Infectée par des TROJANS

Résolu
reals10 -  
reals10 Messages postés 7 Date d'inscription   Statut Membre Dernière intervention   -
Bonjour à tous,

C'est la première fois que j'envoie un message sur ce forum....d'habitude j'arrive à me débrouillée mais là, ce n'est pas du tout mon domaine de prédilection, j'ai des TROJANS sur mon PC alors...vu que ce n'est pas mon fort, je préfère posté mon problème à des spécialistes!
Alors voilà:

OS : Windows XP PRO
Anti-virus : AVAST
Pare-feu : KERIO

SPYWARE TERMINATOR ainsi que Spybot ont détecté ça :

TROJAN/Agent-PAG
C:\WINDOWS\SYSTEM32\PAG.EXE

TROJAN/Back/ALG
C:\WINDOWS\SYSTEM32\algs.exe

TROJAN/W32.Agent.CDP
C:\WINDOWS\SYSTEM32\c_0map.dll

TROJAN/W32.Dista.URQ
C:\WINDOWS\SYSTEM32\awtqq.exe

TROJAN/W32.Klone.AWT
C:\WINDOWS\SYSTEM32\geebbxu.dll
C:\WINDOWS\SYSTEM32\mljjifc.dll
C:\WINDOWS\SYSTEM32\vtsturp.dll
C:\WINDOWS\SYSTEM32\vturspn.dll

TROJAN/Dloader.Conhook.DIB
C:\WINDOWS\SYSTEM32\agphphc.dll
C:\WINDOWS\SYSTEM32\eyktsvg.dll
C:\WINDOWS\SYSTEM32\ipezbct.dll
C:\WINDOWS\SYSTEM32\jzkbh.dll


Voilà donc!



Voici le rapport HijackThis :


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:47:59, on 17/10/2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ANTI-V~1\ashDisp.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus CX6600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9EE.EXE /P26 "EPSON Stylus CX6600 Series" /O6 "USB001" /M "Stylus CX6600"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Microsoft Internet Explorer] C:\WINDOWS\System32\iexplore.exe
O4 - HKLM\..\Run: [SearchIndexer] rundll32.exe "C:\WINDOWS\System32\qvendmlf.dll",sitypnow
O4 - HKLM\..\Run: [Application Layer Gateway Service] C:\WINDOWS\System32\algs.exe
O4 - HKLM\..\Run: [Services] C:\WINDOWS\System32\vvsh.exe
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [Client Server Runtime Process] C:\WINDOWS\System32\csrs.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Anti-virus\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Anti-virus\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Anti-virus\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Anti-virus\ashWebSv.exe
O23 - Service: DomainService - - C:\WINDOWS\System32\mbvlquwu.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Network Windows Service (MSWindows) - Unknown owner - C:\WINDOWS\System32\urdvxc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe

26 réponses

  • 1
  • 2
Réponse 1 / 26
jlpjlp Messages postés 51580 Date d'inscription   Statut Contributeur sécurité Dernière intervention   5 040
 
slt refais hijackthis en modifiant le nom svp

Je conseille de renomer Hijackthis, pour contrer une éventuelle infection de Vundo.

ex:Renomme le fichier HijackThis.exe en eden.exe pour cela, fais un clic droit sur le fichier HijackThis.exe et choisis renommer dans la liste

Ensuite avec Explorer créer un dossier c:\hijackthis
Décompresser Hijackthis dans ce dossier.
C'est important pour les sauvegardes."


________________


scan avec vundofix (colle le rapport)

Téléchargez VundoFix -> http://www.atribune.org/ccount/click.php?id=4

Double cliquez VundoFix.exe pour l'exécuter.
Quand VundoFix s'ouvre, cliquez sur le bouton Scan for Vundo.
Une fois le scan fini, cliquez sur le bouton Remove Vundo.
Vous recevrez un avertissement vous demandant si vous voulez effacer ces
fichiers répondez en cliquant sur YES
Une fois que vous avez cliqué yes, votre bureau deviendra vide au moment où il
enlève Vundo.

Quand c'est fini, il vous sera demandé de redémarrer votre ordinateur, cliquez
OK.

______________
puis :




virtumondebegone (colle le rapport)

http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe

_______________

combofix (colle le rapport)

http://mickael.barroux.free.fr/securite/combofix.php


_________________
AVG antispyware

https://www.01net.com/telecharger/

Tuto :
http://www.kachouri.com/tuto/tuto-161-avg-anti-spyware-75-pour-votre-securite.html


->Relance AVG AS -> "Analyse" ->"Paramètres"

Sous la question "Comment réagir ?" :

-> clique sur "Actions recommandées" et choisis "Quarantaines"
-> Re-clique sur l'onglet "Analyse" puis réalise une "Analyse complète du système"

Si un fichier est infecté en fin d'analyse

->Clique sur "Appliquer toutes les actions "

->Clique sur "Enregistrer le rapport" puis sur "Enregistrer le rapport sous".

->Enregistre ce fichier texte sur ton bureau ensuite colle le rapport ici
___________

Fais un clic droit sur ce lien : (IL-MAFIOSO)
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).

Laisse-toi guider. Au menu principal, choisis 1 et valides.
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)

Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le blocnote va s'ouvrir.
Copie-colle l'intégralité dans une réponse. Referme le blocnote.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)



____________
ton windows n'est pas a jour?

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
0
Réponse 2 / 26
Lodesia Messages postés 68 Date d'inscription   Statut Membre Dernière intervention   2
 
Si tu as fait les scans avec Spybot et SpywareT. tu peux supprimer les malwares contenus dans la liste en les cochants au préalable.

Et puis fais attention :
- Tu as une version de XP qui est trop vieille ! la version actuelle et qui te protègera mieux est "Windows XP SP2" utilise Windows Update pour cela et prend le temps de télécharger et installer toutes les mises à jour (ca va te prendre du temps mais fais-le !)
- Ensuite Internet Explorer est en version 6 au lieu de 7. IE7 est beaucoup mieux protégé mais il te faut pour cela avoir Win XP sp2 avant.

Quand tout est bon (3heure plus tard après le début de la mise à jour) :
refais un scan avec HiJackThis,
puis tu coches ces lignes-là : 
O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542}
 - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O4 - HKLM\..\Run: [Microsoft Internet Explorer] C:\WINDOWS\System32\iexplore.exe  
O4 - HKLM\..\Run: [SearchIndexer] rundll32.exe "C:\WINDOWS\System32\qvendmlf.dll",sitypnow  
O4 - HKLM\..\Run: [Application Layer Gateway Service] C:\WINDOWS\System32\algs.exe  
O4 - HKLM\..\Run: [Services] C:\WINDOWS\System32\vvsh.exe
O4 - HKLM\..\Run: [Client Server Runtime Process] C:\WINDOWS\System32\csrs.exe 
O23 - Service: Network Windows Service (MSWindows) - Unknown owner
 - C:\WINDOWS\System32\urdvxc.exe

Ensuite tu cliques sur le bouton "Fix".

puis fait un scan avec : http://www.bitdefender.fr/scan8/ie.html
Bit Defender complète très bien Avast.

L'idéal quand tu fais des opérations de nettoyage est de se mettre en mode sans echec (F8 au démarrage).
0
Réponse 3 / 26
reals10 Messages postés 7 Date d'inscription   Statut Membre Dernière intervention  
 
OK...Merci pour tout cela..je commence à lancer les recommandations...je vous tiens au courant!!!

Reals10
0
Réponse 4 / 26
Lodesia Messages postés 68 Date d'inscription   Statut Membre Dernière intervention   2
 
je ne connaissais pas tes petits outils : très pratiques puisqu'ils ne s'installent pas.
il sont aussi très spécifiques.
merci pour l'info !
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 26
jlpjlp Messages postés 51580 Date d'inscription   Statut Contributeur sécurité Dernière intervention   5 040
 
pour info:
ca c'est la barre de spywareterminator

O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542}
- C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
0
Réponse 6 / 26
reals10
 
Bon, voilà...je viens de terminer toutes les analyses + mises à jour XP (sauf IE7 car en réalité, j'utilise Firefox d'habitude que je dois réinstaller...

