Infectée par des TROJANS Résolu

Question

Bonjour à tous,

C'est la première fois que j'envoie un message sur ce forum....d'habitude j'arrive à me débrouillée mais là, ce n'est pas du tout mon domaine de prédilection, j'ai des TROJANS sur mon PC alors...vu que ce n'est pas mon fort, je préfère posté mon problème à des spécialistes!
Alors voilà:

OS : Windows XP PRO
Anti-virus : AVAST
Pare-feu : KERIO

SPYWARE TERMINATOR ainsi que Spybot ont détecté ça :

TROJAN/Agent-PAG
C:\WINDOWS\SYSTEM32\PAG.EXE

TROJAN/Back/ALG
C:\WINDOWS\SYSTEM32\algs.exe

TROJAN/W32.Agent.CDP
C:\WINDOWS\SYSTEM32\c_0map.dll

TROJAN/W32.Dista.URQ
C:\WINDOWS\SYSTEM32\awtqq.exe

TROJAN/W32.Klone.AWT
C:\WINDOWS\SYSTEM32\geebbxu.dll
C:\WINDOWS\SYSTEM32\mljjifc.dll
C:\WINDOWS\SYSTEM32\vtsturp.dll
C:\WINDOWS\SYSTEM32\vturspn.dll

TROJAN/Dloader.Conhook.DIB
C:\WINDOWS\SYSTEM32\agphphc.dll
C:\WINDOWS\SYSTEM32\eyktsvg.dll
C:\WINDOWS\SYSTEM32\ipezbct.dll
C:\WINDOWS\SYSTEM32\jzkbh.dll


Voilà donc!



Voici le rapport HijackThis :


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:47:59, on 17/10/2007
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - Default URLSearchHook is missing
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ANTI-V~1\ashDisp.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus CX6600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9EE.EXE /P26 "EPSON Stylus CX6600 Series" /O6 "USB001" /M "Stylus CX6600"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Microsoft Internet Explorer] C:\WINDOWS\System32\iexplore.exe
O4 - HKLM\..\Run: [SearchIndexer] rundll32.exe "C:\WINDOWS\System32\qvendmlf.dll",sitypnow
O4 - HKLM\..\Run: [Application Layer Gateway Service] C:\WINDOWS\System32\algs.exe
O4 - HKLM\..\Run: [Services] C:\WINDOWS\System32\vvsh.exe
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [Client Server Runtime Process] C:\WINDOWS\System32\csrs.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htm
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Anti-virus\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Anti-virus\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Anti-virus\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Anti-virus\ashWebSv.exe
O23 - Service: DomainService -   - C:\WINDOWS\System32\mbvlquwu.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Network Windows Service (MSWindows) - Unknown owner - C:\WINDOWS\System32\urdvxc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe

jlpjlp · Answer

slt refais hijackthis en modifiant le nom svp

Je conseille de renomer Hijackthis, pour contrer une éventuelle infection de Vundo. 

ex:Renomme le fichier HijackThis.exe en eden.exe pour cela, fais un clic droit sur le fichier HijackThis.exe et choisis renommer dans la liste 

Ensuite avec Explorer créer un dossier c:\hijackthis 
Décompresser Hijackthis dans ce dossier. 
C'est important pour les sauvegardes."


________________


scan avec vundofix (colle le rapport)

Téléchargez VundoFix -> http://www.atribune.org/ccount/click.php?id=4

Double cliquez VundoFix.exe pour l'exécuter.
Quand VundoFix s'ouvre, cliquez sur le bouton Scan for Vundo.
Une fois le scan fini, cliquez sur le bouton Remove Vundo.
Vous recevrez un avertissement vous demandant si vous voulez effacer ces
fichiers répondez en cliquant sur YES
Une fois que vous avez cliqué yes, votre bureau deviendra vide au moment où il
enlève Vundo.

Quand c'est fini, il vous sera demandé de redémarrer votre ordinateur, cliquez
OK.

______________
puis :




virtumondebegone (colle le rapport)

http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe

_______________

combofix (colle le rapport)

http://mickael.barroux.free.fr/securite/combofix.php


_________________
AVG antispyware

https://www.01net.com/telecharger/

Tuto : 
http://www.kachouri.com/tuto/tuto-161-avg-anti-spyware-75-pour-votre-securite.html


->Relance AVG AS -> "Analyse" ->"Paramètres" 

Sous la question "Comment réagir ?" : 

-> clique sur "Actions recommandées" et choisis "Quarantaines" 
-> Re-clique sur l'onglet "Analyse" puis réalise une "Analyse complète du système" 

Si un fichier est infecté en fin d'analyse 

->Clique sur "Appliquer toutes les actions " 

->Clique sur "Enregistrer le rapport" puis sur "Enregistrer le rapport sous". 

