4C96000 - \SystemRoot\System32\Drivers\Aavmker4.SYS
B8653000 - \SystemRoot\System32\Drivers\Cdfs.SYS
B316D000 - \SystemRoot\system32\DRIVERS\hidusb.sys
B7F84000 - \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
B3169000 - \SystemRoot\system32\DRIVERS\mouhid.sys
BABA8000 - \SystemRoot\system32\DRIVERS\usbccgp.sys
BAD90000 - \SystemRoot\system32\DRIVERS\kbdhid.sys
A4EF1000 - \SystemRoot\System32\Drivers\dump_nvata.sys
B383A000 - \SystemRoot\System32\Drivers\dump_WMILIB.SYS
BF800000 - \SystemRoot\System32\win32k.sys
BADA4000 - \SystemRoot\System32\drivers\Dxapi.sys
B4C86000 - \SystemRoot\System32\watchdog.sys
BF9C3000 - \SystemRoot\System32\drivers\dxg.sys
BAE95000 - \SystemRoot\System32\drivers\dxgthk.sys
A3629000 - \SystemRoot\system32\DRIVERS\atinavt2.sys
B9A81000 - \SystemRoot\system32\DRIVERS\BdaSup.SYS
BF9D5000 - \SystemRoot\System32\ati2dvag.dll
BFA1B000 - \SystemRoot\System32\ati2cqag.dll
BFA77000 - \SystemRoot\System32\atikvmag.dll
BFAC8000 - \SystemRoot\System32\atiok3x2.dll
BFAF3000 - \SystemRoot\System32\ati3duag.dll
BFDC2000 - \SystemRoot\System32\ativvaxx.dll
B9A85000 - \SystemRoot\system32\DRIVERS\ndisuio.sys
A134B000 - \SystemRoot\System32\Drivers\aswMon2.SYS
A126E000 - \SystemRoot\system32\drivers\wdmaud.sys
BAA48000 - \SystemRoot\system32\drivers\sysaudio.sys
A1011000 - \SystemRoot\system32\DRIVERS\mrxdav.sys
BAE14000 - \SystemRoot\System32\Drivers\ParVdm.SYS
A0EA7000 - \SystemRoot\system32\DRIVERS\srv.sys
A0AD4000 - \SystemRoot\System32\Drivers\HTTP.sys
A0B15000 - \SystemRoot\System32\Drivers\aswRdr.SYS
BAEFA000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys

Total number of drivers = 126

Liste des programmes installes

ABBYY FineReader 6.0 Sprint
Adobe Reader 8.1.0 - Français
AlienGUIse Theme Manager
Archiveur WinRAR
ATI - Software Uninstall Utility
ATI Catalyst Control Center
ATI Control Panel
ATI Display Driver
avast! Antivirus
Catalyst 7.7 + Control Panel
Catalyst Control Center Core Implementation
Catalyst Control Center Graphics Full Existing
Catalyst Control Center Graphics Full New
Catalyst Control Center Graphics Light
Catalyst Control Center Graphics Previews Common
ccc-core-preinstall
ccc-core-static
ccc-utility
CCC Help English
CCleaner (remove only)
Change Extension
Correctif Windows XP - KB873339
Correctif Windows XP - KB885835
Correctif Windows XP - KB885836
Correctif Windows XP - KB886185
Correctif Windows XP - KB887472
Correctif Windows XP - KB888302
Correctif Windows XP - KB890859
Correctif Windows XP - KB891781
DAoC Portal
dBpoweramp DirectShow Decoder
dBpoweramp Real Audio (Helix) Encoder
East-Tec Eraser 2006 Version 7.0
eMule
EPSON Attach To Email
EPSON Attach To Email
EPSON File Manager
EPSON Logiciel imprimante
EPSON Scan
EPSON Scan Assistant
ESDX4000_4050_CX3900
Free - Kit de connexion
GUILD WARS
HijackThis 2.0.2
iMesh
Java(TM) 6 Update 2
K-Lite Codec Pack 3.4.5 Full
Logitech G-series Keyboard Software
Messenger Plus! Live
Microsoft .NET Framework 2.0
Microsoft .NET Framework 2.0
Mise à jour de sécurité pour Lecteur Windows Media (KB911564)
Mise à jour de sécurité pour Lecteur Windows Media 6.4 (KB925398)
Mise à jour de sécurité pour Lecteur Windows Media 9 (KB936782)
Mise à jour de sécurité pour Windows XP (KB890046)
Mise à jour de sécurité pour Windows XP (KB893756)
Mise à jour de sécurité pour Windows XP (KB896358)
Mise à jour de sécurité pour Windows XP (KB896423)
Mise à jour de sécurité pour Windows XP (KB896428)
Mise à jour de sécurité pour Windows XP (KB899587)
Mise à jour de sécurité pour Windows XP (KB899591)
Mise à jour de sécurité pour Windows XP (KB900725)
Mise à jour de sécurité pour Windows XP (KB901017)
Mise à jour de sécurité pour Windows XP (KB901214)
Mise à jour de sécurité pour Windows XP (KB902400)
Mise à jour de sécurité pour Windows XP (KB904706)
Mise à jour de sécurité pour Windows XP (KB905414)
Mise à jour de sécurité pour Windows XP (KB905749)
Mise à jour de sécurité pour Windows XP (KB908519)
Mise à jour de sécurité pour Windows XP (KB911562)
Mise à jour de sécurité pour Windows XP (KB911927)
Mise à jour de sécurité pour Windows XP (KB913580)
Mise à jour de sécurité pour Windows XP (KB914388)
Mise à jour de sécurité pour Windows XP (KB914389)
Mise à jour de sécurité pour Windows XP (KB917344)
Mise à jour de sécurité pour Windows XP (KB917953)
Mise à jour de sécurité pour Windows XP (KB918118)
Mise à jour de sécurité pour Windows XP (KB918439)
Mise à jour de sécurité pour Windows XP (KB919007)
Mise à jour de sécurité pour Windows XP (KB920213)
Mise à jour de sécurité pour Windows XP (KB920670)
Mise à jour de sécurité pour Windows XP (KB920683)
Mise à jour de sécurité pour Windows XP (KB920685)
Mise à jour de sécurité pour Windows XP (KB921503)
Mise à jour de sécurité pour Windows XP (KB922819)
Mise à jour de sécurité pour Windows XP (KB923191)
Mise à jour de sécurité pour Windows XP (KB923414)
Mise à jour de sécurité pour Windows XP (KB923689)
Mise à jour de sécurité pour Windows XP (KB923789)
Mise à jour de sécurité pour Windows XP (KB923980)
Mise à jour de sécurité pour Windows XP (KB924270)
Mise à jour de sécurité pour Windows XP (KB924496)
Mise à jour de sécurité pour Windows XP (KB924667)
Mise à jour de sécurité pour Windows XP (KB925902)
Mise à jour de sécurité pour Windows XP (KB926255)
Mise à jour de sécurité pour Windows XP (KB926436)
Mise à jour de sécurité pour Windows XP (KB927779)
Mise à jour de sécurité pour Windows XP (KB927802)
Mise à jour de sécurité pour Windows XP (KB928255)
Mise à jour de sécurité pour Windows XP (KB928843)
Mise à jour de sécurité pour Windows XP (KB929123)
Mise à jour de sécurité pour Windows XP (KB930178)
Mise à jour de sécurité pour Windows XP (KB931261)
Mise à jour de sécurité pour Windows XP (KB931784)
Mise à jour de sécurité pour Windows XP (KB932168)
Mise à jour de sécurité pour Windows XP (KB935839)
Mise à jour de sécurité pour Windows XP (KB935840)
Mise à jour de sécurité pour Windows XP (KB936021)
Mise à jour de sécurité pour Windows XP (KB937143)
Mise à jour de sécurité pour Windows XP (KB938127)
Mise à jour de sécurité pour Windows XP (KB938829)
Mise à jour pour Windows XP (KB894391)
Mise à jour pour Windows XP (KB898461)
Mise à jour pour Windows XP (KB900485)
Mise à jour pour Windows XP (KB908531)
Mise à jour pour Windows XP (KB910437)
Mise à jour pour Windows XP (KB911280)
Mise à jour pour Windows XP (KB916595)
Mise à jour pour Windows XP (KB920872)
Mise à jour pour Windows XP (KB922582)
Mise à jour pour Windows XP (KB927891)
Mise à jour pour Windows XP (KB930916)
Mise à jour pour Windows XP (KB933360)
Mise à jour pour Windows XP (KB938828)
Mozilla Firefox (2.0.0.7)
NVIDIA Drivers
PIF DESIGNER
Real Alternative 1.60
Realtek AC'97 Audio
Reason Demo
Security Update for Microsoft .NET Framework 2.0 (KB928365)
Skins
Skype™ 3.5
Solar System 3D Screensaver 1.2
Star Wars 3D Screensaver 1.3
Switch
Unix Utilities for Yahoo! Widgets
VideoLAN VLC media player 0.8.6c
WebFldrs XP
Winamp (remove only)
Windows Installer 3.1 (KB893803)
Windows Live Messenger
Windows Media Format Runtime
Yahoo! Install Manager
Yahoo! Widgets

Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 0035-CE79

Répertoire de C:\Program Files

22/09/2007 16:43 <REP> .
22/09/2007 16:43 <REP> ..
08/09/2007 14:25 <REP> ABBYY FineReader 6.0 Sprint
20/09/2007 11:08 <REP> Adobe
30/08/2007 10:58 <REP> Altiris
02/09/2007 19:58 <REP> ATI Technologies
30/08/2007 10:39 <REP> AvRack
30/08/2007 05:09 <REP> ComPlus Applications
08/09/2007 14:26 <REP> EPSON
22/09/2007 11:24 <REP> Fichiers communs
30/08/2007 08:33 <REP> Free.fr
31/08/2007 23:45 <REP> Internet Explorer
07/09/2007 12:34 <REP> Java
31/08/2007 23:49 <REP> Messenger
30/08/2007 05:13 <REP> microsoft frontpage
30/08/2007 05:10 <REP> Movie Maker
30/08/2007 05:08 <REP> MSN
30/08/2007 05:09 <REP> MSN Gaming Zone
30/08/2007 19:38 <REP> MSN Messenger
22/09/2007 10:58 <REP> NCH Swift Sound
30/08/2007 05:11 <REP> NetMeeting
30/08/2007 05:09 <REP> Online Services
31/08/2007 23:48 <REP> Outlook Express
08/09/2007 10:56 <REP> Plus!
30/08/2007 10:39 <REP> Realtek AC97
30/08/2007 10:39 <REP> Realtek Sound Manager
30/08/2007 05:11 <REP> Services en ligne
30/08/2007 10:53 <REP> Skype
31/08/2007 18:11 <REP> Winamp
30/08/2007 19:38 <REP> Windows Live
31/08/2007 23:48 <REP> Windows Media Player
30/08/2007 05:09 <REP> Windows NT
30/08/2007 05:13 <REP> xerox
02/09/2007 18:05 <REP> Yahoo!
0 fichier(s) 0 octets
34 Rép(s) 1 255 960 576 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 0035-CE79

Répertoire de C:\Program Files\fichiers communs

22/09/2007 11:24 <REP> .
22/09/2007 11:24 <REP> ..
20/09/2007 11:09 <REP> Adobe
08/09/2007 14:26 <REP> InstallShield
07/09/2007 12:34 <REP> Java
30/08/2007 05:17 <REP> Microsoft Shared
30/08/2007 05:11 <REP> MSSoap
30/08/2007 07:04 <REP> ODBC
22/09/2007 11:24 <REP> Real
30/08/2007 05:11 <REP> Services
30/08/2007 10:52 <REP> Skype
30/08/2007 07:04 <REP> SpeechEngines
30/08/2007 08:27 <REP> Stardock
31/08/2007 23:48 <REP> System
02/09/2007 11:10 <REP> Wise Installation Wizard
0 fichier(s) 0 octets
15 Rép(s) 1 255 960 576 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 0035-CE79

Répertoire de C:\Program Files\fichiers communs\Microsoft Shared\Web Folders

30/08/2007 05:17 <REP> .
30/08/2007 05:17 <REP> ..
18/05/2001 15:57 561 209 MSONSEXT.DLL
03/06/1999 12:09 122 937 MSOWS409.DLL
07/03/2001 07:00 127 033 MSOWS40c.DLL
3 fichier(s) 811 179 octets
2 Rép(s) 1 255 960 576 octets libres

