virus win32 torjan-gen et win32 conhook-aw

Question

Bonjour,
depuis 1 semaine je me bats pour nettoyer les virus sur mon pc et en vain. 
j ai pourtant essayee plusieurs choses, lu des forums et j ai AVAST et ad-aware. avast me les detecte en continue, je les mets en quarantaine, les effacent de la zone  mais en vain ...

je ne sais plus quoi faire ... En plus je voulais passer en XP SP2, mais je crois que les virus me posent pb.
je suis en xp pro  sp1

merci pour votre aide

clownface · Answer

Bonsoir,

commences par ceci : virus methode preliminaire de desinfection version fr
et postes les rapports

oceane19 · Answer

j essaie bitdefender en ligne car le nettoyage j ai deja essayer et rien n a changer
je posterai le rapport 

en tout merci beaucoup pour cette reponse aussi rapide 

a toute..

oceane19 · Answer

ci dessous le rapport de bitdefender

Je ne comprends pas grand chose, je sais seulement que c est bien infecte

Merci de votre aide pour eradiquer tout cela.



BitDefender Online Scanner
  
  
 
Scan report generated at: Tue, Oct 09, 2007 - 00:04:16
 
 
  
  
 
Scan path: C:\;D:\;
  
  
 
 
  
  
 
Statistics
 
Time
 00:15:25
 
Files
 71190
 
Folders
 1856
 
Boot Sectors
 2
 
Archives
 792
 
Packed Files
 3438
 
  
  
 
Results
 
Identified Viruses 
 9
 
Infected Files 
 12
 
Suspect Files 
 0
 
Warnings
 0
 
Disinfected
 0
 
Deleted Files
 8
 
  
  
 
Engines Info
 
Virus Definitions
 825717
 
Engine build
 AVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)
 
Scan plugins
 14
 
Archive plugins
 38
 
Unpack plugins
 7
 
E-mail plugins
 6
 
System plugins
 1
 
  
  
 
Scan Settings
 
First Action
 Disinfect
 
Second Action
 Delete
 
Heuristics
 Yes
 
Enable Warnings
 Yes
 
Scanned Extensions
 *;
 
Exclude Extensions
  
 
Scan Emails
 Yes
 
Scan Archives
 Yes
 
Scan Packed
 Yes
 
Scan Files
 Yes
 
Scan Boot
 Yes
 
  
  
 
  Scanned File
  Status
 
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\7MRCCRYX\stage1[1].exe
 Infected with: Generic.Malware.Bdld!!.F1AF4B43
 
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\7MRCCRYX\stage1[1].exe
 Disinfection failed
 
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\7MRCCRYX\stage1[1].exe
 Deleted
 
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\A4QO4BM7\module5[1].zip
 Infected with: Win32.Worm.Agent.PYK
 
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\A4QO4BM7\module5[1].zip
 Disinfection failed
 
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\A4QO4BM7\module5[1].zip
 Deleted
 
C:\Documents and Settings\Paula\Application Data	mp1.tmp.exe
 Infected with: MemScan:Trojan.Fotomoto.A
 
C:\Documents and Settings\Paula\Application Data	mp1.tmp.exe
 Disinfection failed
 
C:\Documents and Settings\Paula\Application Data	mp1.tmp.exe
 Deleted
 
C:\Documents and Settings\Paula\Application Data	mp5.tmp.exe
 Infected with: MemScan:Trojan.Dropper.Agent.BON
 
C:\Documents and Settings\Paula\Application Data	mp5.tmp.exe
 Disinfection failed
 
C:\Documents and Settings\Paula\Application Data	mp5.tmp.exe
 Deleted
 
C:\Documents and Settings\Paula\Local Settings\Temporary Internet Files\Content.IE5\0ABUV5XY\lkjh[1]
 Infected with: Trojan.Clicker.Agent.NP
 
C:\Documents and Settings\Paula\Local Settings\Temporary Internet Files\Content.IE5\0ABUV5XY\lkjh[1]
 Disinfection failed
 
C:\Documents and Settings\Paula\Local Settings\Temporary Internet Files\Content.IE5\0ABUV5XY\lkjh[1]
 Deleted
 
C:\Documents and Settings\Paula\Local Settings\Temporary Internet Files\Content.IE5\CJNCM591\valera[1]
 Infected with: Trojan.Fotomoto.E
 
C:\Documents and Settings\Paula\Local Settings\Temporary Internet Files\Content.IE5\CJNCM591\valera[1]
 Disinfection failed
 
C:\Documents and Settings\Paula\Local Settings\Temporary Internet Files\Content.IE5\CJNCM591\valera[1]
 Deleted
 
C:\WINDOWS\myphotos.zip=>img0919.jpg-www.photoalbums.com
 Infected with: Win32.Worm.Agent.PYK
 
C:\WINDOWS\myphotos.zip=>img0919.jpg-www.photoalbums.com
 Disinfection failed
 
C:\WINDOWS\myphotos.zip=>img0919.jpg-www.photoalbums.com
 Deleted
 
C:\WINDOWS\myphotos.zip
 Updated
 
C:\WINDOWS\services.exe
 Infected with: Win32.Worm.Agent.PYK
 
C:\WINDOWS\services.exe
 Disinfection failed
 
C:\WINDOWS\services.exe
 Delete failed
 
C:\WINDOWS\system32\ljjkkjg.dll
 Infected with: Trojan.Vundo.DNC
 
C:\WINDOWS\system32\ljjkkjg.dll
 Disinfection failed
 
C:\WINDOWS\system32\ljjkkjg.dll
 Delete failed
 
C:\WINDOWS\system32\logon.exe
 Infected with: DeepScan:Generic.Sdbot.75617447
 
C:\WINDOWS\system32\logon.exe
 Disinfection failed
 
C:\WINDOWS\system32\logon.exe
 Delete failed
 
C:\WINDOWS\system32e1.exe
 Infected with: Trojan.Peed.Gen
 
C:\WINDOWS\system32e1.exe
 Disinfection failed
 
C:\WINDOWS\system32e1.exe
 Deleted
 
C:\WINDOWS\Temp\_avast4_\unp17935371.tmp
 Infected with: Trojan.Peed.Gen
 
C:\WINDOWS\Temp\_avast4_\unp17935371.tmp
 Disinfection failed
 
C:\WINDOWS\Temp\_avast4_\unp17935371.tmp
 Delete failed

oceane19 · Answer

En fait, le recap ci dessous
BitDefender Online Scanner - Real Time Virus Report
  
  
 
Generated at: Tue, Oct 09, 2007 - 00:11:10
 

--------------------------------------------------------------------------------

 
  
  
 
Scan Info
  
  
 
Scanned Files
 73113
 
Infected Files
 12
 
  
  
 
 
  
  
 
Virus Detected
  
  
 
Trojan.Clicker.Agent.NP
 1
 
MemScan:Trojan.Dropper.Agent.BON
 1
 
Trojan.Fotomoto.E
 1
 
Win32.Worm.Agent.PYK
 3
 
MemScan:Trojan.Fotomoto.A
 1
 
Trojan.Vundo.DNC
 1
 
Generic.Malware.Bdld!!.F1AF4B43
 1
 
DeepScan:Generic.Sdbot.75617447
 1
 
Trojan.Peed.Gen
 2

clownface · Answer

ok
as-tu eu le virus msn ??? je vois un myphoto.zip dasn le log
si oui : il va falloir faire un msnfix : explications -- > virus msn album photo zip

après  il va falloir refaire ce scan antivirus, jusqu'à ce qu'il ait tout nettoyé (à priori il n'a pas tout enlevé)
+ d'autres : http://www.zebulon.fr/outils/antivirus/antivirus-en-ligne.php

postes les rapports et tiens moi au courant.
je déconnecte pour ce soir, à demain.

clownface · Answer

re ok

alors on ajoute une procédure : supprimer le trojan vundo virtumonde

clownface · Answer

je recapitule

1/ msnfix (ça se confirme)
2/ procédure  pour le trojan vundo
3/ re scan antivirus

a demain

oceane19 · Answer

Ok encore merci je fais tout ca et je vous tient au courant.

bonne nuit a tous a demain

oceane19 · Answer

Bonjour,

J'ai fait :
1. MSNFIX - ok
2. BitDefender
3. vundofix - ne trouve aucun fichier
4. VirtumondoBeGone 
5. hijackthis - j'ai suivit la procédure ( Fixer les lignes ...je crois qu'il y en a une qui subsite en  02)
6. BitDefender - ne trouve plus rien - a priori ok jusqu'à ce matin...

J'ai démarré le PC, bien tout fonctionnait normalement sauf que dans la barre de tâches je n'avais plus mes icônes habituels tels que celui de AVAST, ... Par contre j'avais celui de Mise à jour de Windows qui m'indiquait que des mise à jour était à disposition, il les a à priori lancées ( or je ne comprends pas car mon câble de Ethernet était débranché ). Or là il m'a informé que le PC allait redemarrer pour que la mise à jour se termine.

et là CATA!!Il ne redemarre pas en mode normal. Après l'ecran WINDOWS XP PRO, c'est écran bleu, erreur irreccupérable et je n'ai même pas le temps de lire. ( fonction pause ne fonctionne pas ).
Seul possibilité c'est de redemarré en mode sans echec. En + pour effectuer les différents scam et nettoyage j'avais désactivée la restauration or en mode sans echec je ne peux pas la réactiver.

Donc là impasse !! JE ne sais plus quoi faire et je suis fatiguée depuis + d'1 semaine ... (+ le boulot, +++)
Faut-il que j'envisage un format!!!

Merci encore pour votre aide.

oceane19 · Answer

Re,

Le PC ne redemarrant absolument pas, ecran bleu 
"erreur irrécupérable
.....
*** STOP : 0x0000007F
(0*00000000.0*00000000.0*00000000.0*00000000)"

J'étais prête a tout formater, mais en fait j'ai fait un boot sur le cd d'install de xp et j'ai fait une réparation.

Il a redémarré.
j'attend d'être à la maison et avoir accès à ma connexion internet pour voir ce qu'il en est  des infections et relancer un scan.

J'editerai les rapports ici

@+ tard merci.

oceane19 · Answer

Bonsoir
je viens de me connecter et Avast viens deja de me detecter des cheval de troie... Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 22:37:26, on 09/10/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\winamp.exe
C:\WINDOWS\System32\winenv.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Alwil Software\Avast4\ashSimpl.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Installe\Securite\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {6FE91E35-499C-4CF4-9756-D2D5CD11172B} - C:\WINDOWS\System32
nnnl.dll
O2 - BHO: (no name) - {89AD4D75-2429-462e-BD4E-443F233F6033} - C:\WINDOWS\System32\lmomknyn.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Winamp Agent] C:\WINDOWS\System32\winamp.exe
O4 - HKLM\..\Run: [winenv] winenv.exe
O4 - HKLM\..\RunServices: [Topic MSNGR32] MSNGR32.com
O4 - HKLM\..\RunServices: [winenv] winenv.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-21-507921405-920026266-1343024091-1003\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htm
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O20 - Winlogon Notify: inetqoa - inetqoa.dll (file missing)
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: DDE réseau (NetDDE) - Unknown owner - C:\WINDOWS\system32
etdde.exe
O23 - Service: DSDM DDE réseau (NetDDEdsdm) - Unknown owner - C:\WINDOWS\system32
etdde.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Prise en charge des cartes à puces (SCardDrv) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - Unknown owner - C:\Program Files\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\swdsvc.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe

clownface · Answer

oui, il faut relancer bitdefender
postes le rapport

oceane19 · Answer

Ok le temps de l executer

oceane19 · Answer

Et voila

BitDefender Online Scanner - Real Time Virus Report
  
  
 
Generated at: Tue, Oct 09, 2007 - 00:11:10
 

--------------------------------------------------------------------------------

 
  
  
 
Scan Info
  
  
 
Scanned Files
 73113
 
Infected Files
 12
 
  
  
 
 
  
  
 
Virus Detected
  
  
 
Trojan.Clicker.Agent.NP
 1
 
MemScan:Trojan.Dropper.Agent.BON
 1
 
Trojan.Fotomoto.E
 1
 
Win32.Worm.Agent.PYK
 3
 
MemScan:Trojan.Fotomoto.A
 1
 
Trojan.Vundo.DNC
 1
 
Generic.Malware.Bdld!!.F1AF4B43
 1
 
DeepScan:Generic.Sdbot.75617447
 1
 
Trojan.Peed.Gen
 2
 
  
  
 
 
  
  
 
 

--------------------------------------------------------------------------------
  
  
 
This summary of the scan process will be used by the BitDefender Antivirus Lab to create agregate statistics about virus activity around the world.

Petit Diable · Answer

Sinon achète un autre antivirus

oceane19 · Answer

Desole ce n est pas le bon rapport, il faut que je recommence ...

oceane19 · Answer

J ai scaner avec bitdefender mais au moment d exporter le rapport, le Pc bloque...

clownface · Answer

tu peux le consulter ?
il a trouvé quelque chose, et a nettoyé ?

oceane19 · Answer

Oui, il a trouve des virus mais a priori il n a pas tout nettoye. faut il que je desactive la restauration

clownface · Answer

tout ce qu'il n'a pas nettoyé était dans ..._restore_.. ? 
ou bien y avait-il d'autres fichiers infectés non nettoyés ?

rv · Answer

Bonjour, 
mm problem

oceane19 · Answer

Oui, il y en avait dans restore mais dautres  fichiers etaient egalement infectes 

Vais je reussir a mettre mon pc propre ...

rv · Answer

Bonjour, 
Logfile of HijackThis v1.99.1
Scan saved at 00:09:11, on 10/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wwSecure.exe
C:\Program Files\Fichiers communs\BitDefender\BitDefender Communicator\xcommsvr.exe
C:\Program Files\BitDefender\BitDefender 2008\vsserv.exe
C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\alg.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Mixpo\1.0\Mixpo.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\MSN Messenger\livecall.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
C:\Program Files\CCleaner\CCleaner.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.com/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.com/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = iexplore
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = %3clocal%3e:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = <local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {039230C7-2DC5-418F-A845-8F6DF2BD0A60} - C:\WINDOWS\system32\jkklm.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla	fswshx.dll
O2 - BHO: (no name) - {89AD4D75-2429-462e-BD4E-443F233F6033} - C:\WINDOWS\system32\lqoinurg.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {C3352FCD-CFE5-4F35-831A-19C68DDB7CF4} - (no file)
O3 - Toolbar: (no name) - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)
O3 - Toolbar: (no name) - {96ebbe6a-2864-4345-b32b-26ee9be524b5} - (no file)
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Program Files\BitDefender\BitDefender 2008\IEToolbar.dll
O4 - HKLM\..\Run: [BootSkin Startup Jobs] "C:\PROGRA~1\Stardock\WINCUS~1\BootSkin\BootSkin.exe" /StartupJobs
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe"
O4 - HKLM\..\Run: [a-squared] "C:\Program Files\a-squared Anti-Malware\a2guard.exe"
O4 - HKCU\..\Run: [Window Washer] "C:\Program Files\Webroot\Washer\wwDisp.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Mixpo] "C:\Program Files\Mixpo\1.0\Mixpo.exe" /quiet
O4 - HKCU\..\Run: [RocketDock] "C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe"
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe
O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Program Files\MP3 Player Utilities 4.00\MediaManager\grab.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin
pjpi150_02.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin
pjpi150_02.dll
O9 - Extra button: Internet Radio by Endicosoft.com - {1F958B09-3312-7f0e-9723-4C1324C57B20} - C:\Program Files\Internet Radio\Radio.exe (file missing)
O9 - Extra button: Ajouter au blog - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajouter au blog dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O11 - Options group: [INTERNATIONAL] International*
O12 - Plugin for .UVR: C:\Program Files\Internet Explorer\Plugins\NPUPano.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - https://djrv61.wordpress.com/
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - https://djrv61.wordpress.com/
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: mljhife - mljhife.dll (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - C:\Program Files\a-squared Anti-Malware\a2service.exe
O23 - Service: DomainService - Unknown owner - C:\WINDOWS\system32\jypwoboh.exe (file missing)
O23 - Service: Freenet 0.7 darknet (freenet-darknet) - Unknown owner - C:\Program Files\freenet\bin\wrapper-windows-x86-32.exe" -s ../wrapper.conf (file missing)
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\BitDefender\BitDefender 2008\vsserv.exe" /service (file missing)
O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Program Files\Windows Live\installer\WLSetupSvc.exe
O23 - Service: Washer Security Access (wwSecSvc) - Webroot Software, Inc. - C:\WINDOWS\system32\wwSecure.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\BitDefender\BitDefender Communicator\xcommsvr.exe" /service (file missing)

rv · Answer

Bonjour, 
ok desolé, a plutart..snif.