Rapport HijackThis avant mises à jour :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:59:18, on 17/10/2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Administrateur\Bureau\eden.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (file missing)
O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O2 - BHO: (no name) - {24771D11-5AC3-4A46-84D1-C570E1CF3108} - C:\WINDOWS\System32\pmnli.dll
O2 - BHO: (no name) - {4AA49418-D47E-47EB-AAD9-3FA5155F3025} - C:\WINDOWS\System32\wvuttsq.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\LOGICI~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {89AD4D75-2429-462e-BD4E-443F233F6033} - C:\WINDOWS\System32\hbgnguvf.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar:


Rapport Combofix:

ComboFix 07-10-17.8 - Administrateur 2007-10-17 23:51:56.1 - NTFSx86 NETWORK
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.826 [GMT 2:00]
Running from: C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\check_LSA7.txt
C:\check_LSA7.txt
C:\WINDOWS\cookies.ini
C:\WINDOWS\system32\.exe
C:\WINDOWS\system32\.exe
C:\WINDOWS\system32\adavjdbe.exe
C:\WINDOWS\system32\awvturq.dll
C:\WINDOWS\system32\c_0map.dll
C:\WINDOWS\system32\csrs.exe
C:\WINDOWS\system32\eccuaeoo.exe
C:\WINDOWS\system32\ejdjjqrx.dll
C:\WINDOWS\system32\enhqjllu.exe
C:\WINDOWS\system32\eygvnvfv.exe
C:\WINDOWS\system32\ffbvdwsx.exe
C:\WINDOWS\system32\flmdnevq.ini
C:\WINDOWS\system32\geebbxu.dll
C:\WINDOWS\system32\gfawrgfe.exe
C:\WINDOWS\system32\hpwskvkp.exe
C:\WINDOWS\system32\ilnmp.bak1
C:\WINDOWS\system32\ilnmp.bak1
C:\WINDOWS\system32\ilnmp.bak1
C:\WINDOWS\system32\ilnmp.bak2
C:\WINDOWS\system32\ilnmp.bak2
C:\WINDOWS\system32\ilnmp.bak2
C:\WINDOWS\system32\ilnmp.ini
C:\WINDOWS\system32\ilnmp.ini
C:\WINDOWS\system32\ilnmp.ini
C:\WINDOWS\system32\ilnmp.ini2
C:\WINDOWS\system32\ilnmp.ini2
C:\WINDOWS\system32\ilnmp.ini2
C:\WINDOWS\system32\ilnmp.tmp
C:\WINDOWS\system32\ilnmp.tmp
C:\WINDOWS\system32\ilnmp.tmp
C:\WINDOWS\system32\iruymloi.exe
C:\WINDOWS\system32\ivapwlkj.dll
C:\WINDOWS\system32\ketxypuj.exe
C:\WINDOWS\system32\kyqbfajc.exe
C:\WINDOWS\system32\mbvlquwu.exe
C:\WINDOWS\system32\mexsnjeq.exe
C:\WINDOWS\system32\mljjifc.dll
C:\WINDOWS\system32\ngnyelqu.ini
C:\WINDOWS\system32\pbnphjyw.exe
C:\WINDOWS\system32\pmnli.dll
C:\WINDOWS\system32\pmnli.dll
C:\WINDOWS\system32\pmnli.dll
C:\WINDOWS\system32\pmnli.dll
C:\WINDOWS\system32\qvendmlf.dll
C:\WINDOWS\system32\tiimyvcl.exe
C:\WINDOWS\system32\uqleyngn.dll
C:\WINDOWS\system32\uvfuwwia.exe
C:\WINDOWS\system32\vtsturp.dll
C:\WINDOWS\system32\vturspn.dll
C:\WINDOWS\system32\wrtrhjmg.exe
C:\WINDOWS\system32\xrqjjdje.ini
C:\WINDOWS\system32\ydgnstpr.exe
C:\WINDOWS\system32\yxtwvpme.dll

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_DOMAINSERVICE
-------\DomainService


((((((((((((((((((((((((((((( Fichiers créés 2007-09-17 to 2007-10-17 ))))))))))))))))))))))))))))))))))))
.