->Enregistre ce fichier texte sur ton bureau ensuite colle le rapport ici
___________

Fais un clic droit sur ce lien : (IL-MAFIOSO)
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe 
Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau. 
Ensuite double clique sur navilog1.exe pour lancer l'installation. 
Une fois l'installation terminée, le fix s'exécutera automatiquement. 
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau). 

Laisse-toi guider. Au menu principal, choisis 1 et valides. 
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord) 

Patiente jusqu'au message : 
*** Analyse Termine le ..... *** 
Appuie sur une touche comme demandé, le blocnote va s'ouvrir. 
Copie-colle l'intégralité dans une réponse. Referme le blocnote. 
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt) 



____________
ton windows n'est pas a jour?

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Lodesia · Answer

Si tu as fait les scans avec Spybot et SpywareT. tu peux supprimer les malwares contenus dans la liste en les cochants au préalable. 

Et puis fais attention :
- Tu as une version de XP qui est trop vieille ! la version actuelle et qui te protègera mieux est "Windows XP SP2" utilise Windows Update pour cela et prend le temps de télécharger et installer toutes les mises à jour (ca va te prendre du temps mais fais-le !)
- Ensuite Internet Explorer est en version 6 au lieu de 7. IE7 est beaucoup mieux protégé mais il te faut pour cela avoir Win XP sp2 avant.

Quand tout est bon (3heure plus tard après le début de la mise à jour) :
refais un scan avec HiJackThis,
puis tu coches ces lignes-là :
O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542}
 - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O4 - HKLM\..\Run: [Microsoft Internet Explorer] C:\WINDOWS\System32\iexplore.exe  
O4 - HKLM\..\Run: [SearchIndexer] rundll32.exe "C:\WINDOWS\System32\qvendmlf.dll",sitypnow  
O4 - HKLM\..\Run: [Application Layer Gateway Service] C:\WINDOWS\System32\algs.exe  
O4 - HKLM\..\Run: [Services] C:\WINDOWS\System32\vvsh.exe
O4 - HKLM\..\Run: [Client Server Runtime Process] C:\WINDOWS\System32\csrs.exe 
O23 - Service: Network Windows Service (MSWindows) - Unknown owner
 - C:\WINDOWS\System32\urdvxc.exe
Ensuite tu cliques sur le bouton "Fix".

puis fait un scan avec : http://www.bitdefender.fr/scan8/ie.html
Bit Defender complète très bien Avast.

L'idéal quand tu fais des opérations de nettoyage est de se mettre en mode sans echec (F8 au démarrage).

reals10 · Answer

OK...Merci pour tout cela..je commence à lancer les recommandations...je vous tiens au courant!!!

Reals10

Lodesia · Answer

je ne connaissais pas tes petits outils : très pratiques puisqu'ils ne s'installent pas.
il sont aussi très spécifiques.
merci pour l'info !

jlpjlp · Answer

pour info:
ca c'est la barre de spywareterminator

O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542}
 - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll

reals10 · Answer

Bon, voilà...je viens de terminer toutes les analyses + mises à jour XP (sauf IE7 car en réalité, j'utilise Firefox d'habitude que je dois réinstaller... Rapport HijackThis avant mises à jour : Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 22:59:18, on 17/10/2007 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Boot mode: Safe mode with network support Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Internet Explorer\iexplore.exe C:\Documents and Settings\Administrateur\Bureau\eden.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - Default URLSearchHook is missing O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (file missing) O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll O2 - BHO: (no name) - {24771D11-5AC3-4A46-84D1-C570E1CF3108} - C:\WINDOWS\System32\pmnli.dll O2 - BHO: (no name) - {4AA49418-D47E-47EB-AAD9-3FA5155F3025} - C:\WINDOWS\System32\wvuttsq.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\LOGICI~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {89AD4D75-2429-462e-BD4E-443F233F6033} - C:\WINDOWS\System32\hbgnguvf.dll O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: Rapport Combofix: ComboFix 07-10-17.8 - Administrateur 2007-10-17 23:51:56.1 - NTFSx86 NETWORK Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.826 [GMT 2:00] Running from: C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\check_LSA7.txt C:\check_LSA7.txt C:\WINDOWS\cookies.ini C:\WINDOWS\system32\.exe C:\WINDOWS\system32\.exe C:\WINDOWS\system32\adavjdbe.exe C:\WINDOWS\system32\awvturq.dll C:\WINDOWS\system32\c_0map.dll C:\WINDOWS\system32\csrs.exe C:\WINDOWS\system32\eccuaeoo.exe C:\WINDOWS\system32\ejdjjqrx.dll C:\WINDOWS\system32\enhqjllu.exe C:\WINDOWS\system32\eygvnvfv.exe C:\WINDOWS\system32\ffbvdwsx.exe C:\WINDOWS\system32\flmdnevq.ini C:\WINDOWS\system32\geebbxu.dll C:\WINDOWS\system32\gfawrgfe.exe C:\WINDOWS\system32\hpwskvkp.exe C:\WINDOWS\system32\ilnmp.bak1 C:\WINDOWS\system32\ilnmp.bak1 C:\WINDOWS\system32\ilnmp.bak1 C:\WINDOWS\system32\ilnmp.bak2 C:\WINDOWS\system32\ilnmp.bak2 C:\WINDOWS\system32\ilnmp.bak2 C:\WINDOWS\system32\ilnmp.ini C:\WINDOWS\system32\ilnmp.ini C:\WINDOWS\system32\ilnmp.ini C:\WINDOWS\system32\ilnmp.ini2 C:\WINDOWS\system32\ilnmp.ini2 C:\WINDOWS\system32\ilnmp.ini2 C:\WINDOWS\system32\ilnmp.tmp C:\WINDOWS\system32\ilnmp.tmp C:\WINDOWS\system32\ilnmp.tmp C:\WINDOWS\system32\iruymloi.exe C:\WINDOWS\system32\ivapwlkj.dll C:\WINDOWS\system32\ketxypuj.exe C:\WINDOWS\system32\kyqbfajc.exe C:\WINDOWS\system32\mbvlquwu.exe C:\WINDOWS\system32\mexsnjeq.exe C:\WINDOWS\system32\mljjifc.dll C:\WINDOWS\system32 gnyelqu.ini C:\WINDOWS\system32\pbnphjyw.exe C:\WINDOWS\system32\pmnli.dll C:\WINDOWS\system32\pmnli.dll C:\WINDOWS\system32\pmnli.dll C:\WINDOWS\system32\pmnli.dll C:\WINDOWS\system32\qvendmlf.dll C:\WINDOWS\system32 iimyvcl.exe C:\WINDOWS\system32\uqleyngn.dll C:\WINDOWS\system32\uvfuwwia.exe C:\WINDOWS\system32\vtsturp.dll C:\WINDOWS\system32\vturspn.dll C:\WINDOWS\system32\wrtrhjmg.exe C:\WINDOWS\system32\xrqjjdje.ini C:\WINDOWS\system32\ydgnstpr.exe C:\WINDOWS\system32\yxtwvpme.dll . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\LEGACY_DOMAINSERVICE -------\DomainService ((((((((((((((((((((((((((((( Fichiers créés 2007-09-17 to 2007-10-17 )))))))))))))))))))))))))))))))))))) . 