c:\Documents and Settings\Neolink\Bureau\VirtumundoBeGone.exe
c:\Documents and Settings\Neolink\Bureau\VundoFix(2).exe
c:\Documents and Settings\Neolink\Bureau\VundoFix.exe
c:\Documents and Settings\Neolink\Bureau\DiagHelp\DiagHelp\catchme.exe
c:\Documents and Settings\Neolink\Bureau\DiagHelp\DiagHelp\diff.exe
c:\Documents and Settings\Neolink\Bureau\DiagHelp\DiagHelp\dumphive.exe
c:\Documents and Settings\Neolink\Bureau\DiagHelp\DiagHelp\FilesInfoCmd.exe
c:\Documents and Settings\Neolink\Bureau\DiagHelp\DiagHelp\find2.exe
c:\Documents and Settings\Neolink\Bureau\DiagHelp\DiagHelp\Fport.exe
c:\Documents and Settings\Neolink\Bureau\DiagHelp\DiagHelp\grep.exe
c:\Documents and Settings\Neolink\Bureau\DiagHelp\DiagHelp\KProcCheck.exe
c:\Documents and Settings\Neolink\Bureau\DiagHelp\DiagHelp\LFiles.exe
c:\Documents and Settings\Neolink\Bureau\DiagHelp\DiagHelp\LISTDLLS.exe
c:\Documents and Settings\Neolink\Bureau\DiagHelp\DiagHelp\md5sums.exe
c:\Documents and Settings\Neolink\Bureau\DiagHelp\DiagHelp\pslist.exe
c:\Documents and Settings\Neolink\Bureau\DiagHelp\DiagHelp\streams.exe
c:\Documents and Settings\Neolink\Bureau\DiagHelp\DiagHelp\swreg.exe
c:\Documents and Settings\Neolink\Bureau\Documents\Listes Baladeuses\Listes baladeuses.exe
c:\Documents and Settings\Neolink\Bureau\Documents\login\18026.exe
c:\Documents and Settings\Neolink\Bureau\Documents\login\26195.exe
c:\Documents and Settings\Neolink\Bureau\Documents\login\logonuiElectric.exe
c:\Documents and Settings\Neolink\Bureau\Documents\login\Consumation\logonui.exe
c:\Documents and Settings\Neolink\Bureau\Documents\N\n_v14.exe
c:\Documents and Settings\Neolink\Bureau\Documents\NetSupport Manager Evaluation\setup.exe
c:\Documents and Settings\Neolink\Bureau\Documents\Wallpaper\178845.exe
c:\Documents and Settings\Neolink\Bureau\Utilitaires\HijackThis.exe
c:\Documents and Settings\Neolink\Bureau\Utilitaires\GenProc\outil\swreg.exe
c:\Documents and Settings\Neolink\Bureau\Utilitaires\Streambox Ripper\Streambox Ripper.exe
c:\Documents and Settings\Neolink\Local Settings\Application Data\Yahoo\Widget Engine\Unzipped\SimpleMonitor.widget\SimpleMonitor.widget\Contents\resources\exe\simpleinfo.exe
c:\Documents and Settings\Neolink\Local Settings\Temp\a1tg4v32.exe
c:\Documents and Settings\Neolink\Local Settings\Temp\ywe_setup.2007.07.19.02.exe
c:\Documents and Settings\Neolink\Local Settings\Temp\ywe_unixutils_setup.exe
c:\Documents and Settings\Neolink\Mes documents\Autres\Adobe Acrobat Reader 7.08 FR.exe
c:\Documents and Settings\Neolink\Mes documents\Autres\daemon403-x86.exe
c:\Documents and Settings\Neolink\Mes documents\Autres\everestultimate301.exe
c:\Documents and Settings\Neolink\Mes documents\Autres\Radio_Fr_solo09-Install.exe
c:\Documents and Settings\Neolink\Mes documents\Autres\SetupPorrast102.exe
c:\Documents and Settings\Neolink\Mes documents\Autres\windows-live-messenger_windows_live_messenger_8.0.0812_francais_19367.exe
c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\YahooWidgetEngine.exe
c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\bin\sh.exe
c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\bin\zsh.exe
c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\basename.exe
c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\bc.exe
c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\bunzip2.exe
c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\bzip2.exe
c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\bzip2recover.exe
c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\cal.exe
c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\cat.exe
c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\chgrp.exe
c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\chmod.exe
c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\chown.exe
c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\cksum.exe
c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\cmp.exe
c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\comm.exe
c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\compress.exe
c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\cp.exe
c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\curl.exe
c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\cut.exe
c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\date.exe
c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\dc.exe
c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\dd.exe
c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\df.exe
c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\diff.exe
c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\diff3.exe
c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\dirname.exe
c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\du.exe
c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\echo.exe
c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\egrep.exe
c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\env.exe
c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\expand.exe
c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\expr.exe
c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\fgrep.exe
c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\find.exe
c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\fmt.exe
c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\fold.exe
c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\fsplit.exe
c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\gawk.exe
c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\grep.exe
c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\gunzip.exe
c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\gzip.exe
c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\head.exe
c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\id.exe
c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\install.exe
c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\join.exe
c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\less.exe
c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\lesskey.exe
c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\ln.exe
c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\logname.exe
c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\ls.exe
c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\m4.exe
c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\make.exe
c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\makedepend.exe
c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\man.exe
c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\md5sum.exe
c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\mkdir.exe
c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\mv.exe
c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\od.exe
c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\open.exe
c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\paste.exe
c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\patch.exe
c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\pr.exe
c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\printenv.exe
c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\printf.exe
c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\pwd.exe
c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\rm.exe
c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\rmdir.exe
c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\sdiff.exe
c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\sed.exe
c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\shar.exe
c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\sleep.exe
c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\sort.exe
c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\split.exe
c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\su.exe
c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\sum.exe
c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\sync.exe
c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\tail.exe
c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\tar.exe
c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\tee.exe
c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\test.exe
c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\touch.exe
c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\tr.exe
c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\uname.exe
c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\unexpand.exe
c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\uniq.exe
c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\unzip.exe
c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\uudecode.exe
c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\uuencode.exe
c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\wc.exe
c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\which.exe
c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\whoami.exe
c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\xargs.exe
c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\yes.exe
c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\zcat.exe
c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\WidgetEngine\UnixUtils\usr\local\wbin\zip.exe
c:\Documents and Settings\Neolink\Mes documents\Autres\Widget\Yahoo!\YCentral\YahooCentral.exe
c:\Documents and Settings\Neolink\Mes documents\Calculatrice - Convertisseur\setup.exe
c:\Documents and Settings\Neolink\Mes documents\Calculatrice - Convertisseur\Calculatrice - Convertisseur de monnaie Matrix\bin\Debug\Calculatrice - Convertisseur de monnaie Matrix.exe
c:\Documents and Settings\Neolink\Mes documents\Calculatrice - Convertisseur\Calculatrice - Convertisseur de monnaie Matrix\bin\Debug\Calculatrice - Convertisseur de monnaie Matrix.vshost.exe
c:\Documents and Settings\Neolink\Mes documents\Calculatrice - Convertisseur\Calculatrice - Convertisseur de monnaie Matrix\bin\Release\Calculatrice - Convertisseur de monnaie Matrix.exe
c:\Documents and Settings\Neolink\Mes documents\Calculatrice - Convertisseur\Calculatrice - Convertisseur de monnaie Matrix\obj\Debug\Calculatrice - Convertisseur de monnaie Matrix.exe
c:\Documents and Settings\Neolink\Mes documents\Calculatrice - Convertisseur\Calculatrice - Convertisseur de monnaie Matrix\obj\Release\Calculatrice - Convertisseur de monnaie Matrix.exe
c:\Documents and Settings\Neolink\Mes documents\Calculatrice - Convertisseur\setup\Calculatrice - Convertisseur de monnaie Matrix.exe
c:\Documents and Settings\Neolink\Mes documents\Calculatrice - Convertisseur\setup\Calculatrice - Convertisseur de monnaie Matrix.publish\setup.exe
c:\Documents and Settings\Neolink\Mes documents\Mes images\Autre\DigitEight.exe
c:\Documents and Settings\Neolink\Mes documents\Mes images\Autre\forever blue wallpaper.exe
c:\Documents and Settings\Neolink\Mes documents\Mes images\Wallpapers\InstMsiA.Exe
c:\Documents and Settings\Neolink\Mes documents\Mes images\Wallpapers\InstMsiW.Exe
c:\Documents and Settings\Neolink\Mes documents\Mes images\Wallpapers\Setup.Exe
c:\Documents and Settings\Neolink\Mes documents\Visual Studio 2005\Projects\Calculatrice - Convertisseur Nintendo\Calculatrice - Convertisseur Nintendo\bin\Debug\Calculatrice - Convertisseur Nintendo.vshost.exe
c:\Documents and Settings\Neolink\Mes documents\Visual Studio 2005\Projects\Caluclatrice\Caluclatrice\bin\Debug\Caluclatrice.vshost.exe
c:\Documents and Settings\Neolink\Mes documents\Visual Studio 2005\Projects\FirstApplication\FirstApplication\bin\Debug\FirstApplication.exe
c:\Documents and Settings\Neolink\Mes documents\Visual Studio 2005\Projects\FirstApplication\FirstApplication\bin\Debug\FirstApplication.vshost.exe
c:\Documents and Settings\Neolink\Mes documents\Visual Studio 2005\Projects\FirstApplication\FirstApplication\obj\Debug\FirstApplication.exe
c:\Documents and Settings\Neolink\Mes documents\Visual Studio 2005\Projects\MultiCopy\MultiCopy\bin\Debug\MultiCopy.vshost.exe
c:\Documents and Settings\Neolink\Mes documents\Visual Studio 2005\Projects\Téléchargement CodeS SourceS\minimiser\MinWindow.exe
c:\Documents and Settings\Neolink\Mes documents\Visual Studio 2005\Projects\Téléchargement CodeS SourceS\reduc\Reduc.exe
c:\Documents and Settings\Neolink\Mes documents\Visual Studio 2005\Projects\Téléchargement CodeS SourceS\Windows XP Controls\Windows XP Controls\Windows XP Controls.exe
c:\Documents and Settings\Neolink\Mes documents\Visual Studio 2005\Projects\Variables\Variables\bin\Debug\Calculatrice Convertisseur Matrix.vshost.exe
c:\Documents and Settings\Neolink\Mes documents\Visual Studio 2005\Projects\Variables\Variables\bin\Debug\Résultats des opérations.exe
c:\Documents and Settings\Neolink\Mes documents\Visual Studio 2005\Projects\Variables\Variables\bin\Debug\Variables.exe
c:\Documents and Settings\Neolink\Mes documents\Visual Studio 2005\Projects\Variables\Variables\bin\Debug\Variables.vshost.exe
c:\Documents and Settings\Neolink\Mes documents\Visual Studio 2005\Projects\Variables\Variables\bin\Debug\Résultats des opérations.publish\setup.exe
c:\Documents and Settings\Neolink\Mes documents\Visual Studio 2005\Projects\Variables\Variables\bin\Release\Résultats des opérations.exe
c:\Documents and Settings\Neolink\Mes documents\Visual Studio 2005\Projects\Variables\Variables\obj\Debug\Résultats des opérations.exe
c:\Documents and Settings\Neolink\Mes documents\Visual Studio 2005\Projects\Variables\Variables\obj\Debug\Variables.exe
c:\Documents and Settings\Neolink\Mes documents\Visual Studio 2005\Projects\Variables\Variables\obj\Release\Résultats des opérations.exe
c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\production\ppcrlconfig.dll
c:\Documents and Settings\LocalService\Application Data\Microsoft\UPnP Device Host\upnphost\udhisapi.dll
c:\Documents and Settings\Neolink\Application Data\Mozilla\Firefox\Profiles\31k84hdu.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\googletoolbar.dll
c:\Documents and Settings\Neolink\Application Data\Mozilla\Firefox\Profiles\31k84hdu.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\metrics.dll
c:\Documents and Settings\Neolink\Mes documents\Visual Studio 2005\Projects\FirstApplication\FirstApplication\obj\Debug\TempPE\My Project.Resources.Designer.vb.dll