2007-10-17 23:50 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-10-17 23:47 34,304 --a------ C:\WINDOWS\system32\ssqpoll.dll
2007-10-17 23:47 34,304 --a------ C:\WINDOWS\system32\byxutrp.dll
2007-10-17 23:47 15,785 --a------ C:\WINDOWS\system32\fwkhtm.exe
2007-10-17 23:47 15,785 --a------ C:\WINDOWS\system32\enfrgyy.exe
2007-10-17 23:47 11,148 --a------ C:\WINDOWS\system32\zqlwizs.exe
2007-10-17 23:47 11,148 --a------ C:\WINDOWS\system32\fwloms.exe
2007-10-17 23:47 1,635 --a------ C:\WINDOWS\system32\wxiaq.exe
2007-10-17 23:46 <REP> d-------- C:\WINDOWS\LastGood
2007-10-17 23:46 <REP> d-------- C:\Documents and Settings\LocalService\Menu D‚marrer
2007-10-17 23:44 <REP> d---s---- C:\WINDOWS\system32\Microsoft
2007-10-17 23:29 <REP> d-------- C:\WINDOWS\ServicePackFiles
2007-10-17 23:25 15,872 --a------ C:\WINDOWS\system32\spupdsvc.exe
2007-10-17 23:23 <REP> d-------- C:\WINDOWS\EHome
2007-10-17 23:17 <REP> d---s---- C:\Documents and Settings\Administrateur\UserData
2007-10-17 23:01 <REP> d-------- C:\VundoFix Backups
2007-10-17 20:42 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage r‚seau
2007-10-17 20:42 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression
2007-10-17 20:42 <REP> d--h----- C:\Documents and Settings\Administrateur\ModŠles
2007-10-17 20:42 <REP> d-------- C:\Documents and Settings\Administrateur\Mes documents
2007-10-17 20:42 <REP> dr------- C:\Documents and Settings\Administrateur\Menu D‚marrer
2007-10-17 20:42 <REP> d-------- C:\Documents and Settings\Administrateur\Favoris
2007-10-17 20:42 <REP> d-------- C:\Documents and Settings\Administrateur\Bureau
2007-10-17 20:39 15,785 --a------ C:\WINDOWS\system32\xqyayqqj.exe
2007-10-17 20:38 15,785 --a------ C:\WINDOWS\system32\rtsbejv.exe
2007-10-17 20:38 15,785 --a------ C:\WINDOWS\system32\obsc.exe
2007-10-17 20:38 11,148 --a------ C:\WINDOWS\system32\pnibvsew.exe
2007-10-17 20:38 11,148 --a------ C:\WINDOWS\system32\ledptgg.exe
2007-10-17 20:38 1,635 --a------ C:\WINDOWS\system32\yktz.exe
2007-10-17 12:25 1,635 --a------ C:\WINDOWS\system32\dqpl.exe
2007-10-16 09:10 15,785 --a------ C:\WINDOWS\system32\nxkiebv.exe
2007-10-16 09:10 15,785 --a------ C:\WINDOWS\system32\nunq.exe
2007-10-16 09:10 11,148 --a------ C:\WINDOWS\system32\jzkbh.exe
2007-10-16 09:10 1,635 --a------ C:\WINDOWS\system32\lhmb.exe
2007-10-15 10:05 15,785 --a------ C:\WINDOWS\system32\zdst.exe
2007-10-15 10:05 11,148 --a------ C:\WINDOWS\system32\sflokzxb.exe
2007-10-15 10:04 54,784 --------- C:\WINDOWS\system32\oospkqn.exe
2007-10-15 10:04 15,785 --a------ C:\WINDOWS\system32\lpfwka.exe
2007-10-15 10:04 15,785 --a------ C:\WINDOWS\system32\gpip.exe
2007-10-15 10:04 11,148 --a------ C:\WINDOWS\system32\vgbv.exe
2007-10-15 10:04 11,148 --a------ C:\WINDOWS\system32\rmyl.exe
2007-10-15 10:04 1,635 --a------ C:\WINDOWS\system32\ljlqbmt.exe
2007-10-15 09:48 15,785 --a------ C:\WINDOWS\system32\wbnjzigj.exe
2007-10-15 09:48 15,785 --a------ C:\WINDOWS\system32\srjmp.exe
2007-10-15 09:48 15,785 --a------ C:\WINDOWS\system32\fzmp.exe
2007-10-15 09:48 11,148 --a------ C:\WINDOWS\system32\tkck.exe
2007-10-15 09:48 11,148 --a------ C:\WINDOWS\system32\rafmsf.exe
2007-10-15 09:48 1,635 --a------ C:\WINDOWS\system32\rxdsy.exe
2007-10-09 09:06 53,773 --------- C:\WINDOWS\system32\gnvsz.exe
2007-10-09 09:06 15,785 --a------ C:\WINDOWS\system32\enqamrrn.exe
2007-10-09 09:06 1,635 --a------ C:\WINDOWS\system32\mspblgm.exe
2007-10-09 09:06 1,635 --a------ C:\WINDOWS\system32\fuadsptp.exe
2007-10-09 09:06 1,635 --a------ C:\WINDOWS\system32\dwuijbcb.exe
2007-10-08 14:19 53,773 --------- C:\WINDOWS\system32\hvgvpkjb.exe
2007-10-08 14:19 15,785 --a------ C:\WINDOWS\system32\saqwzwy.exe
2007-10-08 14:19 1,635 --a------ C:\WINDOWS\system32\osnlabji.exe
2007-10-08 14:19 1,635 --a------ C:\WINDOWS\system32\jdfya.exe
2007-10-08 14:19 1,635 --a------ C:\WINDOWS\system32\iqtgc.exe
2007-10-08 10:55 96,768 --a------ C:\WINDOWS\SlantAdj.dll
2007-10-08 10:55 73,216 --a------ C:\WINDOWS\ADE.DLL
2007-10-08 10:55 3,136 --a------ C:\WINDOWS\Ade001.bin
2007-10-08 10:16 11,148 --a------ C:\WINDOWS\system32\eyktsvg.exe
2007-10-08 10:16 1,635 --a------ C:\WINDOWS\system32\sybll.exe
2007-10-08 10:16 1,635 --a------ C:\WINDOWS\system32\eseb.exe
2007-10-08 10:15 15,785 --a------ C:\WINDOWS\system32\hacdl.exe
2007-10-08 10:15 11,148 --a------ C:\WINDOWS\system32\ndmfh.exe
2007-10-08 10:15 1,635 --a------ C:\WINDOWS\system32\tssk.exe
2007-10-07 12:26 34,816 --a------ C:\WINDOWS\system32\gltjon.exe
2007-10-07 12:26 15,785 --a------ C:\WINDOWS\system32\zrrbgobw.exe
2007-10-07 12:26 15,785 --a------ C:\WINDOWS\system32\ujvwkpxl.exe
2007-10-07 12:26 15,785 --a------ C:\WINDOWS\system32\tqglkpp.exe
2007-10-07 12:26 15,785 --a------ C:\WINDOWS\system32\cwcykb.exe
2007-10-07 12:26 11,148 --a------ C:\WINDOWS\system32\soggh.exe
2007-10-07 12:26 11,148 --a------ C:\WINDOWS\system32\pbrpt.exe
2007-10-07 12:26 11,148 --a------ C:\WINDOWS\system32\kzewkxr.exe
2007-10-07 12:26 11,148 --a------ C:\WINDOWS\system32\agphphc.exe
2007-10-07 10:31 11,148 --a------ C:\WINDOWS\system32\ipezbct.exe
2007-10-07 10:31 1,635 --a------ C:\WINDOWS\system32\wpcp.exe
2007-10-07 10:31 1,635 --a------ C:\WINDOWS\system32\mccshniw.exe
2007-10-05 16:38 11,148 --a------ C:\WINDOWS\system32\uiqtam.exe
2007-10-05 16:38 1,635 --a------ C:\WINDOWS\system32\wvkcwayl.exe
2007-10-05 16:38 1,635 --a------ C:\WINDOWS\system32\nkln.exe
2007-10-05 16:36 15,785 --a------ C:\WINDOWS\system32\lngfvzn.exe
2007-10-05 16:36 11,148 --a------ C:\WINDOWS\system32\uloyduwb.exe
2007-10-05 16:36 1,635 --a------ C:\WINDOWS\system32\cwsnpoy.exe
2007-10-05 15:15 15,785 --a------ C:\WINDOWS\system32\txdtme.exe
2007-10-05 15:09 38,912 --a------ C:\WINDOWS\system32\kzqnasa.exe
2007-10-05 15:09 15,785 --a------ C:\WINDOWS\system32\kmcjsiir.exe
2007-10-05 15:09 1,635 --a------ C:\WINDOWS\system32\dkyd.exe
2007-10-05 14:57 0 --a------ C:\WINDOWS\system32\ke1.exe
2007-10-05 14:27 11,568 --ah----- C:\WINDOWS\system32\mygu.exe
2007-10-05 13:38 138,752 --a------ C:\WINDOWS\system32\drivers\sp_rsdrv2.sys
2007-10-05 13:35 <REP> d-------- C:\Program Files\Spyware Terminator
2007-10-05 13:35 <REP> d-------- C:\Program Files\Crawler
2007-10-05 13:35 <REP> d-------- C:\Documents and Settings\GERARD\Application Data\Spyware Terminator
2007-10-05 13:35 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spyware Terminator
2007-10-05 13:34 28,160 --a------ C:\WINDOWS\system32\vvsh.exe
2007-10-05 13:29 <REP> d-------- C:\Program Files\Crawler(2)
2007-10-05 13:28 <REP> d-------- C:\Program Files\Spyware Terminator(2)
2007-10-05 12:57 <REP> d-------- C:\Documents and Settings\GERARD\Application Data\Talkback

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-10-17 18:39 --------- d-----w C:\Program Files\Anti-virus
2007-10-08 08:57 --------- d--h--w C:\Program Files\InstallShield Installation Information
2007-10-08 08:56 --------- d-----w C:\Program Files\Smart Panel
2007-10-05 10:14 --------- d-----w C:\Program Files\Kit ADSL
2007-10-01 16:00 64 ----a-w C:\WINDOWS\system32\drivers\fwdrv.err
2007-09-15 14:13 43,542 ----a-w C:\WINDOWS\system32\wvuttsq.dll.vir
2007-09-02 07:43 67,320 ----a-w C:\WINDOWS\Web\rjjcrtlv.exe
2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\zejthvxk.exe
2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\tlrrsvlj.exe
2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\Remote Assistance\Escalation\Email\btlekkxb.exe
2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\Remote Assistance\Escalation\Common\btlekkxb.exe
2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\Remote Assistance\Common\btlekkxb.exe
2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\Remote Assistance\btlekkxb.exe
2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\nbbrcrbb.exe
2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\estewkrn.exe
2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\System\UpdateCtr\necxlsbh.exe
2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\System\UpdateCtr\hsxenjvk.exe
2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\System\UpdateCtr\hnshlbtv.exe
2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\System\UpdateCtr\ewznktww.exe
2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\System\UpdateCtr\ecrvhvjh.exe
2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\System\sysinfo\trvnbvzr.exe
2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\System\sysinfo\tehbbexs.exe
2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\System\sysinfo\selznkbn.exe
2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\System\sysinfo\qnkstrhn.exe
2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\System\sysinfo\kenjxzsk.exe
2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\System\sysinfo\hzenbhql.exe
2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\System\sysinfo\cszbbkjb.exe
2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\System\sysinfo\cjrhtnee.exe
2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\sljktqsl.exe
2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\lenvstcw.exe
2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\lbncltew.exe
2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Server\vhzlshll.exe
2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Server\heclkcje.exe
2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Server\ejjtwclz.exe
2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Server\brbjhjhb.exe
2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Server\bbcrvske.exe
2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Common\xxrlrrck.exe
2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Common\slkweqkr.exe
2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Common\jjtkbtsb.exe
2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Client\rlkctexe.exe
2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Client\resrzjkr.exe
2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Client\kcqrjjel.exe
2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Client\jllrjejn.exe
2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Client\hlnbkbjt.exe
2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Client\cqlwbrtn.exe
2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Common\vtxbneqq.exe
2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Common\jzrjzkke.exe
2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Common\jqnsbclx.exe
2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\System\rc\rjzhtwer.exe
2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\System\panels\zeektjlr.exe
2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\System\panels\tjsnlncx.exe
2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\System\NetDiag\stleqtrb.exe
2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\System\NetDiag\bnkrcrqq.exe
2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\System\errors\xnejeese.exe
2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\System\ErrMsg\nvsbqtlx.exe
2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\System\DVDUpgrd\kvzexhbs.exe
2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\System\DFS\zwjcbxql.exe
2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\System\DFS\jlskvkjt.exe
2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\System\DFS\hhktjkel.exe
2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\System\CompatCtr\tcjqbtst.exe
2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\System\CompatCtr\nrbhslcz.exe
2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\System\CompatCtr\eqlrejrl.exe
2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\System\CompatCtr\brvhkxjh.exe
2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\Help\tsbjbtvn.exe
2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\Help\Tours\WindowsMediaPlayer\Cnt\tjnbzhbh.exe
2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\Help\Tours\WindowsMediaPlayer\Audio\lllknblj.exe
2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\Help\jjlenkbt.exe
2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\Help\jbnshhqj.exe
2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\Help\hwexrtne.exe
2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\Help\bzehxvnz.exe
2007-09-01 23:28 67,320 --sha-w C:\WINDOWS\system32\urdvxc.exe
2007-09-01 08:59 143,360 ---ha-w C:\WINDOWS\system32\wgjgk.exe
2007-09-01 08:58 62,464 ---ha-w C:\WINDOWS\system32\apbmyy.exe
2007-07-30 17:19 92,504 ----a-w C:\WINDOWS\system32\cdm.dll
2007-07-30 17:19 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe
2007-07-30 17:19 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll
2007-07-30 17:19 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll
2007-07-30 17:19 1,712,984 ----a-w C:\WINDOWS\system32\wuaueng.dll
2007-04-02 11:28 2,502,656 ----a-w C:\Program Files\draw7886.exe
2007-04-02 10:44 6,123,520 ----a-w C:\Program Files\Res_fra7886.dll
2007-03-16 15:22 135,168 ----a-w C:\Program Files\FiltersDll.dll
2007-02-15 16:36 1,720,320 ----a-w C:\Program Files\ScrapPerso.exe
2007-01-30 11:37 147,456 ----a-w C:\Program Files\MAObjectLib.dll
2007-01-30 11:36 401,408 ----a-w C:\Program Files\MACtrlDll.dll
2007-01-30 11:35 204,800 ----a-w C:\Program Files\MAUT.dll
2006-10-18 11:03 4,112,384 ----a-w C:\Program Files\ToolkitPro1030vc71.dll
2006-09-22 10:20 23,552 ----a-w C:\Program Files\ToolkitPro.ResourceFr.dll
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{BACEB7AF-8D88-456E-82D0-7BEB9A4410FE}]
2007-10-17 23:47 34304 --a------ C:\WINDOWS\system32\byxutrp.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2004-12-15 12:01]
"nwiz"="nwiz.exe" [2004-12-15 12:01 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2004-12-15 12:01]
"avast!"="C:\PROGRA~1\ANTI-V~1\ashDisp.exe" [2007-04-30 17:42]
"NeroCheck"="C:\WINDOWS\System32\\NeroCheck.exe" [2001-07-09 12:50]
"EPSON Stylus CX6600 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9EE.exe" [2004-03-01 05:00]
"Cmaudio"="cmicnfg.cpl" []
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06]
"Application Layer Gateway Service"="C:\WINDOWS\system32\algs.exe" [2001-08-28 14:00]
"SpywareTerminator"="C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe" [2007-10-05 13:38]
"Client Server Runtime Process"="C:\WINDOWS\system32\csrs.exe" []