rv

clownface · Answer

je ne sais pas ou on en est, je n'ai pas revu de log hijackthis depuis ton ecran bleu de ce matin..
l'idéal c'est d'avoir d'abord un scan antivirus propre, de refaire un avg antispy et de reposter avg + hijackthis en dernier.
a demain

oceane19 · Answer

Ci joint les 3 rapports dns l ordre d execution

on voit cela demain merci encore

1. bitdefender

BitDefender Online Scanner
  
  
 
Scan report generated at: Wed, Oct 10, 2007 - 00:30:17
 
 
  
  
 
Scan path: C:\;D:\;
  
  
 
 
  
  
 
Statistics
 
Time
 00:16:04
 
Files
 61213
 
Folders
 1858
 
Boot Sectors
 2
 
Archives
 632
 
Packed Files
 3089
 
  
  
 
Results
 
Identified Viruses 
 6
 
Infected Files 
 19
 
Suspect Files 
 0
 
Warnings
 0
 
Disinfected
 0
 
Deleted Files
 18
 
  
  
 
Engines Info
 
Virus Definitions
 825949
 
Engine build
 AVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)
 
Scan plugins
 14
 
Archive plugins
 38
 
Unpack plugins
 7
 
E-mail plugins
 6
 
System plugins
 1
 
  
  
 
Scan Settings
 
First Action
 Disinfect
 
Second Action
 Delete
 
Heuristics
 Yes
 
Enable Warnings
 Yes
 
Scanned Extensions
 *;
 
Exclude Extensions
  
 
Scan Emails
 Yes
 
Scan Archives
 Yes
 
Scan Packed
 Yes
 
Scan Files
 Yes
 
Scan Boot
 Yes
 
  
  
 
  Scanned File
  Status
 
C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP2\A0001122.exe
 Infected with: Trojan.Downloader.Conhook.AK
 
C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP2\A0001122.exe
 Disinfection failed
 
C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP2\A0001122.exe
 Deleted
 
C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP2\A0001123.exe
 Infected with: Trojan.Downloader.Conhook.AK
 
C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP2\A0001123.exe
 Disinfection failed
 
C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP2\A0001123.exe
 Deleted
 
C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP2\A0001124.exe
 Infected with: Trojan.Vundo.DNC
 
C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP2\A0001124.exe
 Deleted
 
C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP2\A0001125.exe
 Infected with: Trojan.Peed.Gen
 
C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP2\A0001125.exe
 Disinfection failed
 
C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP2\A0001125.exe
 Deleted
 
C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP2\A0001126.exe
 Infected with: Trojan.Downloader.Conhook.AK
 
C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP2\A0001126.exe
 Disinfection failed
 
C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP2\A0001126.exe
 Deleted
 
C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP2\A0001127.exe
 Infected with: Backdoor.Irc.Sdbot.KC
 
C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP2\A0001127.exe
 Disinfection failed
 
C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP2\A0001127.exe
 Deleted
 
C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP2\A0003125.exe
 Infected with: Trojan.Peed.Gen
 
C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP2\A0003125.exe
 Disinfection failed
 
C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP2\A0003125.exe
 Deleted
 
C:\WINDOWS\system32\.exe
 Infected with: Worm.Allaple.A
 
C:\WINDOWS\system32\.exe
 Deleted
 
C:\WINDOWS\system32\ajekkg.exe
 Infected with: Trojan.Downloader.Conhook.AK
 
C:\WINDOWS\system32\ajekkg.exe
 Disinfection failed
 
C:\WINDOWS\system32\ajekkg.exe
 Deleted
 
C:\WINDOWS\system32\aquq.exe
 Infected with: Trojan.Vundo.DNC
 
C:\WINDOWS\system32\aquq.exe
 Deleted
 
C:\WINDOWS\system32\csrs.exe
 Infected with: DeepScan:Generic.Sdbot.75617447
 
C:\WINDOWS\system32\csrs.exe
 Disinfection failed
 
C:\WINDOWS\system32\csrs.exe
 Delete failed
 
C:\WINDOWS\system32\dxdtymmu.exe
 Infected with: Trojan.Downloader.Conhook.AK
 
C:\WINDOWS\system32\dxdtymmu.exe
 Disinfection failed
 
C:\WINDOWS\system32\dxdtymmu.exe
 Deleted
 
C:\WINDOWS\system32\hsnfhl.exe
 Infected with: Trojan.Downloader.Conhook.AK
 
C:\WINDOWS\system32\hsnfhl.exe
 Disinfection failed
 
C:\WINDOWS\system32\hsnfhl.exe
 Deleted
 
C:\WINDOWS\system32\oedc.exe
 Infected with: Trojan.Downloader.Conhook.AK
 
C:\WINDOWS\system32\oedc.exe
 Disinfection failed
 
C:\WINDOWS\system32\oedc.exe
 Deleted
 
C:\WINDOWS\system32\qycanni.exe
 Infected with: Trojan.Downloader.Conhook.AK
 
C:\WINDOWS\system32\qycanni.exe
 Disinfection failed
 
C:\WINDOWS\system32\qycanni.exe
 Deleted
 
C:\WINDOWS\system32	kabk.exe
 Infected with: Trojan.Vundo.DNC
 
C:\WINDOWS\system32	kabk.exe
 Deleted
 
C:\WINDOWS\system32\ufnak.exe
 Infected with: Trojan.Vundo.DNC
 
C:\WINDOWS\system32\ufnak.exe
 Deleted
 
C:\WINDOWS\system32\vpewxtwr.exe
 Infected with: Trojan.Downloader.Conhook.AK
 
C:\WINDOWS\system32\vpewxtwr.exe
 Disinfection failed
 
C:\WINDOWS\system32\vpewxtwr.exe
 Deleted
 
C:\WINDOWS\system32\ydmj.exe
 Infected with: Trojan.Downloader.Conhook.AK
 
C:\WINDOWS\system32\ydmj.exe
 Disinfection failed
 
C:\WINDOWS\system32\ydmj.exe
 Deleted
 
  
 2. AVG SPY

---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

 + Créé à:	01:07:41 10/10/2007

 + Résultat de l'analyse:	



HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Adware.Generic : Ignoré.
C:\WINDOWS\system32\dpsewm.exe -> Dropper.Small : Ignoré.
C:\WINDOWS\system32\ldqf.exe -> Dropper.Small : Ignoré.
C:\WINDOWS\system32\lfzjs.exe -> Dropper.Small : Ignoré.
C:\WINDOWS\system32wgdlpof.exe -> Dropper.Small : Ignoré.
C:\WINDOWS\system32\vqpxfln.exe -> Dropper.Small : Ignoré.
C:\WINDOWS\system32\wejah.exe -> Dropper.Small : Ignoré.
C:\WINDOWS\system32\wqkmzyop.exe -> Dropper.Small : Ignoré.
C:\Documents and Settings\Paula\Cookies\paula@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Ignoré.
C:\Documents and Settings\Paula\Cookies\paula@adtech[1].txt -> TrackingCookie.Adtech : Ignoré.
C:\Documents and Settings\Paula\Cookies\paula@advertising[1].txt -> TrackingCookie.Advertising : Ignoré.
C:\Documents and Settings\Paula\Cookies\paula@adviva[1].txt -> TrackingCookie.Adviva : Ignoré.
C:\Documents and Settings\Paula\Cookies\paula@atdmt[2].txt -> TrackingCookie.Atdmt : Ignoré.
C:\Documents and Settings\Paula\Cookies\paula@bluestreak[1].txt -> TrackingCookie.Bluestreak : Ignoré.
C:\Documents and Settings\Paula\Cookies\paula@doubleclick[1].txt -> TrackingCookie.Doubleclick : Ignoré.
C:\Documents and Settings\Paula\Cookies\paula@ssl-hints.netflame[1].txt -> TrackingCookie.Netflame : Ignoré.
C:\Documents and Settings\Paula\Cookies\paula@ssl-hints.netflame[2].txt -> TrackingCookie.Netflame : Ignoré.
C:\Documents and Settings\Paula\Cookies\paula@ssl-hints.netflame[3].txt -> TrackingCookie.Netflame : Ignoré.
C:\Documents and Settings\Paula\Cookies\paula@ssl-hints.netflame[4].txt -> TrackingCookie.Netflame : Ignoré.
C:\Documents and Settings\Paula\Cookies\paula@www.paypal[1].txt -> TrackingCookie.Paypal : Ignoré.
C:\Documents and Settings\Paula\Cookies\paula@bs.serving-sys[1].txt -> TrackingCookie.Serving-sys : Ignoré.
C:\Documents and Settings\Paula\Cookies\paula@serving-sys[2].txt -> TrackingCookie.Serving-sys : Ignoré.
C:\Documents and Settings\Paula\Cookies\paula@smartadserver[2].txt -> TrackingCookie.Smartadserver : Ignoré.
C:\Documents and Settings\Paula\Cookies\paula@toplist[1].txt -> TrackingCookie.Toplist : Ignoré.
C:\Documents and Settings\Paula\Cookies\paula@tradedoubler[1].txt -> TrackingCookie.Tradedoubler : Ignoré.
C:\Documents and Settings\Paula\Cookies\paula@weborama[1].txt -> TrackingCookie.Weborama : Ignoré.


Fin du rapport

3.HIJACKTHIS

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 01:11:24, on 10/10/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\csrs.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system\NOTEPAD.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Installe\Securite\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {61B6D36F-A328-414A-A254-1535840C75DD} - C:\WINDOWS\System32
nnnl.dll
O2 - BHO: (no name) - {89AD4D75-2429-462e-BD4E-443F233F6033} - C:\WINDOWS\System32\lmomknyn.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\System32\lssas.exe
O4 - HKLM\..\Run: [Client Server Runtime Process] C:\WINDOWS\System32\csrs.exe
O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\RunServices: [winenv] winenv.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-21-507921405-920026266-1343024091-1003\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htm
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O20 - Winlogon Notify: inetqoa - inetqoa.dll (file missing)
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: DDE réseau (NetDDE) - Unknown owner - C:\WINDOWS\system32
etdde.exe
O23 - Service: DSDM DDE réseau (NetDDEdsdm) - Unknown owner - C:\WINDOWS\system32
etdde.exe
O23 - Service: NOTEPAD - Unknown owner - C:\WINDOWS\system\NOTEPAD.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Prise en charge des cartes à puces (SCardDrv) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - Unknown owner - C:\Program Files\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\swdsvc.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe

clownface · Answer

Bonsoir

tu vas faire crtl+alt+supp pour aller dans le gestionnaire des taches

dans l'onglet processus tu vas selectionner : csrs.exe et faire fin de tache
idem pour notepad.exe (lorsque tu n'as pas de notepad ouvert)

ensuite tu vas dans C:\WINDOWS\system32 et tu supprimes le fichier csrs.exe
et dans C:\WINDOWS\system et tu supprimes NOTEPAD.exe  (attention bien dans system)
(si tu n'arrives pas à faire ses suppression en mode normal fais le en mode sans echec)

ensuite tu vas faire l'option 1 de navilog et poster le rapport 
explication sur navilog : popups ouverture de fenetres internet publicitaires pop up#1er methode utiliser navilog bat d il mafioso

oceane19 · Answer

Ok 
par contre, j ai des applications csrss, je n y ai pas touche

- desole pour les accent c est un clavier qwerty et je ne m y suis pas encore habituee -

ci dessous le rapport

Search Navipromo version 3.2.1 commencé le 10/10/2007 à 22:18:26,64

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Program Files
avilog1
Mise a jour le 09.10.2007 a 18h00 by IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2800.1106 


*** Recherche Programmes installes ***




*** Recherche dossiers dans C:\WINDOWS ***



*** Recherche dossiers dans C:\Program Files ***



*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




*** Recherche dossiers dans C:\Documents and Settings\Paula\Application Data ***


*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***


*** Recherche avec Catchme-rootkit/stealth malware detector by gmer ***
pour + d'infos : http://www.gmer.net

Aucun fichier trouvé dans :

- C:\WINDOWS\system32
- C:\DOCUME~1\Paula\LOCALS~1\APPLIC~1



*** Recherche avec GenericNaviSearch ***
!!! Tous Ces résultats peuvent révéler des fichiers légitimes !!!
!!! A verifier impérativement avant toute suppression manuelle !!!

* Scan C:\WINDOWS\system32 *

* Scan C:\DOCUME~1\Paula\LOCALS~1\APPLIC~1 *



*** Recherche fichiers *** 




*** Recherche cles registre ***


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:
C:\WINDOWS\system32\lnnnn.ini2 trouvé ! infection Vundo possible non traité par cet outil !
C:\WINDOWS\system32\lnnnn.bak2 trouvé ! infection Vundo possible non traité par cet outil !

2)Recherche Heuristique :

C:\WINDOWS\system32\bclakcdp.exe trouvé !


3)Recherche Certificats :

Certificat Egroup absent !


*** Analyse Terminé le 10/10/2007 à 22:19:15,67 ***

clownface · Answer

comment veux-tu qu'on s'en sorte si tu ne veux pas supprimer les fichiers que je te dis de supprimer...
meme si tu as des applications csrss, leur fichier.exe doit etre dans leur dossier dans program files, ils n'ont rien a faire dans system32.. (vérifie d'abord ça si tu veux, mais vires moi ce fichier de system32 !) 

tu peux ensuite lancer navilog option 2

oceane19 · Answer

J ai fait tout ce que tu m as demande

Voici le rapport de navilog

Clean Navipromo version 3.2.1 commencé le 10/10/2007 à 23:02:37,29

Fix lancé depuis C:\Program Files
avilog1
Mise a jour le 09.10.2007 a 18h00 by IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2800.1106

Mode suppression automatique 


 
*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)
 

*** Suppression avec Backups résultats GenericNaviSearch ***

* Scan C:\WINDOWS\system32 *


* Scan C:\DOCUME~1\Paula\LOCALS~1\APPLIC~1 *



*** Suppression dossiers dans C:\WINDOWS ***


*** Suppression dossiers dans C:\Program Files ***


*** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***


*** Suppression dossiers dans C:\Documents and Settings\Paula\Application Data ***


*** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***



*** Suppression fichiers ***


*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Paula\Local Settings\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:

C:\WINDOWS\system32\lnnnn.ini2 trouvé ! infection Vundo possible non traité par cet outil !
C:\WINDOWS\system32\lnnnn.bak2 trouvé ! infection Vundo possible non traité par cet outil !

2)Recherche et Suppression Heuristique :

C:\WINDOWS\system32\bclakcdp.exe trouvé !
Copie C:\WINDOWS\system32\bclakcdp.exe réalise avec succès !
C:\WINDOWS\system32\bclakcdp.exe supprimé !


*** Sauvegarde du registre vers dossier Backupnavi ***

sauvegarde du registre réalise avec succès !

*** Nettoyage registre ***

Nettoyage registre Ok


*** Certificats ***

Certificat Egroup absent !



*** Nettoyage termine le 10/10/2007 à 23:05:53,55 ***

clownface · Answer

ok

ensuite : Télécharge SDFix sur ton bureau
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau.
Redémarre ton ordinateur en mode sans échec 
Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.bat pour lancer le script.
Appuie sur Y pour commencer le processus de nettoyage.
Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
Appuie sur une touche pour redémarrer le PC.
Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.

Enfin, copie/colle le contenu du fichier Report.txt

oceane19 · Answer

Rapport + sur le bureau j ai un autre fichier catchme txt

1. RAPPORT


SDFix: Version 1.108

Run by Paula on 10/10/2007 at 23:31

Microsoft Windows XP [version 5.1.2600]

Running From: C:\DOCUME~1\Paula\Bureau\SDFix

Safe Mode:
Checking Services: 


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...


Normal Mode:
Checking Files: 

Trojan Files Found:

C:\WINDOWS\system32\.exe - Deleted
C:\WINDOWS\SYSTEM32\DPSEWM.EXE - Deleted
C:\WINDOWS\SYSTEM32\LDQF.EXE - Deleted
C:\WINDOWS\SYSTEM32\LFZJS.EXE - Deleted
C:\WINDOWS\SYSTEM32\RWGDLPOF.EXE - Deleted
C:\WINDOWS\SYSTEM32\VQPXFLN.EXE - Deleted
C:\WINDOWS\SYSTEM32\WEJAH.EXE - Deleted
C:\WINDOWS\SYSTEM32\WQKMZYOP.EXE - Deleted
C:\WINDOWS\SYSTEM32\YUMTTW.EXE - Deleted
C:\Documents and Settings\Paula\Application Data	mp10.tmp.exe - Deleted
C:\WINDOWS\myphotos.zip  - Deleted
C:\WINDOWS\system32\.exe  - Deleted
C:\WINDOWS\system32\MSNGR32.com  - Deleted



Removing Temp Files...