****** Fin du rapport DiagHelp

Ensuite, voici les noms des fichiers infectés, peut-être que d'autres fichiers apparaitront par la suite ><
Ils sont tous situés dans le dossier c:\windows\system32
awtqn.dll
awtqq.dll
awtqr.dll
awvtt.dll
ddabx.dll
gebya.dll
gebyw.dll
gebyy.dll
geebb.dll
jkhff.dll
jkhhf.dll
jkkjg.dll
jkklj.dll
jkkll.dll
mljgf.dll
mljgh.dll
mljjj.dll
mljjk.dll
mlljg.dll
mllmj.dll
mllml.dll
pmkhe.dll
pmkhf.dll
pmnlm.dll
ssqro.dll
sstqp.dll
sstts.dll
ssttu.dll
vtstq.dll
vtstu.dll
vturq.dll
vturs.dll

Il n'y aurait pas un moyen de détruires la cochonerie à partir de sa source, c'est à dire, un fichier *.exe ou une clé de registre ??
Ou alors empêcher tout virus Win32:ConHook-CA [Trj] d'entrée ? (je sais la question parrait débile mais bon, si ça peut faire avancer les choses :P)
Merci encore de ton aide papyber ;)

Réponse 8 / 14

papyber Messages postés 6406 Date d'inscription samedi 24 mars 2007 Statut Contributeur sécurité Dernière intervention 3 octobre 2010 257
30 sept. 2007 à 17:42

une aspirine, un bon grog, une bouillotte, une bonne sieste et cela devrait aller mieux!! soigne toi bien!

on va détruire tous ces fichiers
Télécharge OTMoveIt (de Old_Timer) sur ton Bureau.
http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe

clic double sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :
Paste List of Files/Folders to be moved.

c:\windows\system32\awtqn.dll
c:\windows\system32\awtqq.dll
c:\windows\system32\awtqr.dll
c:\windows\system32\awvtt.dll
c:\windows\system32\ddabx.dll
c:\windows\system32\gebya.dll
c:\windows\system32\gebyw.dll
c:\windows\system32\gebyy.dll
c:\windows\system32\geebb.dll
c:\windows\system32\jkhff.dll
c:\windows\system32\jkhhf.dll
c:\windows\system32\jkkjg.dll
c:\windows\system32\jkklj.dll
c:\windows\system32\jkkll.dll
c:\windows\system32\mljgf.dll
c:\windows\system32\mljgh.dll
c:\windows\system32\mljjj.dll
c:\windows\system32\mljjk.dll
c:\windows\system32\mlljg.dll
c:\windows\system32\mllmj.dll
c:\windows\system32\mllml.dll
c:\windows\system32\pmkhe.dll
c:\windows\system32\pmkhf.dll
c:\windows\system32\pmnlm.dll
c:\windows\system32\ssqro.dll
c:\windows\system32\sstqp.dll
c:\windows\system32\sstts.dll
c:\windows\system32\ssttu.dll
c:\windows\system32\vtstq.dll
c:\windows\system32\vtstu.dll
c:\windows\system32\vturq.dll
c:\windows\system32\vturs.dll
C:\WINDOWS\System32\gebywxx.dll
C:\WINDOWS\System32\gebywxx.dll.vir

clique sur MoveIt! pour lancer la suppression.
le résultat apparaîtra dans le cadre Results.
clique sur Exit pour fermer.
poste le rapport situé dans C:\\\_OTMoveIt\MovedFiles.

il te sera peut-être demandé de redémarrer le pc pour achever la suppression.
si c'est le cas accepte par Yes.

et on va utiliser l'artillerie lourde pour virer ce qu'il reste
Télécharge combofix.exe (par sUBs) sur ton Bureau
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Double clique combofix.exe.
Tape sur la touche Y (Yes) pour démarrer le scan.
Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse
NOTE : Le rapport se trouve également ici : C:\Combofix.txt
tu me postes les rapports obtenus et un rapport hijack this