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 16:09]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{BACEB7AF-8D88-456E-82D0-7BEB9A4410FE}"= C:\WINDOWS\system32\byxutrp.dll [2007-10-17 23:47 34304]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\byxutrp]
byxutrp.dll 2007-10-17 23:47 34304 C:\WINDOWS\system32\byxutrp.dll

R1 fwdrv;Firewall Driver;C:\WINDOWS\system32\drivers\fwdrv.sys
S1 sp_rsdrv2;Spyware Terminator Driver 2;\??\C:\WINDOWS\System32\drivers\sp_rsdrv2.sys
S2 MSWindows;Network Windows Service;"C:\WINDOWS\System32\urdvxc.exe" /service

.
**************************************************************************

catchme 0.3.1169 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-17 23:58:39
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-10-17 23:59:51 - machine was rebooted
.
--- E O F ---



Rapport VirtumundoBeGone :


[10/17/2007, 23:42:34] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\Administrateur\Bureau\VirtumundoBeGone.exe" )
[10/17/2007, 23:42:46] - Detected System Information:
[10/17/2007, 23:42:46] - Windows Version: 5.1.2600, Service Pack 2
[10/17/2007, 23:42:46] - Current Username: Administrateur (Admin)
[10/17/2007, 23:42:46] - Windows is in SAFE mode.
[10/17/2007, 23:42:46] - Searching for Browser Helper Objects:
[10/17/2007, 23:42:46] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Aide pour le lien d'Adobe PDF Reader)
[10/17/2007, 23:42:46] - BHO 2: {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} ()
[10/17/2007, 23:42:46] - WARNING: BHO has no default name. Checking for Winlogon reference.
[10/17/2007, 23:42:46] - Checking for HKLM\...\Winlogon\Notify\ctbr
[10/17/2007, 23:42:46] - Key not found: HKLM\...\Winlogon\Notify\ctbr, continuing.
[10/17/2007, 23:42:46] - BHO 3: {4AA49418-D47E-47EB-AAD9-3FA5155F3025} ()
[10/17/2007, 23:42:46] - WARNING: BHO has no default name. Checking for Winlogon reference.
[10/17/2007, 23:42:46] - Checking for HKLM\...\Winlogon\Notify\wvuttsq
[10/17/2007, 23:42:46] - Found: HKLM\...\Winlogon\Notify\wvuttsq - This is probably Virtumundo.
[10/17/2007, 23:42:46] - Assigning {4AA49418-D47E-47EB-AAD9-3FA5155F3025} MSEvents Object
[10/17/2007, 23:42:46] - BHO list has been changed! Starting over...
[10/17/2007, 23:42:46] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Aide pour le lien d'Adobe PDF Reader)
[10/17/2007, 23:42:46] - BHO 2: {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} ()
[10/17/2007, 23:42:46] - WARNING: BHO has no default name. Checking for Winlogon reference.
[10/17/2007, 23:42:46] - Checking for HKLM\...\Winlogon\Notify\ctbr
[10/17/2007, 23:42:46] - Key not found: HKLM\...\Winlogon\Notify\ctbr, continuing.
[10/17/2007, 23:42:46] - BHO 3: {4AA49418-D47E-47EB-AAD9-3FA5155F3025} (MSEvents Object)
[10/17/2007, 23:42:46] - ALERT: Found MSEvents Object!
[10/17/2007, 23:42:46] - BHO 4: {53707962-6F74-2D53-2644-206D7942484F} ()
[10/17/2007, 23:42:46] - WARNING: BHO has no default name. Checking for Winlogon reference.
[10/17/2007, 23:42:46] - Checking for HKLM\...\Winlogon\Notify\SDHelper
[10/17/2007, 23:42:46] - Key not found: HKLM\...\Winlogon\Notify\SDHelper, continuing.
[10/17/2007, 23:42:46] - BHO 5: {89AD4D75-2429-462e-BD4E-443F233F6033} ()
[10/17/2007, 23:42:46] - WARNING: BHO has no default name. Checking for Winlogon reference.
[10/17/2007, 23:42:46] - Checking for HKLM\...\Winlogon\Notify\ivapwlkj
[10/17/2007, 23:42:46] - Key not found: HKLM\...\Winlogon\Notify\ivapwlkj, continuing.
[10/17/2007, 23:42:46] - BHO 6: {B087CCE1-CE7C-4111-9193-C3D350A002FB} ()
[10/17/2007, 23:42:46] - WARNING: BHO has no default name. Checking for Winlogon reference.
[10/17/2007, 23:42:46] - Checking for HKLM\...\Winlogon\Notify\pmnli
[10/17/2007, 23:42:46] - Key not found: HKLM\...\Winlogon\Notify\pmnli, continuing.
[10/17/2007, 23:42:46] - BHO 7: {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} (EpsonToolBandKicker Class)
[10/17/2007, 23:42:46] - Finished Searching Browser Helper Objects
[10/17/2007, 23:42:46] - *** Detected MSEvents Object
[10/17/2007, 23:42:46] - Trying to remove MSEvents Object...
[10/17/2007, 23:42:47] - Terminating Process: IEXPLORE.EXE
[10/17/2007, 23:42:48] - Terminating Process: RUNDLL32.EXE
[10/17/2007, 23:42:48] - Disabling Automatic Shell Restart
[10/17/2007, 23:42:48] - Terminating Process: EXPLORER.EXE
[10/17/2007, 23:42:48] - Suspending the NT Session Manager System Service
[10/17/2007, 23:42:48] - Terminating Windows NT Logon/Logoff Manager
[10/17/2007, 23:42:48] - Re-enabling Automatic Shell Restart
[10/17/2007, 23:42:48] - File to disable: C:\WINDOWS\system32\wvuttsq.dll
[10/17/2007, 23:42:48] - Renaming C:\WINDOWS\system32\wvuttsq.dll -> C:\WINDOWS\system32\wvuttsq.dll.vir
[10/17/2007, 23:42:48] - File successfully renamed!
[10/17/2007, 23:42:48] - Removing HKLM\...\Browser Helper Objects\{4AA49418-D47E-47EB-AAD9-3FA5155F3025}
[10/17/2007, 23:42:48] - Removing HKCR\CLSID\{4AA49418-D47E-47EB-AAD9-3FA5155F3025}
[10/17/2007, 23:42:48] - Adding Kill Bit for ActiveX for GUID: {4AA49418-D47E-47EB-AAD9-3FA5155F3025}
[10/17/2007, 23:42:48] - Deleting ATLEvents/MSEvents Registry entries
[10/17/2007, 23:42:48] - Removing HKLM\...\Winlogon\Notify\wvuttsq
[10/17/2007, 23:42:48] - Searching for Browser Helper Objects:
[10/17/2007, 23:42:48] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Aide pour le lien d'Adobe PDF Reader)
[10/17/2007, 23:42:48] - BHO 2: {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} ()
[10/17/2007, 23:42:48] - WARNING: BHO has no default name. Checking for Winlogon reference.
[10/17/2007, 23:42:48] - Checking for HKLM\...\Winlogon\Notify\ctbr
[10/17/2007, 23:42:48] - Key not found: HKLM\...\Winlogon\Notify\ctbr, continuing.
[10/17/2007, 23:42:48] - BHO 3: {53707962-6F74-2D53-2644-206D7942484F} ()
[10/17/2007, 23:42:48] - WARNING: BHO has no default name. Checking for Winlogon reference.
[10/17/2007, 23:42:48] - Checking for HKLM\...\Winlogon\Notify\SDHelper
[10/17/2007, 23:42:48] - Key not found: HKLM\...\Winlogon\Notify\SDHelper, continuing.
[10/17/2007, 23:42:48] - BHO 4: {89AD4D75-2429-462e-BD4E-443F233F6033} ()
[10/17/2007, 23:42:48] - WARNING: BHO has no default name. Checking for Winlogon reference.
[10/17/2007, 23:42:48] - Checking for HKLM\...\Winlogon\Notify\ivapwlkj
[10/17/2007, 23:42:48] - Key not found: HKLM\...\Winlogon\Notify\ivapwlkj, continuing.
[10/17/2007, 23:42:48] - BHO 5: {B087CCE1-CE7C-4111-9193-C3D350A002FB} ()
[10/17/2007, 23:42:48] - WARNING: BHO has no default name. Checking for Winlogon reference.
[10/17/2007, 23:42:48] - Checking for HKLM\...\Winlogon\Notify\pmnli
[10/17/2007, 23:42:48] - Key not found: HKLM\...\Winlogon\Notify\pmnli, continuing.
[10/17/2007, 23:42:48] - BHO 6: {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} (EpsonToolBandKicker Class)
[10/17/2007, 23:42:48] - Finished Searching Browser Helper Objects
[10/17/2007, 23:42:48] - Finishing up...
[10/17/2007, 23:42:48] - A restart is needed.
[10/17/2007, 23:42:56] - Attempting to Restart via STOP error (Blue Screen!)