ADS Check:

C:\WINDOWS
No streams found. 

C:\WINDOWS\system32
No streams found. 

C:\WINDOWS\system32\svchost.exe
No streams found.
 
C:\WINDOWS\system32
toskrnl.exe
No streams found.
 


                                 Final Check:

Remaining Services:
------------------




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

Remaining Files:
---------------

File Backups: - C:\DOCUME~1\Paula\Bureau\SDFix\backups\backups.zip

Files with Hidden Attributes:

Wed 10 Oct 2007        47,464 A..H. --- "C:\WINDOWS\system32\akvx.exe"
Thu  4 Oct 2007         5,120 A..H. --- "C:\WINDOWS\system32\bpikcatp.exe"
Tue  9 Oct 2007       377,351 A.SH. --- "C:\WINDOWS\system32\lnnnn.tmp"
Wed 10 Oct 2007       328,626 ..SH. --- "C:\WINDOWS\system32\lnnnn.bak2"
Fri 30 Aug 2002        38,912 ...H. --- "C:\WINDOWS\system32\lssas.exe"

Finished! 

2. CATCHME

file error: C:\WINDOWS\system32\drivers\wsnpoem.sys

clownface · Answer

la suite... 
supprimer le trojan vundo virtumonde#3eme methode combofix
(on evite peut etre VirtumundoBegone...)

oceane19 · Answer

AVAST me detecte toujours autant de cheval de troie
WIN32 Agent-LBX
WIN32 Trojan-gen
WIN32 Robot-EYA
WIN32 Conhook-AW

Et en + j ai le droit a une attaque

Dois-je envisager un Format je desepere

oceane19 · Answer

Ok c est parti

oceane19 · Answer

ComboFix 07-10-11.1 - Paula 2007-10-10 23:58:49.1 - NTFSx86 MINIMAL Microsoft Windows XP Professionnel 5.1.2600.1.1252.1.1036.18.344 [GMT 2:00] Running from: C:\Documents and Settings\Paula\Bureau\ComboFix.exe . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\dfihkj.ini C:\WINDOWS\jkhifd.dll C:\WINDOWS\system32\awtqnkh.dll C:\WINDOWS\system32\hcfhkatl.dll C:\WINDOWS\system32\isass.exe C:\WINDOWS\system32\lnnnn.bak2 C:\WINDOWS\system32\lnnnn.ini C:\WINDOWS\system32\lnnnn.ini2 C:\WINDOWS\system32\lnnnn.tmp C:\WINDOWS\system32\ltakhfch.ini . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\LEGACY_DOMAINSERVICE ((((((((((((((((((((((((((((( Fichiers créés 2007-09-11 to 2007-10-11 )))))))))))))))))))))))))))))))))))) . 2007-10-10 23:58 51,200 --a------ C:\WINDOWS\NirCmd.exe 2007-10-10 23:47 55,808 --ah----- C:\WINDOWS\system32\lxqio.exe 2007-10-10 23:35 15,785 --a------ C:\WINDOWS\system32\flvtp.exe 2007-10-10 23:35 11,148 --a------ C:\WINDOWS\system32\qwilyuig.exe 2007-10-10 23:35 11,148 --a------ C:\WINDOWS\system32\jriqvd.exe 2007-10-10 23:35 1,635 --a------ C:\WINDOWS\system32 tlbjngx.exe 2007-10-10 23:35 1,635 --a------ C:\WINDOWS\system32\muiuyrtg.exe 2007-10-10 23:35 1,635 --a------ C:\WINDOWS\system32\fqlgd.exe 2007-10-10 23:35 121 --a------ C:\WINDOWS\system32\zxivqjjf.bat 2007-10-10 23:34 11,148 --a------ C:\WINDOWS\system32\ymahzpgt.exe 2007-10-10 23:34 1,635 --a------ C:\WINDOWS\system32\zhsp.exe 2007-10-10 23:34 1,635 --a------ C:\WINDOWS\system32\fwqdgj.exe 2007-10-10 23:34 1,635 --a------ C:\WINDOWS\system32\aomiiz.exe 2007-10-10 23:30 d-------- C:\WINDOWS\ERUNT 2007-10-10 22:17 d-------- C:\Program Files\Navilog1 2007-10-10 01:23 d-------- C:\Documents and Settings\All Users\Application Data\Grisoft 2007-10-10 01:22 11,148 --a------ C:\WINDOWS\system32\ikopwao.exe 2007-10-10 01:21 11,148 --a------ C:\WINDOWS\system32\hyjnp.exe 2007-10-10 01:21 1,635 --a------ C:\WINDOWS\system32\wuxgh.exe 2007-10-10 01:21 1,635 --a------ C:\WINDOWS\system32\uugfxbr.exe 2007-10-10 00:52 3,968 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys 2007-10-10 00:33 d-------- C:\Program Files\Trojan Remover 2007-10-10 00:33 d-------- C:\Documents and Settings\Paula\Application Data\Simply Super Software 2007-10-10 00:33 153,088 --a------ C:\WINDOWS\system32\UNRAR3.dll 2007-10-10 00:33 75,264 --a------ C:\WINDOWS\system32\unacev2.dll 2007-10-10 00:29 d-------- C:\WINDOWS\LastGood.Tmp 2007-10-10 00:00 d-------- C:\VundoFix Backups 2007-10-09 23:57 1,635 --a------ C:\WINDOWS\system32\mfzloot.exe 2007-10-09 23:57 1,635 --a------ C:\WINDOWS\system32\crvi.exe 2007-10-09 23:54 1,635 --a------ C:\WINDOWS\system32\eeynwtlb.exe 2007-10-09 23:54 1,635 --a------ C:\WINDOWS\system32\asonart.exe 2007-10-09 23:33 34,816 --a------ C:\WINDOWS\system32\kljoo.exe 2007-10-09 23:19 1,635 --a------ C:\WINDOWS\system32\zejunkd.exe 2007-10-09 23:19 1,635 --a------ C:\WINDOWS\system32\plwaoxfd.exe 2007-10-09 23:11 1,635 --a------ C:\WINDOWS\system32\gkhby.exe 2007-10-09 23:11 1,635 --a------ C:\WINDOWS\system32\choespc.exe 2007-10-09 22:56 1,635 --a------ C:\WINDOWS\system32\qxpzpsh.exe 2007-10-09 22:56 1,635 --a------ C:\WINDOWS\system32\azke.exe 2007-10-09 22:47 1,635 --a------ C:\WINDOWS\system32\pdffvv.exe 2007-10-09 22:47 1,635 --a------ C:\WINDOWS\system32\kvxkaiyt.exe 2007-10-09 22:36 187,160 --a------ C:\WINDOWS\system32\wuaueng1.dll 2007-10-09 22:36 170,776 --a------ C:\WINDOWS\system32\wuauclt1.exe 2007-10-09 22:26 1,635 --a------ C:\WINDOWS\system32\dzwavfx.exe 2007-10-09 22:26 1,635 --a------ C:\WINDOWS\system32\bozdlpue.exe 2007-10-09 16:11 163,840 --a------ C:\WINDOWS\system32\igfxres.dll 2007-10-09 15:56 100,864 --a------ C:\WINDOWS\system32\irftp.exe 2007-10-09 15:56 79,360 --a------ C:\WINDOWS\system32\irmon.dll 2007-10-09 15:56 55,296 --a------ C:\WINDOWS\system32\drivers\irda.sys 2007-10-09 15:56 7,680 --a------ C:\WINDOWS\system32\wshirda.dll 2007-10-09 15:50 19,584 --a------ C:\WINDOWS\system32\drivers asirda.sys 2007-10-09 15:47 24,661 --a------ C:\WINDOWS\system32\spxcoins.dll 2007-10-09 15:47 24,661 --a--c--- C:\WINDOWS\system32\dllcache\spxcoins.dll 2007-10-09 15:47 13,312 --a------ C:\WINDOWS\system32\irclass.dll 2007-10-09 15:47 13,312 --a--c--- C:\WINDOWS\system32\dllcache\irclass.dll 2007-10-09 12:48 2,273,280 --a------ C:\WINDOWS\system32\ialmgicd.dll 2007-10-09 12:48 471,040 --a------ C:\WINDOWS\system32\ialmgdev.dll 2007-10-09 12:48 61,440 --a------ C:\WINDOWS\system32\iAlmCoIn_v3762.dll 2007-10-09 12:48 49,152 --a------ C:\WINDOWS\system32\ialmrem.dll 2007-10-09 12:14 742,400 --a--c--- C:\WINDOWS\system32\dllcache\helpctr.exe 2007-10-09 12:14 613,376 --a------ C:\WINDOWS\system32\xpsp2res.dll 2007-10-09 12:14 26,112 --a------ C:\WINDOWS\system32\xpsp1hfm.exe 2007-10-09 12:08 497,152 --a------ C:\WINDOWS\system32\hypertrm.dll 2007-10-09 01:01 d-------- C:\WINDOWS\system32\ActiveScan 2007-10-09 00:38 271,224 --a------ C:\WINDOWS\system32\mucltui.dll 2007-10-09 00:30 1,635 --a------ C:\WINDOWS\system32\uizyuwk.exe 2007-10-09 00:30 1,635 --a------ C:\WINDOWS\system32\bzvsyola.exe 2007-10-08 23:44 d-------- C:\WINDOWS\BDOSCAN8 2007-10-08 23:03 414 --a------ C:\WINDOWS\system32 mp.reg 2007-10-08 22:40 1,635 --a------ C:\WINDOWS\system32\mcmd.exe 2007-10-08 22:40 1,635 --a------ C:\WINDOWS\system32\kqvfab.exe 2007-10-07 23:53 1,635 --a------ C:\WINDOWS\system32\ffferqq.exe 2007-10-07 23:53 1,635 --a------ C:\WINDOWS\system32\daqwnge.exe 2007-10-07 21:41 1,635 --a------ C:\WINDOWS\system32\htbjws.exe 2007-10-07 21:41 1,635 --a------ C:\WINDOWS\system32\cryl.exe 2007-10-07 18:35 d-------- C:\Documents and Settings\Paula\Application Data\MSN6 2007-10-07 02:46 d-------- C:\WINDOWS\provisioning 2007-10-07 02:42 d-------- C:\WINDOWS\ServicePackFiles 2007-10-07 01:33 1,635 --a------ C:\WINDOWS\system32\kmzezyg.exe 2007-10-07 01:33 1,635 --a------ C:\WINDOWS\system32\iqdgym.exe 2007-10-07 00:32 6,550 --a------ C:\WINDOWS\jautoexp.dat 2007-10-06 23:37 1,635 --a------ C:\WINDOWS\system32\wepo.exe 2007-10-06 23:37 1,635 --a------ C:\WINDOWS\system32\dvfltl.exe 2007-10-05 00:30 1,635 --a------ C:\WINDOWS\system32\xqrkfqzo.exe 2007-10-05 00:30 1,635 --a------ C:\WINDOWS\system32\wtadt.exe 2007-10-04 23:27 1,635 --a------ C:\WINDOWS\system32\znflcuvp.exe 2007-10-04 23:27 1,635 --a------ C:\WINDOWS\system32\cneg.exe 2007-10-04 23:25 5,120 --ah----- C:\WINDOWS\system32\bpikcatp.exe 2007-10-04 23:05 1,635 --a------ C:\WINDOWS\system32\yfuu.exe 2007-10-04 23:05 1,635 --a------ C:\WINDOWS\system32\uagutp.exe 2007-10-04 00:31 d--h----- C:\WINDOWS\ShellNew 2007-10-03 23:36 d-------- C:\Program Files\Vqao 2007-10-03 18:27 d-------- C:\Program Files\Comptes et Budget V5.0 2007-10-03 17:37 d-------- C:\HSF 2007-10-03 17:33 d-------- C:\WINDOWS\Menu D‚marrer 2007-10-03 17:33 d-------- C:\WINDOWS\Bureau 2007-10-03 17:30 d-------- C:\Program Files\BANQUE 2007-10-03 16:33 d-------- C:\Documents and Settings\Paula\WINDOWS 2007-10-03 14:51 d-------- C:\Program Files\Lavasoft 2007-10-03 01:14 35,328 --a------ C:\WINDOWS\system32\pmnnoom.dll 2007-10-03 01:11 95,608 --a------ C:\WINDOWS\system32\AvastSS.scr . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2007-10-02 21:17 --------- d--h--w C:\Program Files\InstallShield Installation Information 2007-10-02 16:58 --------- d-----w C:\Program Files\Synaptics 2007-10-02 16:55 --------- d-----w C:\Program Files\Launch Manager 2007-10-02 16:54 --------- d-----w C:\Program Files\Broadcom 2007-10-02 16:50 --------- d-----w C:\Program Files\Fichiers communs\SpeechEngines 2007-10-02 16:50 --------- d-----w C:\Program Files\Fichiers communs\ODBC 2007-10-02 16:50 --------- d-----w C:\Program Files\Fichiers communs\InstallShield 2007-10-02 16:48 --------- d-----w C:\Program Files\acer 2007-10-02 16:47 --------- d-----w C:\Program Files\Intel 2007-10-02 16:03 --------- d-----w C:\Program Files\microsoft frontpage 2007-10-02 16:00 --------- d-----w C:\Program Files\Fichiers communs\MSSoap . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2C56B8AB-3FDD-4031-8E19-4802D53F9DC1}] 2007-10-02 23:44 310880 --a------ C:\WINDOWS\System32 nnnl.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "@"="" [] "Local Security Authority Service"="C:\WINDOWS\System32\Isass.exe" [] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "@"="" [] "CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2002-08-30 14:00] [HKEY_USERS\.default\software\microsoft\windows\currentversion un] "winenv"=winenv.exe [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon otify\inetqoa] inetqoa.dll [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] "Authentication Packages"= msv1_0 C:\WINDOWS\System32 nnnl.dll . ************************************************************************** catchme 0.3.1169 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-10-12 00:02:14 Windows 5.1.2600 Service Pack 1 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... ************************************************************************** . Completion time: 2007-10-12 0:04:00 - machine was rebooted . --- E O F ---

clownface · Answer

tout ça... on va faire un vundofix supprimer le trojan vundo virtumonde#1er methode vundofix

tu posteras le rapport et un nouveau rapport  hijackthis

oceane19 · Answer

le pb c est que vundofix ne trouve rien

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 00:15:40, on 12/10/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\cmd.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\xkgewvh.exe
C:\Installe\Securite\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {2C56B8AB-3FDD-4031-8E19-4802D53F9DC1} - C:\WINDOWS\System32
nnnl.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\System32\Isass.exe
O4 - HKLM\..\Run: [Microsoft Windows Update] xkgewvh.exe
O4 - HKLM\..\RunServices: [Microsoft Windows Update] xkgewvh.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-21-507921405-920026266-1343024091-1003\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htm
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O20 - Winlogon Notify: inetqoa - inetqoa.dll (file missing)
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: DDE réseau (NetDDE) - Unknown owner - C:\WINDOWS\system32
etdde.exe
O23 - Service: DSDM DDE réseau (NetDDEdsdm) - Unknown owner - C:\WINDOWS\system32
etdde.exe
O23 - Service: NOTEPAD - Unknown owner - C:\WINDOWS\system\NOTEPAD.exe (file missing)
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Prise en charge des cartes à puces (SCardDrv) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe

clownface · Answer

on commence quand meme à y voir + clair

tu vas cocher et fixer ces lignes : 

O2 - BHO: (no name) - {2C56B8AB-3FDD-4031-8E19-4802D53F9DC1} - C:\WINDOWS\System32
nnnl.dll
O4 - HKLM\..\Run: [Microsoft Windows Update] xkgewvh.exe
O4 - HKLM\..\RunServices: [Microsoft Windows Update] xkgewvh.exe
O20 - Winlogon Notify: inetqoa - inetqoa.dll (file missing)
O23 - Service: NOTEPAD - Unknown owner - C:\WINDOWS\system\NOTEPAD.exe (file missing)

fichiers à supprimer manuellement : 

C:\WINDOWS\System32\xkgewvh.exe
C:\WINDOWS\System32
nnnl.dll
C:\WINDOWS\system32\drivers\wsnpoem.sys

tu vas aussi aller dans panneau de configuration / outils d'administration / services et tu vas désactiver celui-ci : O23 - Service: NOTEPAD - Unknown owner - C:\WINDOWS\system\NOTEPAD.exe (file missing)

installes-toi rapidement un parefeu : securite le parefeu de windows xp

ça va etre tout pour ce soir, je vais me coucher, bonne nuit

oceane19 · Answer

pb avec un s 

1. je ne trouve pa s 
C:\WINDOWS\System32\xkgewvh.exe  - ne trouve pas meme en mode recherche
C:\WINDOWS\System32
nnnl.dll - ne veut pas supprimer me dit impossible car peut etre utilise par autre prg ou personne - j avais tout ferme 
C:\WINDOWS\system32\drivers\wsnpoem.sys -ne trouve pas meme en mode recherche

2.NOTEPAD deja desactive

3. je crois que le pare feu est pour la version sp2 et je suis en sp1, malgre que mon but est de passer tres rapidement en sp2 mais avant nettoyage oblige je crois.

je lance l antivirus ...

a+tard

oceane19 · Answer

Hier soir, je n'ai pas reussi a achevé l'antivirus le pc s'est bloqué à 2 reprises...