Réponse 9 / 14

Neolink
30 sept. 2007 à 18:45

Rapport ComboFix:

ComboFix 07-09-21.2 - "Neolink" 2007-09-30 18:36:31.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1516 [GMT 2:00]
* Created a new restore point
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\DOCUME~1\Neolink\APPLIC~1\AntiSpywareBot
C:\DOCUME~1\Neolink\APPLIC~1\AntiSpywareBot\Log\2007 Sep 24 - 06_13_32 PM_593.log
C:\DOCUME~1\Neolink\APPLIC~1\AntiSpywareBot\Log\2007 Sep 24 - 12_31_45 PM_890.log
C:\DOCUME~1\Neolink\APPLIC~1\AntiSpywareBot\Log\2007 Sep 24 - 12_31_46 PM_718.log
C:\DOCUME~1\Neolink\APPLIC~1\AntiSpywareBot\rs.dat
C:\DOCUME~1\Neolink\APPLIC~1\AntiSpywareBot\Settings\CustomScan.stg
C:\DOCUME~1\Neolink\APPLIC~1\AntiSpywareBot\Settings\IgnoreList.stg
C:\DOCUME~1\Neolink\APPLIC~1\AntiSpywareBot\Settings\ScanInfo.stg
C:\DOCUME~1\Neolink\APPLIC~1\AntiSpywareBot\Settings\ScanResults.stg
C:\DOCUME~1\Neolink\APPLIC~1\AntiSpywareBot\Settings\SelectedFolders.stg
C:\DOCUME~1\Neolink\APPLIC~1\AntiSpywareBot\Settings\Settings.stg
C:\WINDOWS\system32\mljjg.dll
C:\WINDOWS\Tasks.\AntiSpywareBot Scheduled Scan.job

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

-------\poof

((((((((((((((((((((((((((((( Fichiers créés 2007-08-28 to 2007-09-30 ))))))))))))))))))))))))))))))))))))
.

2007-09-30 18:36 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-09-30 14:25 24,576 --a------ C:\WINDOWS\system32\VundoFixSVC.exe
2007-09-30 14:20 <REP> d-------- C:\VundoFix Backups
2007-09-22 11:26 <REP> d-------- C:\DOCUME~1\Neolink\APPLIC~1\Media Player Classic
2007-09-22 11:26 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Real
2007-09-22 10:58 <REP> d-------- C:\Program Files\NCH Swift Sound
2007-09-22 10:58 <REP> d-------- C:\DOCUME~1\Neolink\APPLIC~1\NCH Swift Sound
2007-09-22 10:54 2,679 --a------ C:\WINDOWS\system32\SpoonUninstall-dBpoweramp DirectShow Decoder.dat
2007-09-21 19:24 <REP> d-------- C:\DOCUME~1\Neolink\APPLIC~1\dBpoweramp
2007-09-21 19:20 11,468 --a------ C:\WINDOWS\system32\SpoonUninstall-dBpoweramp Real Audio (Helix) Encoder.dat
2007-09-21 19:15 167,936 --a------ C:\WINDOWS\system32\SpoonUninstall.exe
2007-09-21 19:15 <REP> d-------- C:\DOCUME~1\Neolink\APPLIC~1\AccurateRip
2007-09-21 19:05 <REP> d-------- C:\Program Files\Fichiers communs\Real
2007-09-21 19:03 <REP> d-------- C:\DOCUME~1\Neolink\APPLIC~1\Real
2007-09-10 18:04 <REP> d---s---- C:\DOCUME~1\Neolink\UserData
2007-09-08 14:33 15,104 --a--c--- C:\WINDOWS\system32\dllcache\usbscan.sys
2007-09-08 14:33 15,104 --a------ C:\WINDOWS\system32\drivers\usbscan.sys
2007-09-08 14:25 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\UDL
2007-09-08 14:24 <REP> d-------- C:\Program Files\ABBYY FineReader 6.0 Sprint
2007-09-08 14:21 46,080 --a------ C:\WINDOWS\system32\escimgd.dll
2007-09-08 14:21 29,696 --a------ C:\WINDOWS\system32\escwiad.dll
2007-09-08 14:21 22,016 --a------ C:\WINDOWS\system32\esccmd.dll
2007-09-08 10:56 <REP> d-------- C:\Program Files\Plus!
2007-09-04 14:26 <REP> d-------- C:\DOCUME~1\Neolink\APPLIC~1\vlc
2007-09-04 14:26 <REP> d-------- C:\DOCUME~1\Neolink\APPLIC~1\dvdcss
2007-09-02 20:00 <REP> d-------- C:\DOCUME~1\Neolink\APPLIC~1\Help
2007-09-02 19:57 <REP> d-------- C:\Starconsole
2007-09-02 18:40 <REP> d--h----- C:\WINDOWS\PIF
2007-09-02 18:39 88,064 --a------ C:\WINDOWS\AMUninst01c.exe
2007-09-02 18:05 <REP> d-------- C:\Program Files\Yahoo!
2007-09-02 15:00 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Logitech
2007-09-02 11:14 <REP> d-------- C:\DOCUME~1\Neolink\APPLIC~1\Propellerhead Software
2007-09-02 11:10 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
2007-09-01 22:07 <REP> d-------- C:\DOCUME~1\Neolink\APPLIC~1\iMesh
2007-09-01 18:32 71,168 --a------ C:\WINDOWS\system32\E_FLBBEE.DLL
2007-09-01 18:32 62,976 --a------ C:\WINDOWS\system32\E_FD4BBEE.DLL
2007-09-01 18:32 49,152 --a------ C:\WINDOWS\system32\E_DCINST.DLL
2007-09-01 18:31 <REP> d-------- C:\Program Files\EPSON
2007-09-01 18:27 41 ---h----- C:\WINDOWS\dsez5003.dat
2007-09-01 18:27 25,856 --a--c--- C:\WINDOWS\system32\dllcache\usbprint.sys
2007-09-01 18:27 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys
2007-09-01 11:32 479,232 --a------ C:\WINDOWS\system32\Solar System 3D Screensaver.scr
2007-08-31 23:40 97,848 --a------ C:\WINDOWS\system32\bass.dll
2007-08-31 23:40 622,592 --a------ C:\WINDOWS\system32\Star Wars 3D Screensaver.scr
2007-08-31 23:10 1,323,520 --a------ C:\WINDOWS\3D Alien Clock.scr
2007-08-31 19:22 <REP> d-------- C:\DOCUME~1\Neolink\APPLIC~1\Electronic Arts
2007-08-31 18:10 <REP> d-------- C:\Program Files\Winamp
2007-08-31 11:02 1,265 --a------ C:\WINDOWS\mozver.dat
2007-08-31 10:44 <REP> d-------- C:\DOCUME~1\Neolink\APPLIC~1\EAST Technologies
2007-08-31 10:27 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Messenger Plus!
2007-08-30 22:45 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe
2007-08-30 21:38 <REP> d-------- C:\DOCUME~1\Neolink\APPLIC~1\teamspeak2
2007-08-30 20:44 60,416 --a------ C:\WINDOWS\ALCFDRTM.EXE
2007-08-30 20:44 <REP> d-------- C:\WINDOWS\system32\Lang
2007-08-30 19:38 <REP> d-------- C:\Program Files\Windows Live
2007-08-30 19:34 <REP> d-------- C:\DOCUME~1\Neolink\Contacts
2007-08-30 18:44 <REP> d----c--- C:\WINDOWS\system32\DRVSTORE
2007-08-30 18:44 <REP> d-------- C:\Program Files\MSN Messenger
2007-08-30 18:43 <REP> d-------- C:\DOCUME~1\Neolink\APPLIC~1\WinRAR
2007-08-30 11:05 <REP> d--h----- C:\WINDOWS\$hf_mig$
2007-08-30 11:00 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Google
2007-08-30 10:58 <REP> d-------- C:\Program Files\Altiris
2007-08-30 10:55 169,344 --a------ C:\WINDOWS\system32\drivers\atinavt2.sys
2007-08-30 10:54 520,192 --------- C:\WINDOWS\system32\ati2sgag.exe
2007-08-30 10:54 <REP> d-------- C:\Program Files\ATI Technologies
2007-08-30 10:53 <REP> d-------- C:\DOCUME~1\Neolink\APPLIC~1\Skype
2007-08-30 10:53 <REP> d-------- C:\ATI
2007-08-30 10:52 <REP> d-------- C:\Program Files\Skype
2007-08-30 10:52 <REP> d-------- C:\Program Files\Fichiers communs\Skype
2007-08-30 10:52 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Skype
2007-08-30 10:48 0 --a------ C:\WINDOWS\nsreg.dat
2007-08-30 10:48 <REP> d-------- C:\DOCUME~1\Neolink\APPLIC~1\Talkback
2007-08-30 10:39 90,112 -r------- C:\WINDOWS\soundman.exe
2007-08-30 10:39 40,960 -r------- C:\WINDOWS\system32\ChCfg.exe
2007-08-30 10:39 307,200 -r------- C:\WINDOWS\alcupd.exe
2007-08-30 10:39 3,786,944 -r------- C:\WINDOWS\system32\drivers\alcxwdm.sys
2007-08-30 10:39 217,088 -r------- C:\WINDOWS\alcrmv.exe
2007-08-30 10:39 157,184 -r------- C:\WINDOWS\system32\RtlCPAPI.dll
2007-08-30 10:39 10,459,648 -r------- C:\WINDOWS\system32\RTLCPL.exe
2007-08-30 10:39 <REP> d--h----- C:\Program Files\InstallShield Installation Information
2007-08-30 10:39 <REP> d-------- C:\Program Files\Realtek Sound Manager
2007-08-30 10:39 <REP> d-------- C:\Program Files\Realtek AC97
2007-08-30 10:39 <REP> d-------- C:\Program Files\AvRack
2007-08-30 10:38 454,656 --a------ C:\WINDOWS\system32\CapabilityTable.exe
2007-08-30 10:37 <REP> d-------- C:\Program Files\Fichiers communs\InstallShield
2007-08-30 10:35 5,824 --a------ C:\WINDOWS\system32\drivers\ASUSHWIO.SYS
2007-08-30 10:35 5,810 -ra------ C:\WINDOWS\system32\drivers\ASACPI.sys
2007-08-30 10:18 <REP> d-------- C:\Ethernet
2007-08-30 09:32 <REP> d-------- C:\DOCUME~1\Neolink\APPLIC~1\AdobeUM
2007-08-30 09:29 <REP> d-------- C:\WINDOWS\Cache
2007-08-30 08:33 <REP> d-------- C:\Program Files\Free.fr
2007-08-30 08:27 36,864 --a------ C:\WINDOWS\system32\wbsys.dll
2007-08-30 08:27 <REP> d-------- C:\Program Files\Fichiers communs\Stardock
2007-08-30 07:06 60,288 --a--c--- C:\WINDOWS\system32\dllcache\drmk.sys
2007-08-30 07:06 60,288 --a------ C:\WINDOWS\system32\drivers\drmk.sys
2007-08-30 07:06 58,496 --a------ C:\WINDOWS\system32\drivers\redbook.sys
2007-08-30 07:06 4,096 --a--c--- C:\WINDOWS\system32\dllcache\ksuser.dll
2007-08-30 07:06 4,096 --a------ C:\WINDOWS\system32\ksuser.dll
2007-08-30 07:06 2,944 --a------ C:\WINDOWS\system32\drivers\msmpu401.sys
2007-08-30 07:06 145,792 --a--c--- C:\WINDOWS\system32\dllcache\portcls.sys