Rapport AVG :

---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 06:43:21 18/10/2007

+ Résultat de l'analyse:



HKU\S-1-5-21-854245398-1637723038-839522115-500\Software\Microsoft\Internet Explorer\Extensions\CmdMapping\\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Adware.Generic : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{D83EF510-4327-4B36-A010-B044468B137E}\RP113\A0010822.exe -> Adware.Virtumonde : Nettoyé.
C:\VundoFix Backups\awtqq.exe.bad -> Adware.Virtumonde : Nettoyé.
C:\Program Files\Anti-virus\DATA\moved\owarvd.exe.vir -> Downloader.ConHook.ah : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\agphphc.exe -> Downloader.ConHook.ah : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\eyktsvg.exe -> Downloader.ConHook.ah : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\fwloms.exe -> Downloader.ConHook.ah : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\ipezbct.exe -> Downloader.ConHook.ah : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\jzkbh.exe -> Downloader.ConHook.ah : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\kzewkxr.exe -> Downloader.ConHook.ah : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\ledptgg.exe -> Downloader.ConHook.ah : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\ndmfh.exe -> Downloader.ConHook.ah : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\pbrpt.exe -> Downloader.ConHook.ah : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\pnibvsew.exe -> Downloader.ConHook.ah : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\rafmsf.exe -> Downloader.ConHook.ah : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\rmyl.exe -> Downloader.ConHook.ah : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\sflokzxb.exe -> Downloader.ConHook.ah : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\soggh.exe -> Downloader.ConHook.ah : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\tkck.exe -> Downloader.ConHook.ah : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\uiqtam.exe -> Downloader.ConHook.ah : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\uloyduwb.exe -> Downloader.ConHook.ah : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\vgbv.exe -> Downloader.ConHook.ah : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\zqlwizs.exe -> Downloader.ConHook.ah : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{D83EF510-4327-4B36-A010-B044468B137E}\RP87\A0008526.exe -> Downloader.Delf.ain : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{D83EF510-4327-4B36-A010-B044468B137E}\RP88\A0008796.exe -> Downloader.Delf.ain : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\spoolsvc.exe -> Downloader.Delf.ain : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\wgjgk.exe -> Downloader.Delf.ain : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{D83EF510-4327-4B36-A010-B044468B137E}\RP113\A0010819.exe -> Downloader.Tiny.id : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\cwcykb.exe -> Dropper.Small : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\enfrgyy.exe -> Dropper.Small : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\enqamrrn.exe -> Dropper.Small : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\fwkhtm.exe -> Dropper.Small : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\fzmp.exe -> Dropper.Small : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\gpip.exe -> Dropper.Small : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\hacdl.exe -> Dropper.Small : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\kmcjsiir.exe -> Dropper.Small : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\lngfvzn.exe -> Dropper.Small : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\lpfwka.exe -> Dropper.Small : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\nunq.exe -> Dropper.Small : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\nxkiebv.exe -> Dropper.Small : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\obsc.exe -> Dropper.Small : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\rtsbejv.exe -> Dropper.Small : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\saqwzwy.exe -> Dropper.Small : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\srjmp.exe -> Dropper.Small : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\tqglkpp.exe -> Dropper.Small : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\txdtme.exe -> Dropper.Small : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\ujvwkpxl.exe -> Dropper.Small : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\wbnjzigj.exe -> Dropper.Small : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\xqyayqqj.exe -> Dropper.Small : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\zdst.exe -> Dropper.Small : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\zrrbgobw.exe -> Dropper.Small : Nettoyé et sauvegardé (mise en quarantaine).
:mozilla.10:C:\Documents and Settings\GERARD\Application Data\Mozilla\Firefox\Profiles\68nt3uo6.default\cookies.txt -> TrackingCookie.2o7 : Nettoyé.
C:\Documents and Settings\Administrateur\Cookies\administrateur@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Nettoyé.
C:\Documents and Settings\GERARD\Cookies\gerard@aolfr.122.2o7[1].txt -> TrackingCookie.2o7 : Nettoyé.
C:\Documents and Settings\Administrateur\Cookies\administrateur@advertising[2].txt -> TrackingCookie.Advertising : Nettoyé.
C:\Documents and Settings\Administrateur\Cookies\administrateur@adviva[2].txt -> TrackingCookie.Adviva : Nettoyé.
C:\Documents and Settings\Administrateur\Cookies\administrateur@atdmt[2].txt -> TrackingCookie.Atdmt : Nettoyé.
C:\Documents and Settings\Administrateur\Cookies\administrateur@bluestreak[1].txt -> TrackingCookie.Bluestreak : Nettoyé.
C:\Documents and Settings\Administrateur\Cookies\administrateur@doubleclick[1].txt -> TrackingCookie.Doubleclick : Nettoyé.
C:\Documents and Settings\Administrateur\Cookies\administrateur@mediaplex[1].txt -> TrackingCookie.Mediaplex : Nettoyé.
C:\Documents and Settings\Administrateur\Cookies\administrateur@ssl-hints.netflame[1].txt -> TrackingCookie.Netflame : Nettoyé.
C:\Documents and Settings\Administrateur\Cookies\administrateur@stats1.reliablestats[2].txt -> TrackingCookie.Reliablestats : Nettoyé.
C:\Documents and Settings\GERARD\Cookies\gerard@serving-sys[2].txt -> TrackingCookie.Serving-sys : Nettoyé.
C:\Documents and Settings\Administrateur\Cookies\administrateur@smartadserver[1].txt -> TrackingCookie.Smartadserver : Nettoyé.
C:\Documents and Settings\Administrateur\Cookies\administrateur@tradedoubler[1].txt -> TrackingCookie.Tradedoubler : Nettoyé.
C:\Documents and Settings\Administrateur\Cookies\administrateur@weborama[1].txt -> TrackingCookie.Weborama : Nettoyé.
C:\Documents and Settings\Administrateur\Cookies\administrateur@ad.yieldmanager[2].txt -> TrackingCookie.Yieldmanager : Nettoyé.
C:\System Volume Information\_restore{D83EF510-4327-4B36-A010-B044468B137E}\RP113\A0014621.dll -> Trojan.Klone.k : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{D83EF510-4327-4B36-A010-B044468B137E}\RP113\A0014624.dll -> Trojan.Klone.k : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{D83EF510-4327-4B36-A010-B044468B137E}\RP113\A0014626.dll -> Trojan.Klone.k : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{D83EF510-4327-4B36-A010-B044468B137E}\RP113\A0014629.dll -> Trojan.Klone.k : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{D83EF510-4327-4B36-A010-B044468B137E}\RP113\A0014630.dll -> Trojan.Klone.k : Nettoyé et sauvegardé (mise en quarantaine).
C:\qoobox\Quarantine\C\WINDOWS\system32\awvturq.dll.vir -> Trojan.Klone.k : Nettoyé et sauvegardé (mise en quarantaine).
C:\qoobox\Quarantine\C\WINDOWS\system32\geebbxu.dll.vir -> Trojan.Klone.k : Nettoyé et sauvegardé (mise en quarantaine).
C:\qoobox\Quarantine\C\WINDOWS\system32\mljjifc.dll.vir -> Trojan.Klone.k : Nettoyé et sauvegardé (mise en quarantaine).
C:\qoobox\Quarantine\C\WINDOWS\system32\vtsturp.dll.vir -> Trojan.Klone.k : Nettoyé et sauvegardé (mise en quarantaine).
C:\qoobox\Quarantine\C\WINDOWS\system32\vturspn.dll.vir -> Trojan.Klone.k : Nettoyé et sauvegardé (mise en quarantaine).