Je vais re-tenter ce soir par contre cela sera tard dans la soirée car j'ai une réunion au bureau ce soir.

Mais si il y a des manipulations à faire merci de me les communiquer je les executerai en rentrant.

Peux-tu me confirmer cette histoire de Parfeu et il faut absolument que je passe en SP2 pour disposer de + de sécurité ? 
Mais avant il faut que je désinfecte correctement ma machine.

Encore merci pour ta patience. Crois-tu que je vais bientôt voir le bout du tunnel ?

En te remerciant pour ton aide et ta disponibilité.

@+tard

oceane19 · Answer

Re, En fait, je n'avais pas fait attention mais j'ai un rapport xscan suite au lancement d'hier soir 2007/10/12 01:08:47:831 HTML parameter ScanAllDrives = 0 Cleanable = 1 AutoClean = 0 ZipClean = 1 SpecialTSC = 0 EnableTSC = 1 AdUrl = VirusAction = 0 ScanFileExtensOnly = RenameToFileExtens = .VIR MoveToPath = C:\HouseCallQuarantine ShowErrorInAction = 0 TrendUserId = TrendScanCompletedURL = ScanReportUrl = http://wtc.trendmicro.com/HcBin/HcAddLog.exe ScanMemoryVirus = 1 ScanBootVirus = 1 ActiveUpdateUrl = http://housecall-p.activeupdate.trendmicro.com/activeupdate/ HouseCallBaseUrl = http://wtc.trendmicro.com:8000/hcms/ 2007/10/12 01:08:47:891 3987008::OnCreate() 2007/10/12 01:08:47:891 3987008::COleControl::OnCreate() Pass! 2007/10/12 01:08:47:891 3987008::XP platform. 2007/10/12 01:08:47:891 3987008::Mutex = A2C 2007/10/12 01:08:47:891 3987008::OnCreate() Web server List checking ... 2007/10/12 01:08:47:891 3987008::OnCreate() Get AddressBarText => 'http://secuser.com' 2007/10/12 01:08:47:891 3987008::OnCreate() Parsing hostname form AddressBarText => 'http://secuser.com' 2007/10/12 01:08:47:891 m_strClientIP=88.173.42.110 2007/10/12 01:08:47:891 3987008::OnCreate() Domain name 'secuser.com' not found in server list 2007/10/12 01:08:47:891 3987008::OnCreate() Query Domain name 'secuser.com' to ip 195.210.43.38 2007/10/12 01:08:52:758 3987008::OnCreate() Pass! 2007/10/12 01:08:52:868 3987008::OnSafeStateToFireEvent() 2007/10/12 01:08:53:839 After call NewEncryptStr => !CRYPT!840D9F8B6673E6B7938FE41B552222AEBE6084C89290459827DC5BCA8FD062F1EF592D54F5E1D44F485D27ED158F39C605F8CC09665A2E0D3B44E8DAD943670524E6B257D03!840495B73F7BE76A6FA58ED11A8E41533339956AE9515B83BCA22B472247F0DD721CB58B76CFC8E53E07543CED835D6986CBF2DC639618FFB87428771D24D73D4FD117F4D05!3157D480E92B6A83387E1F19114E211FA22FA9E1DCAF947BEEB28560D12 2007/10/12 01:08:53:839 Get log from queue ok! data : 00,http://wtc.trendmicro.com/HcBin/HcAddLog.exe?!CRYPT!840D9F8B6673E6B7938FE41B552222AEBE6084C89290459827DC5BCA8FD062F1EF592D54F5E1D44F485D27ED158F39C605F8CC09665A2E0D3B44E8DAD943670524E6B257D03!840495B73F7BE76A6FA58ED11A8E41533339956AE9515B83BCA22B472247F0DD721CB58B76CFC8E53E07543CED835D6986CBF2DC639618FFB87428771D24D73D4FD117F4D05!3157D480E92B6A83387E1F19114E211FA22FA9E1DCAF947BEEB28560D12 2007/10/12 01:08:54:340 Send log fail (405)! retry later ... 2007/10/12 01:08:54:390 Get log from queue ok! data : 01,http://wtc.trendmicro.com/HcBin/HcAddLog.exe?!CRYPT!840D9F8B6673E6B7938FE41B552222AEBE6084C89290459827DC5BCA8FD062F1EF592D54F5E1D44F485D27ED158F39C605F8CC09665A2E0D3B44E8DAD943670524E6B257D03!840495B73F7BE76A6FA58ED11A8E41533339956AE9515B83BCA22B472247F0DD721CB58B76CFC8E53E07543CED835D6986CBF2DC639618FFB87428771D24D73D4FD117F4D05!3157D480E92B6A83387E1F19114E211FA22FA9E1DCAF947BEEB28560D12 2007/10/12 01:08:55:101 Send log fail (405)! retry later ... 2007/10/12 01:08:55:151 Get log from queue ok! data : 02,http://wtc.trendmicro.com/HcBin/HcAddLog.exe?!CRYPT!840D9F8B6673E6B7938FE41B552222AEBE6084C89290459827DC5BCA8FD062F1EF592D54F5E1D44F485D27ED158F39C605F8CC09665A2E0D3B44E8DAD943670524E6B257D03!840495B73F7BE76A6FA58ED11A8E41533339956AE9515B83BCA22B472247F0DD721CB58B76CFC8E53E07543CED835D6986CBF2DC639618FFB87428771D24D73D4FD117F4D05!3157D480E92B6A83387E1F19114E211FA22FA9E1DCAF947BEEB28560D12 2007/10/12 01:08:55:852 Send log fail (405)! retry later ... 2007/10/12 01:08:55:852 3987008::~CXscanCtrl() 2007/10/12 01:09:14:950 3A0B008::CXscanCtrl() 2007/10/12 01:09:14:960 3A0B008::Server Vaild Date until <2008/1/1> 2007/10/12 01:09:14:960 HTML parameter ScanAllDrives = 0 Cleanable = 1 AutoClean = 0 ZipClean = 1 SpecialTSC = 0 EnableTSC = 1 AdUrl = VirusAction = 0 ScanFileExtensOnly = RenameToFileExtens = .VIR MoveToPath = C:\HouseCallQuarantine ShowErrorInAction = 0 TrendUserId = TrendScanCompletedURL = ScanReportUrl = http://wtc.trendmicro.com/HcBin/HcAddLog.exe ScanMemoryVirus = 1 ScanBootVirus = 1 ActiveUpdateUrl = http://housecall-p.activeupdate.trendmicro.com/activeupdate/ HouseCallBaseUrl = http://wtc.trendmicro.com:8000/hcms/ 2007/10/12 01:09:14:960 3A0B008::OnCreate() 2007/10/12 01:09:14:960 3A0B008::COleControl::OnCreate() Pass! 2007/10/12 01:09:14:960 3A0B008::XP platform. 2007/10/12 01:09:14:960 3A0B008::Mutex = C2C 2007/10/12 01:09:14:960 3A0B008::OnCreate() Web server List checking ... 2007/10/12 01:09:14:960 3A0B008::OnCreate() Get AddressBarText => 'http://secuser.com' 2007/10/12 01:09:14:960 3A0B008::OnCreate() Parsing hostname form AddressBarText => 'http://secuser.com' 2007/10/12 01:09:14:960 m_strClientIP=88.173.42.110 2007/10/12 01:09:14:960 3A0B008::OnCreate() Domain name 'secuser.com' not found in server list 2007/10/12 01:09:14:960 3A0B008::OnCreate() Query Domain name 'secuser.com' to ip 195.210.43.38 2007/10/12 01:09:18:805 3A0B008::OnCreate() Pass! 2007/10/12 01:09:18:855 Get log from queue ok! data : 03,http://wtc.trendmicro.com/HcBin/HcAddLog.exe?!CRYPT!840D9F8B6673E6B7938FE41B552222AEBE6084C89290459827DC5BCA8FD062F1EF592D54F5E1D44F485D27ED158F39C605F8CC09665A2E0D3B44E8DAD943670524E6B257D03!840495B73F7BE76A6FA58ED11A8E41533339956AE9515B83BCA22B472247F0DD721CB58B76CFC8E53E07543CED835D6986CBF2DC639618FFB87428771D24D73D4FD117F4D05!3157D480E92B6A83387E1F19114E211FA22FA9E1DCAF947BEEB28560D12 2007/10/12 01:09:19:356 Send log fail (405)! retry later ... 2007/10/12 01:09:19:356 3A0B008::OnSafeStateToFireEvent() 2007/10/12 01:09:19:697 After call NewEncryptStr => !CRYPT!8400A15BAC764E91283FE41B552222AEBE6084C89290459827DC5BCA8FD062F1EF592D54F5E1D44F485D27ED158F39C605F8CC09665A2E0D3B44E8DAD943670524E6B20710C!840495B73F7BE76A6FA58ED11A8E41533339956AE9515B83BCA22B472247F0DD721CB58B76CFC8E53E07543CED835D6986CBF2DC639618FFB87428771D24D73D4FD117F4D05!3157D480E92B6A83387E1F19114E211FA22FA9E1DCAF947BEEB28560D12 2007/10/12 01:09:19:697 Get log from queue ok! data : 00,http://wtc.trendmicro.com/HcBin/HcAddLog.exe?!CRYPT!8400A15BAC764E91283FE41B552222AEBE6084C89290459827DC5BCA8FD062F1EF592D54F5E1D44F485D27ED158F39C605F8CC09665A2E0D3B44E8DAD943670524E6B20710C!840495B73F7BE76A6FA58ED11A8E41533339956AE9515B83BCA22B472247F0DD721CB58B76CFC8E53E07543CED835D6986CBF2DC639618FFB87428771D24D73D4FD117F4D05!3157D480E92B6A83387E1F19114E211FA22FA9E1DCAF947BEEB28560D12 2007/10/12 01:09:20:398 Send log fail (405)! retry later ... 2007/10/12 01:09:20:458 Get log from queue ok! data : 04,http://wtc.trendmicro.com/HcBin/HcAddLog.exe?!CRYPT!840D9F8B6673E6B7938FE41B552222AEBE6084C89290459827DC5BCA8FD062F1EF592D54F5E1D44F485D27ED158F39C605F8CC09665A2E0D3B44E8DAD943670524E6B257D03!840495B73F7BE76A6FA58ED11A8E41533339956AE9515B83BCA22B472247F0DD721CB58B76CFC8E53E07543CED835D6986CBF2DC639618FFB87428771D24D73D4FD117F4D05!3157D480E92B6A83387E1F19114E211FA22FA9E1DCAF947BEEB28560D12 2007/10/12 01:09:21:159 Send log fail (405)! retry later ... 2007/10/12 01:09:21:159 Get log from queue ok! data : 01,http://wtc.trendmicro.com/HcBin/HcAddLog.exe?!CRYPT!8400A15BAC764E91283FE41B552222AEBE6084C89290459827DC5BCA8FD062F1EF592D54F5E1D44F485D27ED158F39C605F8CC09665A2E0D3B44E8DAD943670524E6B20710C!840495B73F7BE76A6FA58ED11A8E41533339956AE9515B83BCA22B472247F0DD721CB58B76CFC8E53E07543CED835D6986CBF2DC639618FFB87428771D24D73D4FD117F4D05!3157D480E92B6A83387E1F19114E211FA22FA9E1DCAF947BEEB28560D12 2007/10/12 01:09:21:860 Send log fail (405)! retry later ... 2007/10/12 01:09:21:860 3A0B008::~CXscanCtrl() 2007/10/12 02:02:11:296 HTML parameter ScanAllDrives = 0 Cleanable = 1 AutoClean = 0 ZipClean = 1 SpecialTSC = 0 EnableTSC = 1 AdUrl = VirusAction = 0 ScanFileExtensOnly = RenameToFileExtens = .VIR MoveToPath = C:\HouseCallQuarantine ShowErrorInAction = 0 TrendUserId = TrendScanCompletedURL = ScanReportUrl = http://wtc.trendmicro.com/HcBin/HcAddLog.exe ScanMemoryVirus = 1 ScanBootVirus = 1 ActiveUpdateUrl = http://housecall-p.activeupdate.trendmicro.com/activeupdate/ HouseCallBaseUrl = http://wtc.trendmicro.com:8000/hcms/ 2007/10/12 02:02:13:028 1FF8008::OnCreate() 2007/10/12 02:02:13:028 1FF8008::COleControl::OnCreate() Pass! 2007/10/12 02:02:13:028 1FF8008::XP platform. 2007/10/12 02:02:13:028 1FF8008::Mutex = 4CC 2007/10/12 02:02:13:059 1FF8008::OnCreate() Web server List checking ... 2007/10/12 02:02:13:059 1FF8008::OnCreate() Get AddressBarText => 'http://secuser.com' 2007/10/12 02:02:13:059 1FF8008::OnCreate() Parsing hostname form AddressBarText => 'http://secuser.com' 2007/10/12 02:02:13:059 m_strClientIP=88.173.42.110 2007/10/12 02:02:13:059 1FF8008::OnCreate() Domain name 'secuser.com' not found in server list 2007/10/12 02:02:13:059 1FF8008::OnCreate() Query Domain name 'secuser.com' to ip 195.210.43.38 2007/10/12 02:02:15:953 1FF8008::OnCreate() Pass! 2007/10/12 02:02:16:093 Get log from queue ok! data : 05,http://wtc.trendmicro.com/HcBin/HcAddLog.exe?!CRYPT!840D9F8B6673E6B7938FE41B552222AEBE6084C89290459827DC5BCA8FD062F1EF592D54F5E1D44F485D27ED158F39C605F8CC09665A2E0D3B44E8DAD943670524E6B257D03!840495B73F7BE76A6FA58ED11A8E41533339956AE9515B83BCA22B472247F0DD721CB58B76CFC8E53E07543CED835D6986CBF2DC639618FFB87428771D24D73D4FD117F4D05!3157D480E92B6A83387E1F19114E211FA22FA9E1DCAF947BEEB28560D12 2007/10/12 02:02:16:624 SendLog GetUrlPostErrorMessage() => Decrypt successfully !
Write to inbox queue successed ! total write 146 byte(s)
Elapsed Time 0 ms
2007/10/12 02:02:16:624 Server side CGI return successed ! 2007/10/12 02:02:16:624 Removed Item from queue! 2007/10/12 02:02:16:624 1FF8008::OnSafeStateToFireEvent() 2007/10/12 02:02:17:645 After call NewEncryptStr => !CRYPT!840DFF993AC5A2DB833FE41B552222AEBE6084C89290459827DC5BCA8FD062F1EF592D54F5E1D44F485D27ED158F39C605F8CC09665A2E0D3B44E8DAD943670524E6B287C0D!840495B73F7BE76A6FA58ED11A8E41533339956AE9515B83BCA22B472247F0DD721CB58B76CFC8E53E07543CED835D6986CBF2DC639618FFB87428771D24D73D4FD117F4D05!3157D480E92B6A83387E1F19114E211FA22FA9E1DCAF947BEEB28560D12 2007/10/12 02:02:17:645 Get log from queue ok! data : 00,http://wtc.trendmicro.com/HcBin/HcAddLog.exe?!CRYPT!840DFF993AC5A2DB833FE41B552222AEBE6084C89290459827DC5BCA8FD062F1EF592D54F5E1D44F485D27ED158F39C605F8CC09665A2E0D3B44E8DAD943670524E6B287C0D!840495B73F7BE76A6FA58ED11A8E41533339956AE9515B83BCA22B472247F0DD721CB58B76CFC8E53E07543CED835D6986CBF2DC639618FFB87428771D24D73D4FD117F4D05!3157D480E92B6A83387E1F19114E211FA22FA9E1DCAF947BEEB28560D12 2007/10/12 02:02:18:346 SendLog GetUrlPostErrorMessage() => Decrypt successfully !
Write to inbox queue successed ! total write 146 byte(s)
Elapsed Time 0 ms
2007/10/12 02:02:18:346 Server side CGI return successed ! 2007/10/12 02:02:18:346 Removed Item from queue! 2007/10/12 02:02:18:346 Get log from queue ok! data : 02,http://wtc.trendmicro.com/HcBin/HcAddLog.exe?!CRYPT!8400A15BAC764E91283FE41B552222AEBE6084C89290459827DC5BCA8FD062F1EF592D54F5E1D44F485D27ED158F39C605F8CC09665A2E0D3B44E8DAD943670524E6B20710C!840495B73F7BE76A6FA58ED11A8E41533339956AE9515B83BCA22B472247F0DD721CB58B76CFC8E53E07543CED835D6986CBF2DC639618FFB87428771D24D73D4FD117F4D05!3157D480E92B6A83387E1F19114E211FA22FA9E1DCAF947BEEB28560D12 2007/10/12 02:02:19:047 SendLog GetUrlPostErrorMessage() => Decrypt successfully !
Write to inbox queue successed ! total write 146 byte(s)
Elapsed Time 0 ms
2007/10/12 02:02:19:047 Server side CGI return successed ! 2007/10/12 02:02:19:047 Removed Item from queue! 2007/10/12 02:02:19:247 1FF8008::~CXscanCtrl() Que dois-je faire maintenant ?

oceane19 · Answer

m as-tu abandonnee ?