2007-10-17 23:50 51,200 --a------ C:\WINDOWS\NirCmd.exe 2007-10-17 23:47 34,304 --a------ C:\WINDOWS\system32\ssqpoll.dll 2007-10-17 23:47 34,304 --a------ C:\WINDOWS\system32\byxutrp.dll 2007-10-17 23:47 15,785 --a------ C:\WINDOWS\system32\fwkhtm.exe 2007-10-17 23:47 15,785 --a------ C:\WINDOWS\system32\enfrgyy.exe 2007-10-17 23:47 11,148 --a------ C:\WINDOWS\system32\zqlwizs.exe 2007-10-17 23:47 11,148 --a------ C:\WINDOWS\system32\fwloms.exe 2007-10-17 23:47 1,635 --a------ C:\WINDOWS\system32\wxiaq.exe 2007-10-17 23:46 d-------- C:\WINDOWS\LastGood 2007-10-17 23:46 d-------- C:\Documents and Settings\LocalService\Menu D‚marrer 2007-10-17 23:44 d---s---- C:\WINDOWS\system32\Microsoft 2007-10-17 23:29 d-------- C:\WINDOWS\ServicePackFiles 2007-10-17 23:25 15,872 --a------ C:\WINDOWS\system32\spupdsvc.exe 2007-10-17 23:23 d-------- C:\WINDOWS\EHome 2007-10-17 23:17 d---s---- C:\Documents and Settings\Administrateur\UserData 2007-10-17 23:01 d-------- C:\VundoFix Backups 2007-10-17 20:42 d--h----- C:\Documents and Settings\Administrateur\Voisinage r‚seau 2007-10-17 20:42 d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression 2007-10-17 20:42 d--h----- C:\Documents and Settings\Administrateur\ModŠles 2007-10-17 20:42 d-------- C:\Documents and Settings\Administrateur\Mes documents 2007-10-17 20:42 dr------- C:\Documents and Settings\Administrateur\Menu D‚marrer 2007-10-17 20:42 d-------- C:\Documents and Settings\Administrateur\Favoris 2007-10-17 20:42 d-------- C:\Documents and Settings\Administrateur\Bureau 2007-10-17 20:39 15,785 --a------ C:\WINDOWS\system32\xqyayqqj.exe 2007-10-17 20:38 15,785 --a------ C:\WINDOWS\system32 tsbejv.exe 2007-10-17 20:38 15,785 --a------ C:\WINDOWS\system32\obsc.exe 2007-10-17 20:38 11,148 --a------ C:\WINDOWS\system32\pnibvsew.exe 2007-10-17 20:38 11,148 --a------ C:\WINDOWS\system32\ledptgg.exe 2007-10-17 20:38 1,635 --a------ C:\WINDOWS\system32\yktz.exe 2007-10-17 12:25 1,635 --a------ C:\WINDOWS\system32\dqpl.exe 2007-10-16 09:10 15,785 --a------ C:\WINDOWS\system32 xkiebv.exe 2007-10-16 09:10 15,785 --a------ C:\WINDOWS\system32 unq.exe 2007-10-16 09:10 11,148 --a------ C:\WINDOWS\system32\jzkbh.exe 2007-10-16 09:10 1,635 --a------ C:\WINDOWS\system32\lhmb.exe 2007-10-15 10:05 15,785 --a------ C:\WINDOWS\system32\zdst.exe 2007-10-15 10:05 11,148 --a------ C:\WINDOWS\system32\sflokzxb.exe 2007-10-15 10:04 54,784 --------- C:\WINDOWS\system32\oospkqn.exe 2007-10-15 10:04 15,785 --a------ C:\WINDOWS\system32\lpfwka.exe 2007-10-15 10:04 15,785 --a------ C:\WINDOWS\system32\gpip.exe 2007-10-15 10:04 11,148 --a------ C:\WINDOWS\system32\vgbv.exe 2007-10-15 10:04 11,148 --a------ C:\WINDOWS\system32 myl.exe 2007-10-15 10:04 1,635 --a------ C:\WINDOWS\system32\ljlqbmt.exe 2007-10-15 09:48 15,785 --a------ C:\WINDOWS\system32\wbnjzigj.exe 2007-10-15 09:48 15,785 --a------ C:\WINDOWS\system32\srjmp.exe 2007-10-15 09:48 15,785 --a------ C:\WINDOWS\system32\fzmp.exe 2007-10-15 09:48 11,148 --a------ C:\WINDOWS\system32 kck.exe 2007-10-15 09:48 11,148 --a------ C:\WINDOWS\system32 afmsf.exe 2007-10-15 09:48 1,635 --a------ C:\WINDOWS\system32 xdsy.exe 2007-10-09 09:06 53,773 --------- C:\WINDOWS\system32\gnvsz.exe 2007-10-09 09:06 15,785 --a------ C:\WINDOWS\system32\enqamrrn.exe 2007-10-09 09:06 1,635 --a------ C:\WINDOWS\system32\mspblgm.exe 