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-08-30 05:13 --------- d-------- C:\Program Files\microsoft frontpage
2007-08-30 05:11 --------- d-------- C:\Program Files\Services en ligne
2007-08-30 05:11 --------- d-------- C:\Program Files\Fichiers communs\MSSoap
2007-07-30 19:19 92504 --a------ C:\WINDOWS\system32\cdm.dll
2007-07-30 19:19 549720 --a------ C:\WINDOWS\system32\wuapi.dll
2007-07-30 19:19 53080 --a------ C:\WINDOWS\system32\wuauclt.exe
2007-07-30 19:19 43352 --a------ C:\WINDOWS\system32\wups2.dll
2007-07-30 19:19 325976 --a------ C:\WINDOWS\system32\wucltui.dll
2007-07-30 19:19 203096 --a------ C:\WINDOWS\system32\wuweb.dll
2007-07-30 19:19 1712984 --a------ C:\WINDOWS\system32\wuaueng.dll
2007-07-30 19:18 33624 --a------ C:\WINDOWS\system32\wups.dll
2007-07-29 17:51 7680 --a------ C:\WINDOWS\system32\ff_vfw.dll
2007-07-28 00:07 783224 --a------ C:\WINDOWS\system32\aswBoot.exe
2007-07-27 23:57 95608 --a------ C:\WINDOWS\system32\AvastSS.scr
2007-07-25 15:24 1559040 --a------ C:\WINDOWS\system32\xvidcore.dll
2007-06-27 03:59 344064 --a------ C:\WINDOWS\system32\ATIDEMGX.dll
2007-06-27 03:58 269312 --a------ C:\WINDOWS\system32\ati2dvag.dll
2007-06-27 03:56 307200 --a------ C:\WINDOWS\system32\atiiiexx.dll
2007-06-27 03:51 26112 --a------ C:\WINDOWS\system32\Ati2mdxx.exe
2007-06-27 03:51 143360 --a------ C:\WINDOWS\system32\atipdlxx.dll
2007-06-27 03:51 122880 --a------ C:\WINDOWS\system32\Oemdspif.dll
2007-06-27 03:50 43520 --a------ C:\WINDOWS\system32\ati2edxx.dll
2007-06-27 03:50 118784 --a------ C:\WINDOWS\system32\ati2evxx.dll
2007-06-27 03:49 483328 --a------ C:\WINDOWS\system32\ati2evxx.exe
2007-06-27 03:48 53248 --a------ C:\WINDOWS\system32\ATIDDC.DLL
2007-06-27 03:44 8232960 --a------ C:\WINDOWS\system32\atioglx2.dll
2007-06-27 03:41 2940992 --a------ C:\WINDOWS\system32\ati3duag.dll
2007-06-27 03:31 1519744 --a------ C:\WINDOWS\system32\ativvaxx.dll
2007-06-27 03:19 5435392 --a------ C:\WINDOWS\system32\atioglxx.dll
2007-06-27 03:17 266240 --a------ C:\WINDOWS\system32\atikvmag.dll
2007-06-27 03:16 17408 --a------ C:\WINDOWS\system32\atitvo32.dll
2007-06-27 03:14 176128 --a------ C:\WINDOWS\system32\atiok3x2.dll
2007-06-27 03:10 376832 --a------ C:\WINDOWS\system32\ati2cqag.dll
2007-06-26 08:09 1104896 --a------ C:\WINDOWS\system32\msxml3.dll
2007-06-19 15:32 282112 --a------ C:\WINDOWS\system32\gdi32.dll
2007-06-13 15:22 1037312 --a------ C:\WINDOWS\explorer.exe
2007-06-09 06:14 564224 --a------ C:\WINDOWS\system32\x264vfw.dll
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2005-10-24 08:45 C:\WINDOWS\soundman.exe]
"avast!"="D:\Logiciel\ALWILS~1\Avast4\ashDisp.exe" [2007-07-28 00:03]
"StartCCC"="C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 12:35]
"Launch LGDCore"="D:\Logiciel\Logitech\G-series Software\LGDCore.exe" [2006-03-06 17:31]
"Launch LCDMon"="D:\Logiciel\Logitech\G-series Software\LCDMon.exe" [2006-03-06 17:14]
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-11-22 21:05]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00]
"Adobe Reader Speed Launcher"="D:\Logiciel\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Online News Screensaver"="D:\Logiciel\Online News Screensaver\onsagent.exe" []