Dans le doute de ne pouvoir installer le pare feu que tu m`as conseille j`ai mis en attendant Zone alarm. Qu`en penses-tu ?

A demain j espere

oceane19 · Answer

En attendant,

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 01:19:02, on 13/10/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\cmd.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Installe\Securite\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {EF7B349C-7B63-4C66-86D8-877D50BC55E1} - C:\WINDOWS\System32
nnnl.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\System32\Isass.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [Microsoft Windows Update] xkgewvh.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\RunServices: [Microsoft Windows Update] xkgewvh.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft Windows Update] xkgewvh.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-21-507921405-920026266-1343024091-1003\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_03\bin
pjpi150_03.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_03\bin
pjpi150_03.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: DDE réseau (NetDDE) - Unknown owner - C:\WINDOWS\system32
etdde.exe
O23 - Service: DSDM DDE réseau (NetDDEdsdm) - Unknown owner - C:\WINDOWS\system32
etdde.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Prise en charge des cartes à puces (SCardDrv) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe

clownface · Answer

Bonsoir,

oui il vaut mieux passer en sp2 pour + de sécurité, d'une manière générale, on est toujours mieux protégé quand on est à jour.

réponse à ton message (45), il faut que tu recherches les fichiers en cochant rechercher dans les fichier cachés, rien n'a changé dans ton log hijackthis, ils sont bien là.
puisque tu n'arrives pas à les supprimer comme ça, fais le en mode "sans echec".

zone alarm est très bien comme parefeu, si tu lis l'article dont je t'ai donné le lien, tu verras que zone alarm est recommandé...

oceane19 · Answer

J` ai bien tentee comme tu me l`as dit en cochant les fichiers caches mais il ne les trouve pas.

Je vais tenter en mode sans echec.

Que dois je faire pour passer en sp2. J`ai vu que l`on pouvait commander un cd moyennent 8Euros, ce n est pas le probleme mais c`est long 6 semaines...et en telechargement sur windows la mise a niveau est destinee aux developpeurs et informaticiens. Ou puis je trouver la bonne version en telechargement.


Merci a toi.

clownface · Answer

Bonsoir,

windows xp sp2

oceane19 · Answer

Meme en mode sans echec non seulement il ne me trouve pas les fichiers
C:\WINDOWS\System32\xkgewvh.exe - Par contre ce que je ne comprend pas c`est que Zone Alarm me demamde une autorisation pour ce fichier ... c`est quoi au juste cela?

C:\WINDOWS\system32\drivers\wsnpoem.sys - ne trouve pas 

C:\WINDOWS\System32
nnnl.dll - meme message a la supression, je ne peux pas l`enlever

clownface · Answer

il te demande quoi exactement zone alarm ?

oceane19 · Answer

``PROGRAMME CONNU 

xkgewvh.exe tente d`acceder 

Je ne me souviens plus tres bien je vais redemarrer il va me le redemamder.

pour SP2, je peux le faire maintenanet ou il faut attendre que mon pc soit sain...

oceane19 · Answer

Par contre pour le moment avast ne m a rien detecte. 
j ai oublie pour xkgewvh.exe il me demande autoriser ou refuse, j`avais refuse

je redemarre

clownface · Answer

xkgewvh.ex veut se connecter au net ??
fais toujours refuser si c'est ça...

oceane19 · Answer

Exactement
 PROGRAMME CONNU

xkewvh.exe tente d acceder a internet

JE VIENS DE REFUSER

et c est quoi svchost.exe?

clownface · Answer

svchost c'est normalement des services windows, s'ils ne sont pas détournés...

on va reprendre avec les 3 scans de base : bit defendeur, avg, hijackthis (fais dans l'ordre)

oceane19 · Answer

Ci dessous les rapports

j ai bien vu que 
nnnnl.dll et xkgewvh.exe posent toujours probleme. Comment fait-il pour trouver le dernier ??? c`est incroyable...dans tous les cas il est bien la.

1.BITDEFENDER



BitDefender Online Scanner
	

 
	

 

Rapport d'analyse généré à: Sun, Oct 14, 2007 - 00:00:27

 
	

 
	

 

Voie d'analyse: C:\;D:\;
	

 
	

 

 
	

 
	

 

Statistiques

Temps
	

00:19:42

Fichiers
	

83813

Directoires
	

2023

Secteurs de boot
	

2

Archives
	

828

Paquets programmes
	

3837
	

 
	

 

Résultats

Virus identifiés
	

10

Fichiers infectés
	

41

Fichiers suspects
	

0

Avertissements
	

0

Désinfectés
	

0

Fichiers effacés
	

39
	

 
	

 

Info sur les moteurs

Définition virus
	

826601

Version des moteurs
	

AVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)

Analyse des plugins
	

14

Archive des plugins
	

38

Unpack des plugins
	

7

E-mail plugins
	

6

Système plugins
	

1
	

 
	

 

Paramètres d'analyse

Première action
	

Désinfecté

Seconde Action
	

Supprimé

Heuristique
	

Oui

Acceptez les avertissements
	

Oui

Extensions analysées
	

*;

Excludez les extensions
	

 

Analyse d'emails
	

Oui

Analyse des Archives
	

Oui

Analyser paquets programmes
	

Oui

Analyse des fichiers
	

Oui

Analyse de boot
	

Oui
	

 
	

 
 

Fichier analysé
	

 Statut

C:\a.bat
	

Infecté par: Trojan.Winreg.Zapchast.J

C:\a.bat
	

Echec de la désinfection

C:\a.bat
	

Supprimé

C:\Documents and Settings\Paula\Bureau\Upload_Me.zip=>DOCUME~1/Paula/Bureau/Upload_Me/csrs.exe
	

Infecté par: DeepScan:Generic.Sdbot.75617447

C:\Documents and Settings\Paula\Bureau\Upload_Me.zip=>DOCUME~1/Paula/Bureau/Upload_Me/csrs.exe
	

Echec de la désinfection

C:\Documents and Settings\Paula\Bureau\Upload_Me.zip=>DOCUME~1/Paula/Bureau/Upload_Me/csrs.exe
	

Supprimé

C:\Documents and Settings\Paula\Bureau\Upload_Me.zip
	

Mis à jour

C:\Installe\Securite\MSNFix\10102007_10241936.zip=>backup/csrs.exe
	

Infecté par: DeepScan:Generic.Sdbot.75617447

C:\Installe\Securite\MSNFix\10102007_10241936.zip=>backup/csrs.exe
	

Echec de la désinfection

C:\Installe\Securite\MSNFix\10102007_10241936.zip=>backup/csrs.exe
	

Supprimé

C:\Installe\Securite\MSNFix\10102007_10241936.zip
	

Mis à jour

C:\qoobox\Quarantine\C\WINDOWS\system32\hcfhkatl.dll.vir
	

Infecté par: Trojan.Vundo.DNR

C:\qoobox\Quarantine\C\WINDOWS\system32\hcfhkatl.dll.vir
	

Echec de la désinfection

C:\qoobox\Quarantine\C\WINDOWS\system32\hcfhkatl.dll.vir
	

Supprimé

C:\qoobox\Quarantine\C\WINDOWS\system32\Isass.exe.vir
	

Infecté par: DeepScan:Generic.Sdbot.75617447

C:\qoobox\Quarantine\C\WINDOWS\system32\Isass.exe.vir
	

Echec de la désinfection

C:\qoobox\Quarantine\C\WINDOWS\system32\Isass.exe.vir
	

Supprimé

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP2\A0003126.exe
	

Infecté par: Worm.Allaple.A

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP2\A0003126.exe
	

Supprimé

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP2\A0003128.exe
	

Infecté par: Trojan.Vundo.DNC

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP2\A0003128.exe
	

Supprimé

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP2\A0003132.exe
	

Infecté par: Trojan.Vundo.DNC

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP2\A0003132.exe
	

Supprimé

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP2\A0003167.exe
	

Infecté par: DeepScan:Generic.Sdbot.75617447

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP2\A0003167.exe
	

Echec de la désinfection

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP2\A0003167.exe
	

Supprimé

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP2\A0003169.exe
	

Infecté par: DeepScan:Generic.Sdbot.75617447

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP2\A0003169.exe
	

Echec de la désinfection

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP2\A0003169.exe
	

Supprimé

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP2\A0003308.com
	

Détecté avec: Application.Packer.Enigma.B

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP2\A0003308.com
	

Echec de la désinfection

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP2\A0003308.com
	

Supprimé

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP2\A0003329.exe
	

Infecté par: Trojan.Vundo.DNC

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP2\A0003329.exe
	

Supprimé

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP2\A0005336.exe
	

Infecté par: Worm.Allaple.I

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP2\A0005336.exe
	

Echec de la désinfection

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP2\A0005336.exe
	

Supprimé

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP2\A0005346.com
	

Détecté avec: Application.Packer.Enigma.B

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP2\A0005346.com
	

Echec de la désinfection

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP2\A0005346.com
	

Supprimé

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP2\A0005355.exe
	

Infecté par: Worm.Allaple.I

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP2\A0005355.exe
	

Echec de la désinfection

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP2\A0005355.exe
	

Supprimé

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP2\A0005359.com
	

Détecté avec: Application.Packer.Enigma.B

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP2\A0005359.com
	

Echec de la désinfection

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP2\A0005359.com
	

Supprimé

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP2\A0005399.dll
	

Infecté par: Trojan.Vundo.DNR

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP2\A0005399.dll
	

Echec de la désinfection

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP2\A0005399.dll
	

Supprimé

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP2\A0005403.exe
	

Infecté par: DeepScan:Generic.Sdbot.75617447

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP2\A0005403.exe
	

Echec de la désinfection

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP2\A0005403.exe
	

Supprimé

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP3\A0006452.com
	

Détecté avec: Application.Packer.Enigma.B

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP3\A0006452.com
	

Echec de la désinfection

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP3\A0006452.com
	

Supprimé

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP3\A0007457.exe
	

Infecté par: Worm.Allaple.I

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP3\A0007457.exe
	

Echec de la désinfection

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP3\A0007457.exe
	

Supprimé

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP3\A0007458.com
	

Détecté avec: Application.Packer.Enigma.B

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP3\A0007458.com
	

Echec de la désinfection

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP3\A0007458.com
	

Supprimé

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP3\A0008485.dll
	

Infecté par: Trojan.Vundo.DNN

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP3\A0008485.dll
	

Echec de la désinfection

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP3\A0008485.dll
	

Supprimé

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP3\A0008486.dll
	

Infecté par: Trojan.Vundo.DNN

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP3\A0008486.dll
	

Echec de la désinfection

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP3\A0008486.dll
	

Supprimé

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP3\A0008487.dll
	

Infecté par: Trojan.Vundo.DNN

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP3\A0008487.dll
	

Echec de la désinfection

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP3\A0008487.dll
	

Supprimé

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP3\A0008488.dll
	

Infecté par: Trojan.Vundo.DNN

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP3\A0008488.dll
	

Echec de la désinfection

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP3\A0008488.dll
	

Supprimé

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP3\A0008489.dll
	

Infecté par: Trojan.Vundo.DNN

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP3\A0008489.dll
	

Echec de la désinfection

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP3\A0008489.dll
	

Supprimé

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP3\A0008490.dll
	

Infecté par: Trojan.Vundo.DNN

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP3\A0008490.dll
	

Echec de la désinfection

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP3\A0008490.dll
	

Supprimé

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP3\A0008491.dll
	

Infecté par: Trojan.Vundo.DNN

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP3\A0008491.dll
	

Echec de la désinfection

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP3\A0008491.dll
	

Supprimé

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP3\A0008492.dll
	

Infecté par: Trojan.Vundo.DNN

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP3\A0008492.dll
	

Echec de la désinfection

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP3\A0008492.dll
	

Supprimé

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP3\A0008493.dll
	

Infecté par: Trojan.Vundo.DNN

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP3\A0008493.dll
	

Echec de la désinfection

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP3\A0008493.dll
	

Supprimé

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP3\A0008506.dll
	

Infecté par: Trojan.Vundo.DNN

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP3\A0008506.dll
	

Echec de la désinfection

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP3\A0008506.dll
	

Supprimé

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP3\A0008507.exe
	

Infecté par: Trojan.Vundo.DNC

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP3\A0008507.exe
	

Supprimé

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP3\A0008537.bat
	

Infecté par: Trojan.Winreg.Zapchast.J

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP3\A0008537.bat
	

Echec de la désinfection

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP3\A0008537.bat
	

Supprimé

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP4\A0008553.bat
	

Infecté par: Trojan.Winreg.Zapchast.J

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP4\A0008553.bat
	

Echec de la désinfection

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP4\A0008553.bat
	

Supprimé

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP4\A0008571.bat
	

Infecté par: Trojan.Winreg.Zapchast.J

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP4\A0008571.bat
	

Echec de la désinfection

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP4\A0008571.bat
	

Supprimé

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP4\A0008587.bat
	

Infecté par: Trojan.Winreg.Zapchast.J

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP4\A0008587.bat
	

Echec de la désinfection

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP4\A0008587.bat
	

Supprimé

C:\WINDOWS\system32\.exe
	

Infecté par: Worm.Allaple.A

C:\WINDOWS\system32\.exe
	

Supprimé

C:\WINDOWS\system32\lssas.exe
	

Infecté par: DeepScan:Generic.Sdbot.81380F8A

C:\WINDOWS\system32\lssas.exe
	

Echec de la désinfection

C:\WINDOWS\system32\lssas.exe
	

Supprimé

C:\WINDOWS\system32\MSNGR32.com
	

Détecté avec: Application.Packer.Enigma.B

C:\WINDOWS\system32\MSNGR32.com
	

Echec de la désinfection

C:\WINDOWS\system32\MSNGR32.com
	

Supprimé

C:\WINDOWS\system32
nnnl.dll
	

Infecté par: Trojan.Vundo.DNN

C:\WINDOWS\system32
nnnl.dll
	

Echec de la désinfection

C:\WINDOWS\system32
nnnl.dll
	

Echec de la suppression

C:\WINDOWS\system32\xkgewvh.exe
	

Infecté par: DeepScan:Generic.Sdbot.0BF39035

C:\WINDOWS\system32\xkgewvh.exe
	

Echec de la désinfection

C:\WINDOWS\system32\xkgewvh.exe
	

Echec de la suppression

2.AVG
	
---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

 + Créé à:	00:32:07 14/10/2007

 + Résultat de l'analyse:	



	Rien à signaler.



Fin du rapport

3.