Fin du rapport


Rapport Fixnavi :

Search Navipromo version 3.3.0 commencé le 18/10/2007 à 7:21:01,85

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 16.10.2007 à 10h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2900.2180


*** Recherche Programmes installés ***




*** Recherche dossiers dans C:\WINDOWS ***



*** Recherche dossiers dans C:\Program Files ***



*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




*** Recherche dossiers dans C:\Documents and Settings\Administrateur\Application Data ***


*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun fichier trouvé dans :

- C:\WINDOWS\system32
- C:\DOCUME~1\ADMINI~1\LOCALS~1\APPLIC~1



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans C:\WINDOWS\system32 *

* Recherche dans C:\DOCUME~1\ADMINI~1\LOCALS~1\APPLIC~1 *



*** Recherche fichiers ***




*** Recherche clés spécifiques dans le Registre ***


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:
C:\WINDOWS\system32\mpqss.bak1 trouvé ! infection Vundo possible non traitée par cet outil !

2)Recherche Heuristique :

C:\WINDOWS\system32\gnvsz.exe trouvé !
C:\WINDOWS\system32\hvgvpkjb.exe trouvé !




*** Analyse terminée le 18/10/2007 à 7:22:15,01 ***



Dernier test HijackThis réalisé ce matin :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:45:12, on 18/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Administrateur\Bureau\eden.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (file missing)
O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\LOGICI~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {6BAB0E5D-2FC5-4918-AEAC-0967F0EA4E76} - C:\WINDOWS\system32\ssqpm.dll
O2 - BHO: (no name) - {BACEB7AF-8D88-456E-82D0-7BEB9A4410FE} - C:\WINDOWS\system32\byxutrp.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ANTI-V~1\ashDisp.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus CX6600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9EE.EXE /P26 "EPSON Stylus CX6600 Series" /O6 "USB001" /M "Stylus CX6600"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O20 - Winlogon Notify: byxutrp - C:\WINDOWS\SYSTEM32\byxutrp.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Anti-virus\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Anti-virus\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Anti-virus\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Anti-virus\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Network Windows Service (MSWindows) - Unknown owner - C:\WINDOWS\System32\urdvxc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe
0
Réponse 7 / 26
jlpjlp Messages postés 51580 Date d'inscription   Statut Contributeur sécurité Dernière intervention   5 040
 
slt,
= Lance navilog1
= Cette fois-ci choisi l'option 2
= Navilog va faire le nettoyage.. patient jusqu'à ce qui soit marqué *** Nettoyage Termine le ..... ***
= Un rapport va être génrer sur ton C:\ qui sera en option 2
Note: le bureau disparaît

= colle le contenu du rapport de navilog (qui est en option2)


PS:Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter"
Tape explorer et valide. Celà te fera apparaitre ton bureau.

_______________

Relance Vundofix (colle le rapport)
* Ne clique pas sur "Scan for a vundo"
* Clique droit au milieu de la fenêtre
* Clique sur Add more files ?
* Copie/colle les fichiers ci-dessous ( un par case) :

C:\WINDOWS\system32\ssqpm.dll
C:\WINDOWS\SYSTEM32\byxutrp.dll
C:\WINDOWS\system32\byxutrp.dll


* Clique sur Add files
* Ensuite clique sur Close Windows
* Enfin, clique sur Remove Vundo ( les fichiers précédents doivent apparaitre dans la fenêtre principale)
* Si l'outils demande un redémarrage, accepte
* Poste le rapport Vundofix, ainsi qu'un nouveau log hijackthis


_______________
pour virer ca:

désactive la restauration système pour purger les virus qui seraient dedans puis réactive là (dans DEMARRER puis TOUS LES PROGRAMMES puis ACCESSOIRE puis OUTILS SYSTEME puis RESTAURATION SYSTEME puis paramètre)

C:\System Volume Information\_restore{D83EF510-4327-4B36-A010-B044468B137E}\RP113\A0010819.exe -> Downloader.Tiny.id : Nettoyé et sauvegardé (mise en quarantaine).
________________


colle le rapport d'un scan en ligne
avec un des suivants:


bitdefender en ligne :
http://www.bitdefender.fr/scan_fr/scan8/ie.html

Panda en ligne :
http://pandasoftware.fr

secuser en ligne :
http://www.secuser.com/outils/antivirus.htm

_____________

mets internet explorer 7 meme si tu ne l'utilise pas
____________

et recolle hijackthis svp et dis tes pbs
0
Réponse 8 / 26
reals10
 
Merci pour tes réponses!!!

Je vais suivre tes instructions à la lettre dès que je rentre chez moi ce midi...Je collerai les rapports entre 12h00 et 14h00...

Encore merci...

A tout à l'heure,

Reals10
0
Réponse 9 / 26
jlpjlp Messages postés 51580 Date d'inscription   Statut Contributeur sécurité Dernière intervention   5 040
 
vireaussi ce qui est en quarantaine dans poste de travail puis
C:\qoobox\Quarantine
0
Réponse 10 / 26
reals10
 
Je dois virer les mises en quarantaine effectuées par AVG (tous les fichiers nettoyés puis sauvegardés durant l'analyse AVG) ?

Sinon, la ligne HijackThis nommée:
O23 - Service: Network Windows Service (MSWindows) - Unknown owner - C:\WINDOWS\System32\urdvxc.exe

n'est-elle pas suspecte? J'essaye d'apprendre en même temps!

Merci!

Reals10
0
Réponse 11 / 26
jlpjlp Messages postés 51580 Date d'inscription   Statut Contributeur sécurité Dernière intervention   5 040
 
si suspecte aussi on verra avec le scan en ligne

ou sinon pour apprendre...

regarde la:
http://www.castlecops.com/o23list-2326.html


et


Vas sur le site https://virusscan.jotti.org/
- Clic en haut à droite sur "Parcourir", navigue dans les dossiers et sélectionne ce fichier :

C:\WINDOWS\System32\urdvxc.exe

- Clic sur submit toujours en haut à droite
- Le scan va se lancer, ça va prendre un petit instant
- En bas, tu as le résultat du scan, copie/colle le résultat complet du scan ici.
Aide : https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId662799
0
Réponse 12 / 26
reals10
 
Re-bonjour,

Bon voilà, je suis rentrée chez moi ce midi...Mais je n'ai pas pu terminer les analyses demandées...