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WB]
D:\Logiciel\AlienGUIse\fastload.dll 2001-12-20 23:34 24576 D:\Logiciel\AlienGUIse\fastload.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"=wbsys.dll

.
**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-09-30 18:38:25
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-09-30 18:39:15 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-09-30 18:39
.
--- E O F ---

Rapport OTMoveIt:

LoadLibrary failed for c:\windows\system32\awtqn.dll
c:\windows\system32\awtqn.dll NOT unregistered.
c:\windows\system32\awtqn.dll moved successfully.
LoadLibrary failed for c:\windows\system32\awtqq.dll
c:\windows\system32\awtqq.dll NOT unregistered.
c:\windows\system32\awtqq.dll moved successfully.
LoadLibrary failed for c:\windows\system32\awtqr.dll
c:\windows\system32\awtqr.dll NOT unregistered.
c:\windows\system32\awtqr.dll moved successfully.
LoadLibrary failed for c:\windows\system32\awvtt.dll
c:\windows\system32\awvtt.dll NOT unregistered.
c:\windows\system32\awvtt.dll moved successfully.
LoadLibrary failed for c:\windows\system32\ddabx.dll
c:\windows\system32\ddabx.dll NOT unregistered.
c:\windows\system32\ddabx.dll moved successfully.
LoadLibrary failed for c:\windows\system32\gebya.dll
c:\windows\system32\gebya.dll NOT unregistered.
c:\windows\system32\gebya.dll moved successfully.
LoadLibrary failed for c:\windows\system32\gebyw.dll
c:\windows\system32\gebyw.dll NOT unregistered.
c:\windows\system32\gebyw.dll moved successfully.
LoadLibrary failed for c:\windows\system32\gebyy.dll
c:\windows\system32\gebyy.dll NOT unregistered.
c:\windows\system32\gebyy.dll moved successfully.
LoadLibrary failed for c:\windows\system32\geebb.dll
c:\windows\system32\geebb.dll NOT unregistered.
c:\windows\system32\geebb.dll moved successfully.
LoadLibrary failed for c:\windows\system32\jkhff.dll
c:\windows\system32\jkhff.dll NOT unregistered.
c:\windows\system32\jkhff.dll moved successfully.
LoadLibrary failed for c:\windows\system32\jkhhf.dll
c:\windows\system32\jkhhf.dll NOT unregistered.
c:\windows\system32\jkhhf.dll moved successfully.
LoadLibrary failed for c:\windows\system32\jkkjg.dll
c:\windows\system32\jkkjg.dll NOT unregistered.
c:\windows\system32\jkkjg.dll moved successfully.
LoadLibrary failed for c:\windows\system32\jkklj.dll
c:\windows\system32\jkklj.dll NOT unregistered.
c:\windows\system32\jkklj.dll moved successfully.
LoadLibrary failed for c:\windows\system32\jkkll.dll
c:\windows\system32\jkkll.dll NOT unregistered.
c:\windows\system32\jkkll.dll moved successfully.
LoadLibrary failed for c:\windows\system32\mljgf.dll
c:\windows\system32\mljgf.dll NOT unregistered.
c:\windows\system32\mljgf.dll moved successfully.
LoadLibrary failed for c:\windows\system32\mljgh.dll
c:\windows\system32\mljgh.dll NOT unregistered.
c:\windows\system32\mljgh.dll moved successfully.
LoadLibrary failed for c:\windows\system32\mljjj.dll
c:\windows\system32\mljjj.dll NOT unregistered.
c:\windows\system32\mljjj.dll moved successfully.
LoadLibrary failed for c:\windows\system32\mljjk.dll
c:\windows\system32\mljjk.dll NOT unregistered.
c:\windows\system32\mljjk.dll moved successfully.
LoadLibrary failed for c:\windows\system32\mlljg.dll
c:\windows\system32\mlljg.dll NOT unregistered.
c:\windows\system32\mlljg.dll moved successfully.
LoadLibrary failed for c:\windows\system32\mllmj.dll
c:\windows\system32\mllmj.dll NOT unregistered.
c:\windows\system32\mllmj.dll moved successfully.
LoadLibrary failed for c:\windows\system32\mllml.dll
c:\windows\system32\mllml.dll NOT unregistered.
c:\windows\system32\mllml.dll moved successfully.
LoadLibrary failed for c:\windows\system32\pmkhe.dll
c:\windows\system32\pmkhe.dll NOT unregistered.
c:\windows\system32\pmkhe.dll moved successfully.
LoadLibrary failed for c:\windows\system32\pmkhf.dll
c:\windows\system32\pmkhf.dll NOT unregistered.
c:\windows\system32\pmkhf.dll moved successfully.
LoadLibrary failed for c:\windows\system32\pmnlm.dll
c:\windows\system32\pmnlm.dll NOT unregistered.
c:\windows\system32\pmnlm.dll moved successfully.
LoadLibrary failed for c:\windows\system32\ssqro.dll
c:\windows\system32\ssqro.dll NOT unregistered.
c:\windows\system32\ssqro.dll moved successfully.
LoadLibrary failed for c:\windows\system32\sstqp.dll
c:\windows\system32\sstqp.dll NOT unregistered.
c:\windows\system32\sstqp.dll moved successfully.
LoadLibrary failed for c:\windows\system32\sstts.dll
c:\windows\system32\sstts.dll NOT unregistered.
c:\windows\system32\sstts.dll moved successfully.
LoadLibrary failed for c:\windows\system32\ssttu.dll
c:\windows\system32\ssttu.dll NOT unregistered.
c:\windows\system32\ssttu.dll moved successfully.
LoadLibrary failed for c:\windows\system32\vtstq.dll
c:\windows\system32\vtstq.dll NOT unregistered.
c:\windows\system32\vtstq.dll moved successfully.
LoadLibrary failed for c:\windows\system32\vtstu.dll
c:\windows\system32\vtstu.dll NOT unregistered.
c:\windows\system32\vtstu.dll moved successfully.
LoadLibrary failed for c:\windows\system32\vturq.dll
c:\windows\system32\vturq.dll NOT unregistered.
c:\windows\system32\vturq.dll moved successfully.
LoadLibrary failed for c:\windows\system32\vturs.dll
c:\windows\system32\vturs.dll NOT unregistered.
c:\windows\system32\vturs.dll moved successfully.
File/Folder C:\WINDOWS\System32\gebywxx.dll not found.
File/Folder C:\WINDOWS\System32\gebywxx.dll.vir not found.