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 00:33:58, on 14/10/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\xkgewvh.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Installe\Securite\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {ADF6F74E-5C39-4570-9199-697730065488} - C:\WINDOWS\System32
nnnl.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\System32\Isass.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [Microsoft Windows Update] xkgewvh.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\RunServices: [Microsoft Windows Update] xkgewvh.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft Windows Update] xkgewvh.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_03\bin
pjpi150_03.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_03\bin
pjpi150_03.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: DDE réseau (NetDDE) - Unknown owner - C:\WINDOWS\system32
etdde.exe
O23 - Service: DSDM DDE réseau (NetDDEdsdm) - Unknown owner - C:\WINDOWS\system32
etdde.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Prise en charge des cartes à puces (SCardDrv) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe

oceane19 · Answer

je dois me deconnecter car malgre que l`on soit dimanche je dois me lever tot.

mais je pense que au plus tot je pourrai me connecter en fin de matinee ou au plus tard en debut d`am.

Bonne nuit a demain j espere

clownface · Answer

Télécharge Pocket KillBox : https://www.bleepingcomputer.com/download/linux/

Ensuite, tu le dézippes sur ton bureau.
Démo animée
http://pageperso.aol.fr/balltrap34/killbox.htm

Ouvre Pocket Killbox

Copie le texte en gras ci-dessous  (sélectionne-le en entier avec ta souris, puis fais un clic-droit dessus et choisis "Copier") :

C:\WINDOWS\System32\xkgewvh.exe
C:\WINDOWS\System32\Isass.exe
C:\WINDOWS\System32
nnnl.dll

Clique sur le menu 'File' de KillBox (en haut à gauche) et choisis Paste from clipboard

Sélectionne "Delete on reboot"

Clique sur le bouton : All Files (!important!)

Clique maintenant sur le bouton Kill (cercle rouge avec un X blanc)
Killbox va te demander "...Would like to Reboot now ?", clique YES et attends le redémarrage.
Si tu ne reçois pas ce message, redémarre le PC normalement.

2/ Supprime ce dossier :

C:\!KillBox

3/ Vide ta corbeille et redémarre ton pc

Petit Diable · Answer

Qu'as-tu comme ordinateur ?

oceane19 · Answer

J` ai fait tout cela apres avoir repondu oui a redemarre le pc j`ai un autre message 
``Pending File rename operations registry data has been removed by external Process``

Ensuite j`ai redemarre manuellement, supprime le dossier, vide la corbeille et redemarre

C`est un Pc portable ACER TravelMate 4000

Que dois-je faire maintenant ?Que voulait dire le message ci-dessous.

@+tard

clownface · Answer

ça signifie qu'il y a eu des modifs de faites, ça semble normal.
refais un hijackthis, pour voir si c'est ok

oceane19 · Answer

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 00:10:18, on 15/10/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Installe\Securite\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {D5FBE8D1-68E3-4879-A860-6430666EF7EF} - C:\WINDOWS\System32
nnnl.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\System32\Isass.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_03\bin
pjpi150_03.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_03\bin
pjpi150_03.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: DDE réseau (NetDDE) - Unknown owner - C:\WINDOWS\system32
etdde.exe
O23 - Service: DSDM DDE réseau (NetDDEdsdm) - Unknown owner - C:\WINDOWS\system32
etdde.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Prise en charge des cartes à puces (SCardDrv) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe

clownface · Answer

Bonjour,

C:\WINDOWS\System32
nnnl.dll
C:\WINDOWS\System32\Isass.exe

sont encore là... il va falloir refaire killbox pour ces deux lignes.
avais-tu bien copié les 3 lignes ?

oceane19 · Answer

Bonsoir,

Oui, j`avais bien copie les 3 lignes.
Je viens de le refaire mais je crois que rien n a change.
Ci dessous le rapport

Par contre, en fouillant je me suis posee la question si pour
C:\WINDOWS\System32\Isass.exe cela n`etait pas plutot Lsass.exe car il ne trouve pas de fichier avec un I par contre avec un L j`en ai trouve 2 dans system32 Lsass et Lsass 3

Cela n`a peut etre rien a voir ...

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 20:30:44, on 15/10/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Installe\Securite\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {DD0AE917-FD52-44B4-A7B7-E3B2E1109BFA} - C:\WINDOWS\System32
nnnl.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\System32\Isass.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_03\bin
pjpi150_03.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_03\bin
pjpi150_03.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: DDE réseau (NetDDE) - Unknown owner - C:\WINDOWS\system32
etdde.exe
O23 - Service: DSDM DDE réseau (NetDDEdsdm) - Unknown owner - C:\WINDOWS\system32
etdde.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Prise en charge des cartes à puces (SCardDrv) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe

clownface · Answer

non le mechant il a un I, c'est à cause de ça que j't'ai demandé de faire un copier/coller...
attend j'regarde ton rapport, je reviens.

clownface · Answer

coches et fixes ces lignes avec hijackthis :

O2 - BHO: (no name) - {DD0AE917-FD52-44B4-A7B7-E3B2E1109BFA} - C:\WINDOWS\System32
nnnl.dll
O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\System32\Isass.exe 

et refais un scan bitdefendeur en ligne

oceane19 · Answer

Ok j ai execute ce que tu m`as demande mais pas moyen de me debarasser de nnnnl.dll

Enfin constate par toi meme



BitDefender Online Scanner
	

 
	

 

Rapport d'analyse généré à: Mon, Oct 15, 2007 - 23:18:23

 
	

 
	

 

Voie d'analyse: C:\;D:\;
	

 
	

 

 
	

 
	

 

Statistiques

Temps
	

00:19:10

Fichiers
	

84197

Directoires
	

2024

Secteurs de boot
	

2

Archives
	

831

Paquets programmes
	

3857
	

 
	

 

Résultats

Virus identifiés
	

5

Fichiers infectés
	

15

Fichiers suspects
	

0

Avertissements
	

0

Désinfectés
	

0

Fichiers effacés
	

14
	

 
	

 

Info sur les moteurs

Définition virus
	

826838

Version des moteurs
	

AVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)

Analyse des plugins
	

14

Archive des plugins
	

38

Unpack des plugins
	

7

E-mail plugins
	

6

Système plugins
	

1
	

 
	

 

Paramètres d'analyse

Première action
	

Désinfecté

Seconde Action
	

Supprimé

Heuristique
	

Oui

Acceptez les avertissements
	

Oui

Extensions analysées
	

*;

Excludez les extensions
	

 

Analyse d'emails
	

Oui

Analyse des Archives
	

Oui

Analyser paquets programmes
	

Oui

Analyse des fichiers
	

Oui

Analyse de boot
	

Oui
	

 
	

 
 

Fichier analysé
	

 Statut

C:\Installe\Securite\backups\backup-20071014-003520-884.dll
	

Infecté par: Trojan.Vundo.DNN

C:\Installe\Securite\backups\backup-20071014-003520-884.dll
	

Echec de la désinfection

C:\Installe\Securite\backups\backup-20071014-003520-884.dll
	

Supprimé

C:\Installe\Securite\backups\backup-20071015-224929-994.dll
	

Infecté par: Trojan.Vundo.DNN

C:\Installe\Securite\backups\backup-20071015-224929-994.dll
	

Echec de la désinfection

C:\Installe\Securite\backups\backup-20071015-224929-994.dll
	

Supprimé

C:\Installe\Securite\backups\backup-20071015-225033-885.dll
	

Infecté par: Trojan.Vundo.DNN

C:\Installe\Securite\backups\backup-20071015-225033-885.dll
	

Echec de la désinfection

C:\Installe\Securite\backups\backup-20071015-225033-885.dll
	

Supprimé

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP4\A0008596.exe
	

Infecté par: Worm.Allaple.A

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP4\A0008596.exe
	

Supprimé

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP4\A0008598.exe
	

Infecté par: DeepScan:Generic.Sdbot.81380F8A

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP4\A0008598.exe
	

Echec de la désinfection

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP4\A0008598.exe
	

Supprimé

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP4\A0008599.com
	

Détecté avec: Application.Packer.Enigma.B

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP4\A0008599.com
	

Echec de la désinfection

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP4\A0008599.com
	

Supprimé

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP4\A0008676.dll
	

Infecté par: Trojan.Vundo.DNN

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP4\A0008676.dll
	

Echec de la désinfection

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP4\A0008676.dll
	

Supprimé

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP4\A0008677.exe
	

Infecté par: DeepScan:Generic.Sdbot.0BF39035

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP4\A0008677.exe
	

Echec de la désinfection

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP4\A0008677.exe
	

Supprimé

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP5\A0008740.dll
	

Infecté par: Trojan.Vundo.DNN

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP5\A0008740.dll
	

Echec de la désinfection

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP5\A0008740.dll
	

Supprimé

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP5\A0008780.dll
	

Infecté par: Trojan.Vundo.DNN

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP5\A0008780.dll
	

Echec de la désinfection

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP5\A0008780.dll
	

Supprimé

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP5\A0008841.dll
	

Infecté par: Trojan.Vundo.DNN

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP5\A0008841.dll
	

Echec de la désinfection

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP5\A0008841.dll
	

Supprimé

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP5\A0008842.dll
	

Infecté par: Trojan.Vundo.DNN

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP5\A0008842.dll
	

Echec de la désinfection

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP5\A0008842.dll
	

Supprimé

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP5\A0008843.dll
	

Infecté par: Trojan.Vundo.DNN

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP5\A0008843.dll
	

Echec de la désinfection

C:\System Volume Information\_restore{C58C7951-2695-4C6D-B39A-5D1DE36F2D81}\RP5\A0008843.dll
	

Supprimé

C:\WINDOWS\system32
nnnl.dll
	

Infecté par: Trojan.Vundo.DNN

C:\WINDOWS\system32
nnnl.dll
	

Echec de la désinfection

C:\WINDOWS\system32
nnnl.dll
	

Echec de la suppression

C:\WINDOWS\system32\xkgewvh.exe
	

Infecté par: DeepScan:Generic.Sdbot.0BF39035

C:\WINDOWS\system32\xkgewvh.exe
	

Echec de la désinfection

C:\WINDOWS\system32\xkgewvh.exe
	

Supprimé

clownface · Answer

essai de faire un scan avec kapersky : http://www.zebulon.fr/outils/antivirus/antivirus-en-ligne.php

oceane19 · Answer

Hier soir, j'ai essayé de faire un scan à plusieurs reprises avec Kapersky mais il s'arrête au telechargement. Si j'ai bien compris, ce qui lui pose problème c'est le fait qu'il detecte des anti-virus installés sur mon PC.

Es-ce possible que cela l'empêche de lancer le scan ?

Je retenterai ce soir de le lancer mais il faut avant que je désactive Avast et AVG...

Merci @+tard

clownface · Answer

Bonsoir,

tu vas tenter la manip suivante : 
demarrer / executer, tu tapes (ou copie/colle)
regsvr32 -u nnnnl.dll
ok

tu me diras quel message tu obtiens.

puis refais killbox pour la ligne :
C:\WINDOWS\System32
nnnl.dll 

enfin si tu penses qu'elle a été supprimé,  refais un scan bitdefender.
et postes le rapport

oceane19 · Answer

Ok, 

Désolé pour hier soir, j'avais un pb de connexion chez moi. Impossible de me connecter.

J'ai fait ce que tu m'as demandé  ( car j'ai le PC avec moi ) et le message obtenu :
" nnnnl.dll a été chargé mais le point d'entrée DllUnregisterServer est introuvable.
Ce fichier ne peut pas être enregistré. "

Et, le fichier est toujours là.

@+tard

oceane19 · Answer

Que dois-je faire ?
C`est incroyable d`avoir autant de difficulte pour se debarasser de ce fichier...

As-tu une explication ? c`est quoi au juste comme fichier ? C`est de la simple curiosite pour comprendre un peu ...

clownface · Answer

bonsoir,
on va refaire un sdfix (idem message 35)

oceane19 · Answer

Ci dessous le rapport

SDFix: Version 1.108

Run by Paula on 17/10/2007 at 22:47

Microsoft Windows XP [version 5.1.2600]

Running From: C:\DOCUME~1\Paula\Bureau\SDFix\SDFix

Safe Mode:
Checking Services: 


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...


Normal Mode:
Checking Files: 

No Trojan Files Found




Removing Temp Files...

ADS Check:

C:\WINDOWS
No streams found. 

C:\WINDOWS\system32
No streams found. 

C:\WINDOWS\system32\svchost.exe
No streams found.
 
C:\WINDOWS\system32
toskrnl.exe
No streams found.
 


                                 Final Check:

Remaining Services:
------------------




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"h"="h:*:Enabled:Microsoft Windows Update"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

Remaining Files:
---------------


Files with Hidden Attributes:

Thu  4 Oct 2007         5,120 A..H. --- "C:\WINDOWS\system32\bpikcatp.exe"
Wed 17 Oct 2007       246,164 ..SH. --- "C:\WINDOWS\system32\lnnnn.bak2"
Wed 10 Oct 2007        55,808 A..H. --- "C:\WINDOWS\system32\lxqio.exe"

Finished! 


+ FICHIER CATCHME

file error: C:\WINDOWS\system32\drivers\wsnpoem.sys

clownface · Answer

il va falloir  refaire un VirtumundoBegone... 

supprimer le trojan vundo virtumonde#2eme methode virtumundobegone
cette dll c'est vundo...

oceane19 · Answer

[10/17/2007, 23:16:08] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\Paula\Bureau\VirtumundoBeGone.exe" )
[10/17/2007, 23:16:11] - Detected System Information:
[10/17/2007, 23:16:11] -  Windows Version: 5.1.2600, Service Pack 1
[10/17/2007, 23:16:11] -  Current Username: Paula (Admin)
[10/17/2007, 23:16:11] -  Windows is in NORMAL mode.
[10/17/2007, 23:16:11] - Searching for Browser Helper Objects:
[10/17/2007, 23:16:11] -  BHO 1: {D6C28944-98AC-475B-B9FC-46D7A9981EE2} ()
[10/17/2007, 23:16:11] - WARNING: BHO has no default name. Checking for Winlogon reference.
[10/17/2007, 23:16:11] -  Checking for HKLM\...\Winlogon\Notify
nnnl
[10/17/2007, 23:16:11] -  Key not found: HKLM\...\Winlogon\Notify
nnnl, continuing.
[10/17/2007, 23:16:11] - Finished Searching Browser Helper Objects
[10/17/2007, 23:16:11] - Finishing up...
[10/17/2007, 23:16:11] - Nothing found! Exiting...

oceane19 · Answer

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 23:21:36, on 17/10/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Installe\Securite\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {473F35C0-2B4E-4164-97BE-01A4AE66F2F7} - C:\WINDOWS\System32
nnnl.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_03\bin
pjpi150_03.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_03\bin
pjpi150_03.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: DDE réseau (NetDDE) - Unknown owner - C:\WINDOWS\system32
etdde.exe
O23 - Service: DSDM DDE réseau (NetDDEdsdm) - Unknown owner - C:\WINDOWS\system32
etdde.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Prise en charge des cartes à puces (SCardDrv) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe

clownface · Answer

a priori il ne reste que lui...
on va essayer avec OTMoveIt : télécharge le sur ton bureau http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe
Double-clique sur OTMoveIt.exe pour le lancer.
Copie/colle les fichiers/dossiers suivants dans le cadre de gauche nommé Paste List of Files/Folders to be moved.