J'ai :
- téléchargé IE7
- viré les mises en quarantaine
- fait la procédure Navilog (= Lance navilog1/option 2 / Nettoyage)
- refait une analyse SpyBot qui m'a découvert Virtualmonde....J'ai donc cliqué sur "Réparer les problèmes".

Et, pour la suite, j'attends de rentrer chez moi vers 17h00...Pour poster les nouvelles analyses du scan Bitdefender ainsi que de HijackThis...


A tout à l'heure donc!

Reals10
0
Réponse 13 / 26
jlpjlp Messages postés 51580 Date d'inscription   Statut Contributeur sécurité Dernière intervention   5 040
 
ok lance le scan en ligne des maintenat car c'est long
0
Réponse 14 / 26
reals10
 
Re...

Alors après toutes les analyses, voici les rapports :

Rapport NAVILOG1 :

Clean Navipromo version 3.3.0 commencé le 18/10/2007 à 12:46:51,35

Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 16.10.2007 à 10h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.13

Mode suppression automatique


Executé en mode sans échec


*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)


*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans C:\WINDOWS\System32 *


* Suppression dans C:\DOCUME~1\ADMINI~1\LOCALS~1\APPLIC~1 *



*** Suppression dossiers dans C:\WINDOWS ***


*** Suppression dossiers dans C:\Program Files ***


*** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***


*** Suppression dossiers dans C:\Documents and Settings\Administrateur\Application Data ***


*** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***



*** Suppression fichiers ***


*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Administrateur\Local Settings\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:

C:\WINDOWS\system32\mpqss.bak1 trouvé ! infection Vundo possible non traitée par cet outil !

2)Recherche, création sauvegardes et suppression Heuristique :

C:\WINDOWS\system32\gnvsz.exe trouvé !
Copie C:\WINDOWS\system32\gnvsz.exe réalisé avec succès !
C:\WINDOWS\system32\gnvsz.exe supprimé !

C:\WINDOWS\system32\hvgvpkjb.exe trouvé !
Copie C:\WINDOWS\system32\hvgvpkjb.exe réalisé avec succès !
C:\WINDOWS\system32\hvgvpkjb.exe supprimé !

C:\WINDOWS\system32\lrubxiqh.exe trouvé !
Copie C:\WINDOWS\system32\lrubxiqh.exe réalisé avec succès !
C:\WINDOWS\system32\lrubxiqh.exe supprimé !


*** Sauvegarde du Registre vers dossier Backupnavi ***

sauvegarde du Registre réalisé avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok


*** Certificats ***

Certificat Egroup absent !


*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)


*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans C:\WINDOWS\System32 *


* Suppression dans C:\DOCUME~1\ADMINI~1\LOCALS~1\APPLIC~1 *



*** Suppression dossiers dans C:\WINDOWS ***


*** Suppression dossiers dans C:\Program Files ***


*** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***


*** Suppression dossiers dans C:\Documents and Settings\Administrateur\Application Data ***


*** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***



*** Suppression fichiers ***


*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Administrateur\Local Settings\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:

C:\WINDOWS\system32\mpqss.bak1 trouvé ! infection Vundo possible non traitée par cet outil !

2)Recherche, création sauvegardes et suppression Heuristique :


*** Sauvegarde du Registre vers dossier Backupnavi ***

sauvegarde du Registre réalisé avec succès !

*** Nettoyage Registre ***


Erreur : Fichier regnavi1.reg non trouvé !
Le Registre n'a pas été nettoyé !


*** Certificats ***

Certificat Egroup absent !


*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)


*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans C:\WINDOWS\System32 *


* Suppression dans C:\DOCUME~1\ADMINI~1\LOCALS~1\APPLIC~1 *



*** Suppression dossiers dans C:\WINDOWS ***


*** Suppression dossiers dans C:\Program Files ***


*** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***


*** Suppression dossiers dans C:\Documents and Settings\Administrateur\Application Data ***


*** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***



*** Suppression fichiers ***


*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Administrateur\Local Settings\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:

C:\WINDOWS\system32\mpqss.bak1 trouvé ! infection Vundo possible non traitée par cet outil !

2)Recherche, création sauvegardes et suppression Heuristique :


*** Sauvegarde du Registre vers dossier Backupnavi ***

sauvegarde du Registre réalisé avec succès !

*** Nettoyage Registre ***


Erreur : Fichier regnavi1.reg non trouvé !
Le Registre n'a pas été nettoyé !


*** Certificats ***

Certificat Egroup absent !


*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)


*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans C:\WINDOWS\System32 *


* Suppression dans C:\DOCUME~1\ADMINI~1\LOCALS~1\APPLIC~1 *



*** Suppression dossiers dans C:\WINDOWS ***


*** Suppression dossiers dans C:\Program Files ***


*** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***


*** Suppression dossiers dans C:\Documents and Settings\Administrateur\Application Data ***


*** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***



*** Suppression fichiers ***


*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Administrateur\Local Settings\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:

C:\WINDOWS\system32\ehhkj.bak1 trouvé ! infection Vundo possible non traitée par cet outil !

2)Recherche, création sauvegardes et suppression Heuristique :


*** Sauvegarde du Registre vers dossier Backupnavi ***

sauvegarde du Registre réalisé avec succès !

*** Nettoyage Registre ***


Erreur : Fichier regnavi1.reg non trouvé !
Le Registre n'a pas été nettoyé !


*** Certificats ***

Certificat Egroup absent !


*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)


*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans C:\WINDOWS\System32 *


* Suppression dans C:\DOCUME~1\ADMINI~1\LOCALS~1\APPLIC~1 *



*** Suppression dossiers dans C:\WINDOWS ***


*** Suppression dossiers dans C:\Program Files ***


*** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***


*** Suppression dossiers dans C:\Documents and Settings\Administrateur\Application Data ***


*** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***



*** Suppression fichiers ***


*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Administrateur\Local Settings\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:

C:\WINDOWS\system32\ehhkj.bak1 trouvé ! infection Vundo possible non traitée par cet outil !

2)Recherche, création sauvegardes et suppression Heuristique :


*** Sauvegarde du Registre vers dossier Backupnavi ***

sauvegarde du Registre réalisé avec succès !

*** Nettoyage Registre ***


Erreur : Fichier regnavi1.reg non trouvé !
Le Registre n'a pas été nettoyé !


*** Certificats ***

Certificat Egroup absent !


*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)


*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans C:\WINDOWS\System32 *


* Suppression dans C:\DOCUME~1\ADMINI~1\LOCALS~1\APPLIC~1 *



*** Suppression dossiers dans C:\WINDOWS ***


*** Suppression dossiers dans C:\Program Files ***


*** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***


*** Suppression dossiers dans C:\Documents and Settings\Administrateur\Application Data ***


*** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***



*** Suppression fichiers ***


*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Administrateur\Local Settings\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:

C:\WINDOWS\system32\ehhkj.bak1 trouvé ! infection Vundo possible non traitée par cet outil !

2)Recherche, création sauvegardes et suppression Heuristique :


*** Sauvegarde du Registre vers dossier Backupnavi ***

sauvegarde du Registre réalisé avec succès !

*** Nettoyage Registre ***


Erreur : Fichier regnavi1.reg non trouvé !
Le Registre n'a pas été nettoyé !


*** Certificats ***

Certificat Egroup absent !


*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)


*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans C:\WINDOWS\System32 *


* Suppression dans C:\DOCUME~1\ADMINI~1\LOCALS~1\APPLIC~1 *



*** Suppression dossiers dans C:\WINDOWS ***


*** Suppression dossiers dans C:\Program Files ***


*** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***


*** Suppression dossiers dans C:\Documents and Settings\Administrateur\Application Data ***



Rapport VUNDOFIX :

C:\WINDOWS\system32\dmgkohcq.dll
C:\windows\system32\pmnnlkj.dll
C:\windows\system32\ssqpoll.dll
C:\WINDOWS\system32\wvurpnl.dll


Rapport du scan BITDEFENDER : Je l'ai mais il est trop gros...je ne peux pas l'insérer dans ce message...