Created on 09/30/2007 18:34:19

Rapport HiJackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:43, on 30/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
D:\Logiciel\Alwil Software\Avast4\aswUpdSv.exe
D:\Logiciel\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Logiciel\AlienGUIse\wbload.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
D:\Logiciel\Alwil Software\Avast4\ashMaiSv.exe
D:\Logiciel\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\SOUNDMAN.EXE
D:\Logiciel\ALWILS~1\Avast4\ashDisp.exe
D:\Logiciel\Logitech\G-series Software\LGDCore.exe
D:\Logiciel\Logitech\G-series Software\LCDMon.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
D:\Logiciel\Adobe\Reader 8.0\Reader\Reader_sl.exe
D:\Logiciel\Logitech\G-series Software\Applets\LCDPop3\LCDPOP3.exe
D:\Logiciel\Logitech\G-series Software\Applets\LCDMedia.exe
D:\Logiciel\Logitech\G-series Software\Applets\LCDClock.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Logiciel\Mozilla Firefox 2\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\Neolink\Bureau\Utilitaires\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.files-ftp.com/~unicorni/phpBB2/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avast!] D:\Logiciel\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [Launch LGDCore] "D:\Logiciel\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Launch LCDMon] "D:\Logiciel\Logitech\G-series Software\LCDMon.exe"
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Logiciel\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [Online News Screensaver] D:\Logiciel\Online News Screensaver\onsagent.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.files-ftp.com/~unicorni/phpBB2/index.php
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Program Files\Yahoo!\Common\Yinsthelper.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Logiciel\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - D:\Logiciel\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - D:\Logiciel\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - D:\Logiciel\Alwil Software\Avast4\ashWebSv.exe

Encore merci pour l'aide que tu apporte, apparement sur le rapport HiJackThis la saletée ConHook ne serait plus là ^^

Réponse 10 / 14

papyber Messages postés 6406 Date d'inscription samedi 24 mars 2007 Statut Contributeur sécurité Dernière intervention 3 octobre 2010 257
30 sept. 2007 à 19:02

je pense qu'on a bien avancé
fais encore ceci
Télécharge clean.zip, de Malekal
http://www.malekal.com/download/clean.zip

décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean.
Ouvre le dossier clean qui se trouve sur ton bureau, et double-clic sur clean.cmd, une fenêtre noire va apparaître pendant un instant, laisse la ouverte.
Choisis l'option 1 puis patiente
poste le rapport obtenu

Réponse 11 / 14

Neolink
30 sept. 2007 à 19:33

Rapport:

30/09/2007 a 19:32:52,75

*** Recherche des fichiers dans C:

*** Recherche des fichiers dans C:\WINDOWS\

*** Recherche des fichiers dans C:\WINDOWS\system32
C:\WINDOWS\system32\SpoonUninstall.exe FOUND

*** Recherche des fichiers dans C:\Program Files
*** Fin du rapport !

Réponse 12 / 14

papyber Messages postés 6406 Date d'inscription samedi 24 mars 2007 Statut Contributeur sécurité Dernière intervention 3 octobre 2010 257
30 sept. 2007 à 20:13

télécharge AVG Antispyware
https://www.avg.com/en-ww/free-antivirus-download
mode d'utilisation :
Lance AVG Anti-Spyware, mets le à jour,
Clique sur le bouton « Analyse » onglet « paramètres »
Puis « Comment réagir », clique sur Actions recommandées. Sélectionne Quarantaine

Télécharge : - CCleaner
https://www.pcastuces.com/logitheque/ccleaner.htm
Ce logiciel va permettre de supprimer tous les fichiers temporaires. Avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires". Ensuite, Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. C'est tout.
Un tuto
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm

Comment aller en Mode sans échec lettre C
https://forum.pcastuces.com/sujet.asp?f=25&s=3902
1) Redémarre ton ordi
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip"
3) Tu verras un écran avec options de démarrage apparaître
4) Choisis la première option : Sans Échec, et valide avec "Entrée"
5) Choisis ton compte habituel, et non Administrateur

Redémarre en mode sans échec, copie ou imprime ce qui suit car tu n'auras pas accès à internet

1*
lance CCleaner , nettoyeur, et supprime tout ce qu'il trouve
lance CCleaner erreur et supprime tout ce qu'il trouve
2*
lance avg antispyware
Retour à l'onglet Analyse.
Clique sur Analyse complète du système.
A la fin du scan, choisis " Appliquer toutes les actions "
Clique sur "Enregistrer le rapport". Le fichier texte se trouve dans le dossier Rapports du dossier d'AVG Anti-Spyware
3*
Ouvre le dossier jaune nommé clean sur ton bureau.
Double-clique sur clean.cmd
Choisis l'option 2 et copie sur le bureau le rapport généré.
Si une fenêtre s'ouvre, laisse-la.
Clique sur Q pour quitter le programme.

redémarre normalement et poste moi les rapports obtenus

AVG antispyware
Clean .txt
ainsi qu'un scan HijackThis.

Réponse 13 / 14

Neolink
2 oct. 2007 à 17:18

Bonjour :)
Je tiens à signaler, que ce p**** de Trojan ConHook est mort :D
Après avoir suivi toutes tes explications j'ai réussi à l'éliminer.
Merci beaucoup pour ton aide Papyber :D Très sympathique de ta part !

Réponse 14 / 14

papyber Messages postés 6406 Date d'inscription samedi 24 mars 2007 Statut Contributeur sécurité Dernière intervention 3 octobre 2010 257
2 oct. 2007 à 17:55

fais ceci en contrôle final
faire un scan antivirus en ligne avec internet explorer et accepter l'activex
poster le rapport ici ensuite
https://www.bitdefender.fr/

En bas, à gauche de la fenêtre, clique sur BitDefender SCAN ONLINE
Dans la nouvelle fenêtre, clique sur I agree
La fenêtre change encore, clique sur Click here to scan
Les signatures se chargent, etc.

tuto en image
http://pageperso.aol.fr/rginformatique/mapage/defender.htm