C:\WINDOWS\System32
nnnl.dll

Clique sur MoveIt! pour lancer la suppression.
Lorsque un résultat apparaît dans le cadre Results, clique sur Exit. 

tu trouveras le rapport sur C:\_OTMoveIt\MovedFiles

(si ça marche pas, essai la meme chose en mode sans echec)

Utilisateur anonyme · Answer

salut à tous,
;-)
pour avancer
------------------------------------
cocher + fixer
https://leblogdeclaude.blogspot.com/2007/05/comment-utiliser-hijackthis-fixer.html
------------------------------------------------------------------
O2 - BHO: (no name) - {473F35C0-2B4E-4164-97BE-01A4AE66F2F7} - C:\WINDOWS\System32
nnnl.dll 
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx 
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe 
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized 
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_03\bin
pjpi150_03.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_03\bin
pjpi150_03.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) 
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab 
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab 
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe 
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe 
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe 
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe 
-----------------------------------------------------
terminer ces services (pas utile en décontamination)
de plus la version free de AVG ne protège pas en temps réel...

certain services démarrer, peuvent caché des "bestiolles"---->a-squared Free Service
En phase de décontamination, moins il y en a..mieux c'est !
-------------------------------------------------------------------------------------
comment faire ?
https://leblogdeclaude.blogspot.com/2007/07/comment-stopper-un-service.html
----------------------------------------
 a-squared Free Service
AVG Anti-Spyware Guard 
 Partage de Bureau à distance NetMeeting 
 Gestionnaire de session d'aide sur le Bureau à distance
--------------------------------------------------------------------------------
faire ceci:
https://leblogdeclaude.blogspot.com/2007/05/procdure-vundofix.html
poster le rapport
-------------------------------------------------
ensuite faire ceci:
télécharger:
http://download.bleepingcomputer.com/sUBs/Beta/ComboFix.exe
tuto si besoin
http://mickael.barroux.free.fr/securite/combofix.php
poster le rapport

------------------------------------------------------------------------
pour terminer mettre la version Java à jour:(jre1.5.0_03 vulnérable , donc exploitable !)
https://leblogdeclaude.blogspot.com/2007/07/mettre-jour-votre-version-java.html

oceane19 · Answer

Bonjour, Dans tous les cas merci a tous les 2 pour votre aide et votre patience. Je suis au bureau, j'ai mon pc mais je ne peux pas me connecter au réseau ( sécurisé, normal ). Donc, dans l'immediat je peux uniquement faire ce qui ne necessite pas de connexion. 1. Message 82 de Clownface : je ne peux pas telecharger l'application pour le moment ( j'essaie ce soir ) 2.Message 83 de Philo2100 : - J'ai coché et fixé - Terminer services Ok - Vundofix ne trouve rien. - Combofix - rapport ci-dessous VundoFix V6.5.4 Checking Java version... Java version is 1.5.0.3 Old versions of java are exploitable and should be removed. Scan started at 14:13:52 18/10/2007 Listing files found while scanning.... No infected files were found. Beginning removal... ComboFix 07-10-11.1 - Paula 2007-10-18 14:26:36.2 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.1.1252.1.1036.18.226 [GMT 2:00] Running from: C:\Documents and Settings\Paula\Bureau\ComboFix.exe . ((((((((((((((((((((((((((((( Fichiers créés 2007-09-18 to 2007-10-18 )))))))))))))))))))))))))))))))))))) . 2007-10-18 14:13 d-------- C:\VundoFix Backups 2007-10-15 23:51 d-------- C:\Documents and Settings\All Users\Application Data\Kaspersky Lab 2007-10-15 23:49 d-------- C:\WINDOWS\system32\Kaspersky Lab 2007-10-13 22:13 246,164 ---hs---- C:\WINDOWS\system32\lnnnn.bak2 2007-10-13 01:08 d-------- C:\Program Files\a-squared Free 2007-10-13 00:54 0 --a------ C:\WINDOWS sreg.dat 2007-10-13 00:50 325,044 --a------ C:\WINDOWS\system32\Gothic.exe 2007-10-13 00:49 d-------- C:\Documents and Settings\All Users\Application Data\MailFrontier 2007-10-13 00:49 75,932 --a------ C:\WINDOWS\system32\drivers\klick.dat 2007-10-13 00:49 75,248 --a------ C:\WINDOWS\zllsputility.exe 2007-10-13 00:49 74,396 --a------ C:\WINDOWS\system32\drivers\klin.dat 2007-10-13 00:49 54,672 --a------ C:\WINDOWS\system32\vsutil_loc040c.dll 2007-10-13 00:49 42,384 --a------ C:\WINDOWS\zllsputility_loc040c.dll 2007-10-13 00:49 21,904 --a------ C:\WINDOWS\system32\imsinstall_loc040c.dll 2007-10-13 00:49 17,808 --a------ C:\WINDOWS\system32\imslsp_install_loc040c.dll 2007-10-13 00:49 11,264 --a------ C:\WINDOWS\system32\SpOrder.dll 2007-10-13 00:49 4,212 ---h----- C:\WINDOWS\system32\zllictbl.dat 2007-10-13 00:46 d-------- C:\WINDOWS\Internet Logs 2007-10-12 01:14 102,664 --a------ C:\WINDOWS\system32\drivers mcomm.sys 2007-10-12 01:12 d-------- C:\WINDOWS\Sun 2007-10-12 01:12 d-------- C:\Documents and Settings\Paula\.housecall6.6 2007-10-12 01:11 d-------- C:\Program Files\Java 2007-10-12 01:10 d-------- C:\Program Files\Fichiers communs\Java 2007-10-12 01:08 507,904 --a------ C:\WINDOWS\TMUPDATE.DLL 2007-10-12 01:08 286,720 --a------ C:\WINDOWS\PATCH.EXE 2007-10-12 01:08 69,689 --a------ C:\WINDOWS\UNZIP.DLL 2007-10-12 00:03 6,465 --------- C:\WINDOWS\system32\lnnnn.bak1 2007-10-10 23:58 51,200 --a------ C:\WINDOWS\NirCmd.exe 2007-10-10 23:47 55,808 --ah----- C:\WINDOWS\system32\lxqio.exe 2007-10-10 23:35 1,635 --a------ C:\WINDOWS\system32 tlbjngx.exe 2007-10-10 23:35 1,635 --a------ C:\WINDOWS\system32\muiuyrtg.exe 2007-10-10 23:35 1,635 --a------ C:\WINDOWS\system32\fqlgd.exe 2007-10-10 23:35 121 --a------ C:\WINDOWS\system32\zxivqjjf.bat 2007-10-10 23:34 1,635 --a------ C:\WINDOWS\system32\zhsp.exe 2007-10-10 23:34 1,635 --a------ C:\WINDOWS\system32\fwqdgj.exe 2007-10-10 23:34 1,635 --a------ C:\WINDOWS\system32\aomiiz.exe 2007-10-10 23:30 d-------- C:\WINDOWS\ERUNT 2007-10-10 22:17 d-------- C:\Program Files\Navilog1 2007-10-10 01:23 d-------- C:\Documents and Settings\All Users\Application Data\Grisoft 2007-10-10 01:21 1,635 --a------ C:\WINDOWS\system32\wuxgh.exe 2007-10-10 01:21 1,635 --a------ C:\WINDOWS\system32\uugfxbr.exe 2007-10-10 00:52 3,968 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys 2007-10-10 00:33 d-------- C:\Program Files\Trojan Remover 2007-10-10 00:33 d-------- C:\Documents and Settings\Paula\Application Data\Simply Super Software 2007-10-10 00:33 153,088 --a------ C:\WINDOWS\system32\UNRAR3.dll 2007-10-10 00:33 75,264 --a------ C:\WINDOWS\system32\unacev2.dll 2007-10-10 00:29 d-------- C:\WINDOWS\LastGood.Tmp 2007-10-09 23:57 1,635 --a------ C:\WINDOWS\system32\mfzloot.exe 2007-10-09 23:57 1,635 --a------ C:\WINDOWS\system32\crvi.exe 2007-10-09 23:54 1,635 --a------ C:\WINDOWS\system32\eeynwtlb.exe 2007-10-09 23:54 1,635 --a------ C:\WINDOWS\system32\asonart.exe 2007-10-09 23:33 34,816 --a------ C:\WINDOWS\system32\kljoo.exe 2007-10-09 23:19 1,635 --a------ C:\WINDOWS\system32\zejunkd.exe 2007-10-09 23:19 1,635 --a------ C:\WINDOWS\system32\plwaoxfd.exe 2007-10-09 23:11 1,635 --a------ C:\WINDOWS\system32\gkhby.exe 2007-10-09 23:11 1,635 --a------ C:\WINDOWS\system32\choespc.exe 2007-10-09 22:56 1,635 --a------ C:\WINDOWS\system32\qxpzpsh.exe 2007-10-09 22:56 1,635 --a------ C:\WINDOWS\system32\azke.exe 2007-10-09 22:47 1,635 --a------ C:\WINDOWS\system32\pdffvv.exe 2007-10-09 22:47 1,635 --a------ C:\WINDOWS\system32\kvxkaiyt.exe 2007-10-09 22:36 187,160 --a------ C:\WINDOWS\system32\wuaueng1.dll 2007-10-09 22:36 170,776 --a------ C:\WINDOWS\system32\wuauclt1.exe 2007-10-09 22:26 1,635 --a------ C:\WINDOWS\system32\dzwavfx.exe 2007-10-09 22:26 1,635 --a------ C:\WINDOWS\system32\bozdlpue.exe 2007-10-09 16:11 163,840 --a------ C:\WINDOWS\system32\igfxres.dll 2007-10-09 15:56 100,864 --a------ C:\WINDOWS\system32\irftp.exe 2007-10-09 15:56 79,360 --a------ C:\WINDOWS\system32\irmon.dll 2007-10-09 15:56 55,296 --a------ C:\WINDOWS\system32\drivers\irda.sys 2007-10-09 15:56 7,680 --a------ C:\WINDOWS\system32\wshirda.dll 2007-10-09 15:50 19,584 --a------ C:\WINDOWS\system32\drivers asirda.sys 2007-10-09 15:47 24,661 --a------ C:\WINDOWS\system32\spxcoins.dll 2007-10-09 15:47 24,661 --a--c--- C:\WINDOWS\system32\dllcache\spxcoins.dll 2007-10-09 15:47 13,312 --a------ C:\WINDOWS\system32\irclass.dll 2007-10-09 15:47 13,312 --a--c--- C:\WINDOWS\system32\dllcache\irclass.dll 2007-10-09 12:48 2,273,280 --a------ C:\WINDOWS\system32\ialmgicd.dll 2007-10-09 12:48 471,040 --a------ C:\WINDOWS\system32\ialmgdev.dll 2007-10-09 12:48 61,440 --a------ C:\WINDOWS\system32\iAlmCoIn_v3762.dll 2007-10-09 12:48 49,152 --a------ C:\WINDOWS\system32\ialmrem.dll 2007-10-09 12:14 742,400 --a--c--- C:\WINDOWS\system32\dllcache\helpctr.exe 2007-10-09 12:14 613,376 --a------ C:\WINDOWS\system32\xpsp2res.dll 2007-10-09 12:14 26,112 --a------ C:\WINDOWS\system32\xpsp1hfm.exe 2007-10-09 12:08 497,152 --a------ C:\WINDOWS\system32\hypertrm.dll 2007-10-09 01:01 d-------- C:\WINDOWS\system32\ActiveScan 2007-10-09 00:38 271,224 --a------ C:\WINDOWS\system32\mucltui.dll 2007-10-09 00:30 1,635 --a------ C:\WINDOWS\system32\uizyuwk.exe 2007-10-09 00:30 1,635 --a------ C:\WINDOWS\system32\bzvsyola.exe 2007-10-08 23:03 414 --a------ C:\WINDOWS\system32 mp.reg 2007-10-08 22:40 1,635 --a------ C:\WINDOWS\system32\mcmd.exe 2007-10-08 22:40 1,635 --a------ C:\WINDOWS\system32\kqvfab.exe 2007-10-07 23:53 1,635 --a------ C:\WINDOWS\system32\ffferqq.exe 2007-10-07 23:53 1,635 --a------ C:\WINDOWS\system32\daqwnge.exe 2007-10-07 21:41 1,635 --a------ C:\WINDOWS\system32\htbjws.exe 2007-10-07 21:41 1,635 --a------ C:\WINDOWS\system32\cryl.exe 2007-10-07 18:35 d-------- C:\Documents and Settings\Paula\Application Data\MSN6 2007-10-07 02:46 d-------- C:\WINDOWS\provisioning 2007-10-07 02:42 d-------- C:\WINDOWS\ServicePackFiles 2007-10-07 01:33 1,635 --a------ C:\WINDOWS\system32\kmzezyg.exe 2007-10-07 01:33 1,635 --a------ C:\WINDOWS\system32\iqdgym.exe 2007-10-07 00:32 6,550 --a------ C:\WINDOWS\jautoexp.dat 2007-10-06 23:37 1,635 --a------ C:\WINDOWS\system32\wepo.exe . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2007-10-16 06:17 8,736 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat 2007-10-16 06:17 2,444 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx 2007-10-16 06:17 116,768 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat 2007-10-16 06:17 1,892 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx 2007-10-02 21:17 --------- d--h--w C:\Program Files\InstallShield Installation Information 2007-10-02 16:58 --------- d-----w C:\Program Files\Synaptics 2007-10-02 16:55 --------- d-----w C:\Program Files\Launch Manager 2007-10-02 16:54 --------- d-----w C:\Program Files\Broadcom 2007-10-02 16:50 --------- d-----w C:\Program Files\Fichiers communs\SpeechEngines 2007-10-02 16:50 --------- d-----w C:\Program Files\Fichiers communs\ODBC 2007-10-02 16:50 --------- d-----w C:\Program Files\Fichiers communs\InstallShield 2007-10-02 16:48 --------- d-----w C:\Program Files\acer 2007-10-02 16:47 --------- d-----w C:\Program Files\Intel 2007-10-02 16:03 --------- d-----w C:\Program Files\microsoft frontpage 2007-10-02 16:00 --------- d-----w C:\Program Files\Fichiers communs\MSSoap 2007-07-30 17:19 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll 2007-07-30 17:18 207,736 ----a-w C:\WINDOWS\system32\muweb.dll . ((((((((((((((((((((((((((((( snapshot@2007-10-12_ 0.02.34.18 ))))))))))))))))))))))))))))))))))))))))) . ----a-w 77,824 2002-10-15 12:29:40 C:\WINDOWS\loadhttp.dll ----a-w 164,864 2001-12-14 11:34:46 C:\WINDOWS\patchw32.dll ----a-w 99,328 2005-11-02 16:07:12 C:\WINDOWS untsckl.exe ----a-w 1,916,928 2007-10-17 20:46:57 C:\WINDOWS\ERUNT\SDFIX\Users\00000001 tuser.dat ----a-w 8,192 2007-10-17 20:46:57 C:\WINDOWS\ERUNT\SDFIX\Users\00000002\UsrClass.dat ----a-w 49,248 2005-04-13 00:19:56 C:\WINDOWS\system32\java.exe ----a-w 49,250 2005-04-13 00:20:04 C:\WINDOWS\system32\javaw.exe ----a-w 127,078 2005-04-13 01:48:54 C:\WINDOWS\system32\javaws.exe ----a-w 796,048 2007-06-21 19:54:26 C:\WINDOWS\system32\libeay32_0.9.6l.dll ----a-w 83,432 2007-06-21 19:54:30 C:\WINDOWS\system32\vsdata.dll ----a-w 394,984 2007-06-21 19:54:52 C:\WINDOWS\system32\vsdatant.sys ----a-w 157,160 2007-06-21 19:54:32 C:\WINDOWS\system32\vsinit.dll ----a-w 103,912 2007-06-21 19:54:32 C:\WINDOWS\system32\vsmonapi.dll ----a-w 275,944 2007-06-21 19:54:32 C:\WINDOWS\system32\vspubapi.dll ----a-w 71,144 2007-06-21 19:54:32 C:\WINDOWS\system32\vsregexp.dll ----a-w 472,552 2007-06-21 19:54:34 C:\WINDOWS\system32\vsutil.dll ----a-w 46,568 2007-06-21 19:54:34 C:\WINDOWS\system32\vswmi.dll ----a-w 99,816 2007-06-21 19:54:34 C:\WINDOWS\system32\vsxml.dll ----a-w 83,432 2007-06-21 19:54:34 C:\WINDOWS\system32\zlcomm.dll ----a-w 71,144 2007-06-21 19:54:34 C:\WINDOWS\system32\zlcommdb.dll ----a-w 1,086,952 2007-06-21 19:54:40 C:\WINDOWS\system32\zpeng24.dll ----a-w 258,048 2007-10-18 12:26:34 C:\WINDOWS\system32\config\systemprofile tuser.dat ----a-w 32,768 2007-10-17 14:56:19 C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat ----a-w 32,768 2007-10-17 14:56:19 C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat ----a-w 32,768 2007-10-17 14:56:19 C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat ----a-w 110,360 2007-05-30 22:03:48 C:\WINDOWS\system32\drivers\kl1.sys ----a-w 175,376 2007-05-30 22:03:48 C:\WINDOWS\system32\drivers\klif.sys ----a-w 213,048 2005-05-24 10:27:16 C:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner\kavss.dll ----a-w 94,208 2007-08-29 13:47:20 C:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner\kavuninstall.exe ----a-w 366,112 2007-06-21 19:54:24 C:\WINDOWS\system32\ZoneLabs\av.dll ----a-w 26,000 2007-06-21 19:55:26 C:\WINDOWS\system32\ZoneLabs\av_loc040c.dll ----a-w 99,816 2007-06-21 19:54:24 C:\WINDOWS\system32\ZoneLabs\camupd.dll ----a-w 17,808 2007-06-21 19:55:26 C:\WINDOWS\system32\ZoneLabs\camupd_loc040c.dll ----a-w 813,568 2004-01-30 10:35:08 C:\WINDOWS\system32\ZoneLabs\dbghelp.dll ----a-w 128,480 2007-06-21 19:54:24 C:\WINDOWS\system32\ZoneLabs\fbl.dll ----a-w 38,376 2007-06-21 19:54:26 C:\WINDOWS\system32\ZoneLabs\featuremap.dll ----a-w 321,016 2007-06-21 19:54:26 C:\WINDOWS\system32\ZoneLabs\imsecure.dll ----a-w 26,000 2007-06-21 19:55:28 C:\WINDOWS\system32\ZoneLabs\imsecure_loc040c.dll ----a-w 714,472 2007-06-11 10:43:50 C:\WINDOWS\system32\ZoneLabs\qrbase.dll ----a-w 788,200 2007-06-11 10:43:52 C:\WINDOWS\system32\ZoneLabs\qrsrecl.dll ----a-w 173,544 2007-06-21 19:54:28 C:\WINDOWS\system32\ZoneLabs\scheduler.dll ----a-w 17,808 2007-06-21 19:55:30 C:\WINDOWS\system32\ZoneLabs\scheduler_loc040c.dll ----a-w 2,432,259 2007-01-11 09:12:08 C:\WINDOWS\system32\ZoneLabs\spyware.dat ----a-w 1,496,808 2007-06-11 10:43:56 C:\WINDOWS\system32\ZoneLabs\srescan.dll ----a-w 50,416 2007-06-11 10:44:10 C:\WINDOWS\system32\ZoneLabs\srescan.sys ----a-w 456,168 2007-06-21 19:54:28 C:\WINDOWS\system32\ZoneLabs\ssleay32.dll ----a-w 833,248 2007-10-13 20:26:12 C:\WINDOWS\system32\ZoneLabs\updating.dll ----a-w 144,936 2007-06-21 19:54:46 C:\WINDOWS\system32\ZoneLabs\updclient.exe ----a-w 75,152 2007-06-21 19:55:30 C:\WINDOWS\system32\ZoneLabs\updClient_loc040c.dll ----a-w 286,787 2007-01-11 15:31:06 C:\WINDOWS\system32\ZoneLabs\updtrsdk.dll ----a-w 503,875 2006-09-04 18:59:14 C:\WINDOWS\system32\ZoneLabs\upd_core.dll ----a-w 108,008 2007-06-21 19:54:30 C:\WINDOWS\system32\ZoneLabs\vsavpro.dll ----a-w 79,336 2007-06-21 19:54:30 C:\WINDOWS\system32\ZoneLabs\vsdb.dll ----a-w 17,808 2007-06-21 19:55:30 C:\WINDOWS\system32\ZoneLabs\vsdb_loc040c.dll ----a-w 75,304 2007-06-21 19:54:46 C:\WINDOWS\system32\ZoneLabs\vsmon.exe ----a-w 2,024,936 2007-06-21 19:54:32 C:\WINDOWS\system32\ZoneLabs\vsmondll.dll ----a-w 46,480 2007-06-21 19:55:30 C:\WINDOWS\system32\ZoneLabs\vsmon_loc040c.dll ----a-w 1,345,000 2007-06-21 19:54:32 C:\WINDOWS\system32\ZoneLabs\vsruledb.dll ----a-w 198,032 2007-06-21 19:55:30 C:\WINDOWS\system32\ZoneLabs\vsruledb_loc040c.dll ----a-w 243,176 2007-06-21 19:54:34 C:\WINDOWS\system32\ZoneLabs\vsvault.dll ----a-w 17,808 2007-06-21 19:55:30 C:\WINDOWS\system32\ZoneLabs\vsvault_loc040c.dll ----a-w 2,432,259 2007-01-11 09:12:08 C:\WINDOWS\system32\ZoneLabs\zlasdbup.dat ----a-w 177,640 2007-06-21 19:54:36 C:\WINDOWS\system32\ZoneLabs\zlparser.dll ----a-w 79,344 2007-06-21 19:54:36 C:\WINDOWS\system32\ZoneLabs\zlquarantine.dll ----a-w 17,808 2007-06-21 19:55:32 C:\WINDOWS\system32\ZoneLabs\zlquarantine_loc040c.dll ----a-w 378,344 2007-06-21 19:54:36 C:\WINDOWS\system32\ZoneLabs\zlsre.dll ----a-w 21,904 2007-06-21 19:55:32 C:\WINDOWS\system32\ZoneLabs\zlsre_loc040c.dll ----a-w 120,296 2007-06-21 19:54:36 C:\WINDOWS\system32\ZoneLabs\zlupdate.dll ----a-w 77,824 2007-05-30 22:03:16 C:\WINDOWS\system32\ZoneLabs\avsys\CKAHComm.dll ----a-w 110,592 2007-05-30 22:03:16 C:\WINDOWS\system32\ZoneLabs\avsys\CKAHrule.dll ----a-w 331,776 2007-05-30 22:03:16 C:\WINDOWS\system32\ZoneLabs\avsys\CKAHUM.dll ----a-w 38,400 2007-05-30 22:03:16 C:\WINDOWS\system32\ZoneLabs\avsys\FSSync.dll ----a-w 208,960 2006-09-19 21:12:14 C:\WINDOWS\system32\ZoneLabs\avsys\inv.dll ----a-w 258,048 2007-05-30 22:03:16 C:\WINDOWS\system32\ZoneLabs\avsys\kave.dll ----a-w 175,376 2007-05-30 22:03:48 C:\WINDOWS\system32\ZoneLabs\avsys\klif_32.sys ----a-w 1,093,632 2006-12-19 16:13:52 C:\WINDOWS\system32\ZoneLabs\avsys\libeay32.dll ----a-w 548,864 2007-05-30 22:03:20 C:\WINDOWS\system32\ZoneLabs\avsys\msvcp80.dll ----a-w 626,688 2007-05-30 22:03:20 C:\WINDOWS\system32\ZoneLabs\avsys\msvcr80.dll ----a-w 184,320 2007-05-30 22:03:18 C:\WINDOWS\system32\ZoneLabs\avsys\prloader.dll ----a-w 90,112 2007-05-30 22:03:22 C:\WINDOWS\system32\ZoneLabs\avsys\prremote.dll ----a-w 118,784 2007-05-30 22:03:18 C:\WINDOWS\system32\ZoneLabs\avsys\ScanningProcess.exe ----a-w 200,704 2006-12-19 16:13:52 C:\WINDOWS\system32\ZoneLabs\avsys\ssleay32.dll ----a-w 65,248 2007-05-30 22:03:30 C:\WINDOWS\system32\ZoneLabs\avsys\bases\aphish.dat ----a-w 21,568 2006-06-30 12:47:36 C:\WINDOWS\system32\ZoneLabs\avsys\bases\avcmhk4.dll ----a-w 288,144 2007-06-21 19:55:26 C:\WINDOWS\system32\ZoneLabs\lib\ConfigWizard_loc040c.zip.dll ----a-w 152,976 2007-06-21 19:55:28 C:\WINDOWS\system32\ZoneLabs\lib\LicenseUI_loc040c.zip.dll ----a-w 26,000 2007-06-21 19:54:54 C:\WINDOWS\system32\ZoneLabs\lib\zlsvc.zip.dll ----a-w 1,361,296 2007-06-21 19:54:54 C:\WINDOWS\system32\ZoneLabs\lib\zpy.zip.dll ----a-w 71,056 2007-06-21 19:54:54 C:\WINDOWS\system32\ZoneLabs\lib\zui.zip.dll ----a-w 30,184 2007-06-21 19:56:16 C:\WINDOWS\system32\ZoneLabs\plugins pc_server pc_server.dll ----a-w 30,216 2007-06-21 19:56:16 C:\WINDOWS\system32\ZoneLabs\plugins\vsmon_plugin\vsmon_plugin.dll ----a-w 210,432 2007-06-21 19:56:16 C:\WINDOWS\system32\ZoneLabs\streamapi\httpblocker\httpblocker.dll ----a-w 3,229,176 2007-06-21 19:56:18 C:\WINDOWS\system32\ZoneLabs\streamapi\imslsp\imslsp.dll ----a-w 26,000 2007-06-21 19:55:28 C:\WINDOWS\system32\ZoneLabs\streamapi\imslsp\imslsp_loc040c.dll ----atw 16,384 2007-10-18 12:09:15 C:\WINDOWS\Temp\Perflib_Perfdata_cc.dat . ----a-w 1,302,528 2007-10-10 21:30:40 C:\WINDOWS\ERUNT\SDFIX\Users\00000001 tuser.dat ----a-w 8,192 2007-10-10 21:30:40 C:\WINDOWS\ERUNT\SDFIX\Users\00000002\UsrClass.dat ----a-w 258,048 2007-10-10 21:58:47 C:\WINDOWS\system32\config\systemprofile tuser.dat ----a-w 32,768 2007-10-09 22:21:27 C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat ----a-w 32,768 2007-10-09 22:21:27 C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat ----a-w 32,768 2007-10-09 22:21:27 C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{47821E5A-81EB-44CC-8990-1767F446E9DE}] 2007-10-02 23:44 310880 --------- C:\WINDOWS\System32 nnnl.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-06-21 21:54] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2002-08-30 14:00] [HKEY_USERS\.default\software\microsoft\windows\currentversion un] "winenv"=winenv.exe "Microsoft Windows Update"=xkgewvh.exe [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] "Authentication Packages"= msv1_0 C:\WINDOWS\System32 nnnl.dll R1 SMBHC;Pilote de contrôleur hôte du bus de gestion du système Microsoft;C:\WINDOWS\System32\DRIVERS\SMBHC.sys R2 EpmPsd;Acer EPM Power Scheme Driver;\??\C:\WINDOWS\System32\drivers\epm-psd.sys R2 EpmShd;Acer EPM System Hardware Driver;\??\C:\WINDOWS\System32\drivers\epm-shd.sys R3 SMBBATT;Pilote de batterie intelligente Microsoft;C:\WINDOWS\System32\DRIVERS\SMBBATT.sys S3 DKbFltr;Dritek HotKey Keyboard Filter Driver;C:\WINDOWS\System32\Drivers\DKbFltr.sys S4 NOTEPAD;NOTEPAD;"C:\WINDOWS\system\NOTEPAD.exe" . ************************************************************************** catchme 0.3.1169 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-10-18 14:28:37 Windows 5.1.2600 Service Pack 1 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... ************************************************************************** . Completion time: 2007-10-18 14:29:43 . --- E O F --- @+tard