Rapport du scan HijackThis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:54:43, on 18/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Documents and Settings\Administrateur\Bureau\eden.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (file missing)
O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {A95B2816-1D7E-4561-A202-68C0DE02353A} - C:\WINDOWS\system32\dmgkohcq.dll (file missing)
O2 - BHO: (no name) - {D11CC56B-E9BF-4533-9D76-50940AA7C1AA} - C:\WINDOWS\system32\ssqpm.dll (file missing)
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Security Toolbar - {11A69AE4-FBED-4832-A2BF-45AF82825583} - C:\WINDOWS\system32\dmgkohcq.dll (file missing)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ANTI-V~1\ashDisp.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus CX6600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9EE.EXE /P26 "EPSON Stylus CX6600 Series" /O6 "USB001" /M "Stylus CX6600"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\RunOnce: [NoIE4StubProcessing] C:\WINDOWS\system32\reg.exe DELETE "HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components" /v "NoIE4StubProcessing" /f
O4 - HKLM\..\RunOnce: [Spybot - Search & Destroy] "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKLM\..\RunOnce: [SpybotDeletingA6034] command /c del "C:\WINDOWS\system32\dmgkohcq.dllbox"
O4 - HKLM\..\RunOnce: [SpybotDeletingC6587] cmd /c del "C:\WINDOWS\system32\dmgkohcq.dllbox"
O4 - HKLM\..\RunOnce: [SpybotDeletingA4432] command /c del "C:\WINDOWS\system32\dmgkohcq.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingC1210] cmd /c del "C:\WINDOWS\system32\dmgkohcq.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingA706] command /c del "C:\WINDOWS\system32\dmgkohcq.dll"
O4 - HKLM\..\RunOnce: [SpybotDeletingC6586] cmd /c del "C:\WINDOWS\system32\dmgkohcq.dll"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [SpybotDeletingB9574] command /c del "C:\WINDOWS\system32\dmgkohcq.dllbox"
O4 - HKCU\..\RunOnce: [SpybotDeletingD1431] cmd /c del "C:\WINDOWS\system32\dmgkohcq.dllbox"
O4 - HKCU\..\RunOnce: [SpybotDeletingB9946] command /c del "C:\WINDOWS\system32\dmgkohcq.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD5070] cmd /c del "C:\WINDOWS\system32\dmgkohcq.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingB5345] command /c del "C:\WINDOWS\system32\dmgkohcq.dll"
O4 - HKCU\..\RunOnce: [SpybotDeletingD140] cmd /c del "C:\WINDOWS\system32\dmgkohcq.dll"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O20 - Winlogon Notify: dmgkohcq - dmgkohcq.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Anti-virus\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Anti-virus\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Anti-virus\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Anti-virus\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Network Windows Service (MSWindows) - Unknown owner - C:\WINDOWS\System32\urdvxc.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe
0
Réponse 15 / 26
jlpjlp Messages postés 51580 Date d'inscription   Statut Contributeur sécurité Dernière intervention   5 040
 
desinstalle spybot et met la derniere version ici:

spybot :

https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/26157.html


_________________

Rapport du scan BITDEFENDER : Je l'ai mais il est trop gros...je ne peux pas l'insérer dans ce message..

colle juste le noms des virus , l'action et les fichiers inefctés

_______________

Relance Vundofix
* Ne clique pas sur "Scan for a vundo"
* Clique droit au milieu de la fenêtre
* Clique sur Add more files ?
* Copie/colle les fichiers ci-dessous ( un par case) :

C:\WINDOWS\system32\ehhkj.bak1

* Clique sur Add files
* Ensuite clique sur Close Windows
* Enfin, clique sur Remove Vundo ( les fichiers précédents doivent apparaitre dans la fenêtre principale)
* Si l'outils demande un redémarrage, accepte
* Poste le rapport Vundofix, ainsi qu'un nouveau log hijackthis


_________________

refait navilog 2 eme partie: car il y a eu une erreur:

= Lance navilog1
= Cette fois-ci choisi l'option 2
= Navilog va faire le nettoyage.. patient jusqu'à ce qui soit marqué *** Nettoyage Termine le ..... ***
= Un rapport va être génrer sur ton C:\ qui sera en option 2
Note: le bureau disparaît

= colle le contenu du rapport de navilog (qui est en option2)


PS:Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter"
Tape explorer et valide. Celà te fera apparaitre ton bureau
0
Réponse 16 / 26
reals10
 
Bonjour,

Après avoir refait ce que tu as inséré dans ta réponse précédente, voici ce que donne l'analyse HijackThis réalisée tout à l'haure :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:34:24, on 20/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Anti-virus\aswUpdSv.exe
C:\Program Files\Anti-virus\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\ANTI-V~1\ashDisp.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9EE.EXE
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Anti-virus\ashMaiSv.exe
C:\Program Files\Anti-virus\ashWebSv.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Documents and Settings\Administrateur\Bureau\Eden2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.neuf.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (file missing)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {D11CC56B-E9BF-4533-9D76-50940AA7C1AA} - C:\WINDOWS\system32\ssqpm.dll (file missing)
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ANTI-V~1\ashDisp.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus CX6600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9EE.EXE /P26 "EPSON Stylus CX6600 Series" /O6 "USB001" /M "Stylus CX6600"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (TotalScan Installer Class) - https://www.pandasecurity.com/en/homeusers/online-antivirus/?ref=activescan
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O20 - Winlogon Notify: dmgkohcq - dmgkohcq.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Anti-virus\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Anti-virus\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Anti-virus\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Anti-virus\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Network Windows Service (MSWindows) - Unknown owner - C:\WINDOWS\System32\urdvxc.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
0
Réponse 17 / 26
reals10
 
Juste une petite chose supplémentaire à rajouter à mon message précédent:

Il y a deux ligne dont le ficher est manquant :

- O2 - BHO: (no name) - {D11CC56B-E9BF-4533-9D76-50940AA7C1AA} - C:\WINDOWS\system32\ssqpm.dll (file missing)

et...

- O20 - Winlogon Notify: dmgkohcq - dmgkohcq.dll (file missing)


Est-ce grave Docteur?


Reals10
0
Réponse 18 / 26
jlpjlp Messages postés 51580 Date d'inscription   Statut Contributeur sécurité Dernière intervention   5 040
 
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (file missing)

O2 - BHO: (no name) - {D11CC56B-E9BF-4533-9D76-50940AA7C1AA} - C:\WINDOWS\system32\ssqpm.dll (file missing)

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O20 - Winlogon Notify: dmgkohcq - dmgkohcq.dll (file missing)


slt c'est ok!

FIX juste ces lignes avec hijackthis (fix checked)


____________________

voila ce qu'il faut que tu garde : le reste que je t'ai fais installée tu vire (mets bien spywareblastrer qui immunise en plus de spybot contre coonkoh que tu avais




pour protéger gratos ton ordi

securite

mettre un antivirus

AVAST en français ou ANTIVIR (en anglais mais très efficace)
https://www.malekal.com/avira-free-security-antivirus-gratuit/ (merci Malekal)
-------------

des anti-espions:

AVG antispyware + SPYBOT + WINDOWS DEFENDER si tea timer de spybot non activé

+
SPYWAREBLASTER pour immuniser le système contre vundo notamment mais en anglais (mais facile d'utilisation : il suffit de faire "update" pour mettre à jour tous les mois et ensuite" enable all protection" pour immuniser)...


--------
un pare feu :
celui de Windows ou mieux KERIO ou JETICO ou ZONE ALARM (mettre que le parefeu gratuit)

https://www.clubic.com/telecharger-fiche11071-sunbelt-personal-firewall-ex-kerio.html
https://manuelsdaide.com/contact/
http://www.open-files.com/forum/index.php?showtopic=29277
zonealarm

-----------

CCLEANER pour effacer les traces de surf
0
Réponse 19 / 26
jlpjlp Messages postés 51580 Date d'inscription   Statut Contributeur sécurité Dernière intervention   5 040
 
bonne continuation
0
Réponse 20 / 26
reals10
 
Je vais me répéter mais merci pour tout le travail effectué....
Sans des personnes comme toi, on n'avancerai pas dans ce monde de malveillants... C'est super de bien vouloir utiliser tes connaissances pour aider bénévolement les utilisateurs...Belle preuve communautaire...Ca devient rare de nos jours!!!

Alors un GRAND MERCI (et oui encore!!!) et à toi aussi ,je souhaite une bonne continuation...


A bientôt,

Reals10 alias Sonia ~(-_-)~
0

Discussions similaires

Menace détectée TrojanSMS-PA sur Google Huawei/Android
Outmost -
bazfile -

6 réponses
Infectée par Adware.Agent !
Leila -
Leila -

8 réponses
virus trojan
Karine -
Karine -

86 réponses
Virus sur carte sim?
Anonyme -
Miiwx -

3 réponses
USB Infectée !
Kimia77 -
Pierrecastor -

8 réponses