Utilisateur anonyme · Answer

ok,
fais ceci:
https://leblogdeclaude.blogspot.com/2007/03/informatique-procdure-navifix.html
postes le rapport

oceane19 · Answer

Search Navipromo version 3.2.1 commencé le 19/10/2007 à 11:50:43,73

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Program Files
avilog1
Mise a jour le 09.10.2007 a 18h00 by IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2800.1106 


*** Recherche Programmes installes ***




*** Recherche dossiers dans C:\WINDOWS ***



*** Recherche dossiers dans C:\Program Files ***



*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




*** Recherche dossiers dans C:\Documents and Settings\Paula\Application Data ***


*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***


*** Recherche avec Catchme-rootkit/stealth malware detector by gmer ***
pour + d'infos : http://www.gmer.net

Aucun fichier trouvé dans :

- C:\WINDOWS\system32
- C:\DOCUME~1\Paula\LOCALS~1\APPLIC~1



*** Recherche avec GenericNaviSearch ***
!!! Tous Ces résultats peuvent révéler des fichiers légitimes !!!
!!! A verifier impérativement avant toute suppression manuelle !!!

* Scan C:\WINDOWS\system32 *

* Scan C:\DOCUME~1\Paula\LOCALS~1\APPLIC~1 *



*** Recherche fichiers *** 




*** Recherche cles registre ***


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:
C:\WINDOWS\system32\lnnnn.bak1 trouvé ! infection Vundo possible non traité par cet outil !
C:\WINDOWS\system32\lnnnn.bak2 trouvé ! infection Vundo possible non traité par cet outil !

2)Recherche Heuristique :



3)Recherche Certificats :

Certificat Egroup absent !


*** Analyse Terminé le 19/10/2007 à 11:51:35,13 ***


Dois-je faire la desinfection ?

Merci @+tard

Utilisateur anonyme · Answer

ok, fais ceci:
https://leblogdeclaude.blogspot.com/2007/05/procdure-vundofix.html
postes le rapport

oceane19 · Answer

Bonjour,

Comme d'ab, Vundofix ne trouve rien ...

Merci @+tard

Utilisateur anonyme · Answer

avec Vundofix,
fais un clic droit dans la fenêtre.
tu vas voir 'Add more files s'afficher sur fond gris"
là tu copie les chemins


C:\WINDOWS\system32\lnnnn.bak1
C:\WINDOWS\system32\lnnnn.bak2

puis remove Vundo

oceane19 · Answer

Ok c`est fait et j`ai redemarre conformement a sa demande.

Que dois-je faire a present ?

Merci encore pour ton aide.

Utilisateur anonyme · Answer

ok,
refais un Navifix option 1, on va voir si l'outil les détecte encore:
S'il ne sont plus làn on ne trouvera pas ces lignes---->
1)Recherche fichiers connus:
C:\WINDOWS\system32\lnnnn.bak1 trouvé ! infection Vundo possible non traité par cet outil !
C:\WINDOWS\system32\lnnnn.bak2 trouvé ! infection Vundo possible non traité par cet outil ! 
-----------------------------------------------------------------------------------------------------------------------

https://leblogdeclaude.blogspot.com/2007/03/informatique-procdure-navifix.html

oceane19 · Answer

Je crois que c'est bon ...

Search Navipromo version 3.2.1 commencé le 26/10/2007 à 12:24:00,44

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Program Files
avilog1
Mise a jour le 09.10.2007 a 18h00 by IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2800.1106 


*** Recherche Programmes installes ***




*** Recherche dossiers dans C:\WINDOWS ***



*** Recherche dossiers dans C:\Program Files ***



*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




*** Recherche dossiers dans C:\Documents and Settings\Paula\Application Data ***


*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***


*** Recherche avec Catchme-rootkit/stealth malware detector by gmer ***
pour + d'infos : http://www.gmer.net

Aucun fichier trouvé dans :

- C:\WINDOWS\system32
- C:\DOCUME~1\Paula\LOCALS~1\APPLIC~1



*** Recherche avec GenericNaviSearch ***
!!! Tous Ces résultats peuvent révéler des fichiers légitimes !!!
!!! A verifier impérativement avant toute suppression manuelle !!!

* Scan C:\WINDOWS\system32 *

* Scan C:\DOCUME~1\Paula\LOCALS~1\APPLIC~1 *



*** Recherche fichiers *** 




*** Recherche cles registre ***


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:

2)Recherche Heuristique :



3)Recherche Certificats :

Certificat Egroup absent !


*** Analyse Terminé le 26/10/2007 à 12:24:51,27 ***

Utilisateur anonyme · Answer

On dirait que c'est bon.
refaits un Smitfraud
https://leblogdeclaude.blogspot.com/2007/04/informatique-procdure-smitfraud.html

clownface · Answer

Bonsoir a vous deux en passant

quel talent ce philo... merci pour ton aide  :)

Utilisateur anonyme · Answer

salut clownface,
pas de quoi !
bonne journée.
;-)

oceane19 · Answer

Bonjour,

Je suis au bureau donc je ne peux pas telecharger smitfraud. Je lance cela ce soir et on croise les doigts...

Après cela, si c'est bon j'essaie de passer en SP2 en espérant que cela se passe bien.

Je vous tiens au courant ce soir ou demain matin.

Merci encore pour tout et à tous les 2.

@+tard

Utilisateur anonyme · Answer

" si c'est bon j'essaie de passer en SP2 "
Si ton PC fonctionne bien en sp1 et ne pose plus de soucis, je ne le conseille pas forcément, j'ai vu des PC être malade du SP2.
A moins que de prendre des précautions, s'assurer qu'il reste bien assez de place sur le DD pour faire un point de restauration.
La sauvegarde des données et de la partition c: sur un DD externe via le logigiel Ghost (ou similaire ) est aussi une trés bonne idée.
Je le répète j'ai vu des PC refuser le démarrage charger du sP2, mais bon c'était des machines relativement anciennes, genre 4/5 ans.
Mais bon, si ton PC est récent, je dirais que c'est relativement une bonne idée.
La protection d'un PC vient surtout d'un bon fire-wall, et d'une bonne suite de protection.

;-)

Virus win32 torjan-gen et win32 conhook-aw

92 réponses

Votre réponse

Discussions similaires

Newsletters