2007-10-09 09:06 1,635 --a------ C:\WINDOWS\system32\fuadsptp.exe 2007-10-09 09:06 1,635 --a------ C:\WINDOWS\system32\dwuijbcb.exe 2007-10-08 14:19 53,773 --------- C:\WINDOWS\system32\hvgvpkjb.exe 2007-10-08 14:19 15,785 --a------ C:\WINDOWS\system32\saqwzwy.exe 2007-10-08 14:19 1,635 --a------ C:\WINDOWS\system32\osnlabji.exe 2007-10-08 14:19 1,635 --a------ C:\WINDOWS\system32\jdfya.exe 2007-10-08 14:19 1,635 --a------ C:\WINDOWS\system32\iqtgc.exe 2007-10-08 10:55 96,768 --a------ C:\WINDOWS\SlantAdj.dll 2007-10-08 10:55 73,216 --a------ C:\WINDOWS\ADE.DLL 2007-10-08 10:55 3,136 --a------ C:\WINDOWS\Ade001.bin 2007-10-08 10:16 11,148 --a------ C:\WINDOWS\system32\eyktsvg.exe 2007-10-08 10:16 1,635 --a------ C:\WINDOWS\system32\sybll.exe 2007-10-08 10:16 1,635 --a------ C:\WINDOWS\system32\eseb.exe 2007-10-08 10:15 15,785 --a------ C:\WINDOWS\system32\hacdl.exe 2007-10-08 10:15 11,148 --a------ C:\WINDOWS\system32 dmfh.exe 2007-10-08 10:15 1,635 --a------ C:\WINDOWS\system32 ssk.exe 2007-10-07 12:26 34,816 --a------ C:\WINDOWS\system32\gltjon.exe 2007-10-07 12:26 15,785 --a------ C:\WINDOWS\system32\zrrbgobw.exe 2007-10-07 12:26 15,785 --a------ C:\WINDOWS\system32\ujvwkpxl.exe 2007-10-07 12:26 15,785 --a------ C:\WINDOWS\system32 qglkpp.exe 2007-10-07 12:26 15,785 --a------ C:\WINDOWS\system32\cwcykb.exe 2007-10-07 12:26 11,148 --a------ C:\WINDOWS\system32\soggh.exe 2007-10-07 12:26 11,148 --a------ C:\WINDOWS\system32\pbrpt.exe 2007-10-07 12:26 11,148 --a------ C:\WINDOWS\system32\kzewkxr.exe 2007-10-07 12:26 11,148 --a------ C:\WINDOWS\system32\agphphc.exe 2007-10-07 10:31 11,148 --a------ C:\WINDOWS\system32\ipezbct.exe 2007-10-07 10:31 1,635 --a------ C:\WINDOWS\system32\wpcp.exe 2007-10-07 10:31 1,635 --a------ C:\WINDOWS\system32\mccshniw.exe 2007-10-05 16:38 11,148 --a------ C:\WINDOWS\system32\uiqtam.exe 2007-10-05 16:38 1,635 --a------ C:\WINDOWS\system32\wvkcwayl.exe 2007-10-05 16:38 1,635 --a------ C:\WINDOWS\system32 kln.exe 2007-10-05 16:36 15,785 --a------ C:\WINDOWS\system32\lngfvzn.exe 2007-10-05 16:36 11,148 --a------ C:\WINDOWS\system32\uloyduwb.exe 2007-10-05 16:36 1,635 --a------ C:\WINDOWS\system32\cwsnpoy.exe 2007-10-05 15:15 15,785 --a------ C:\WINDOWS\system32 xdtme.exe 2007-10-05 15:09 38,912 --a------ C:\WINDOWS\system32\kzqnasa.exe 2007-10-05 15:09 15,785 --a------ C:\WINDOWS\system32\kmcjsiir.exe 2007-10-05 15:09 1,635 --a------ C:\WINDOWS\system32\dkyd.exe 2007-10-05 14:57 0 --a------ C:\WINDOWS\system32\ke1.exe 2007-10-05 14:27 11,568 --ah----- C:\WINDOWS\system32\mygu.exe 2007-10-05 13:38 138,752 --a------ C:\WINDOWS\system32\drivers\sp_rsdrv2.sys 2007-10-05 13:35 d-------- C:\Program Files\Spyware Terminator 2007-10-05 13:35 d-------- C:\Program Files\Crawler 2007-10-05 13:35 d-------- C:\Documents and Settings\GERARD\Application Data\Spyware Terminator 2007-10-05 13:35 d-------- C:\Documents and Settings\All Users\Application Data\Spyware Terminator 2007-10-05 13:34 28,160 --a------ C:\WINDOWS\system32\vvsh.exe 2007-10-05 13:29 d-------- C:\Program Files\Crawler(2) 2007-10-05 13:28 d-------- C:\Program Files\Spyware Terminator(2) 2007-10-05 12:57 d-------- C:\Documents and Settings\GERARD\Application Data\Talkback . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2007-10-17 18:39 --------- d-----w C:\Program Files\Anti-virus 2007-10-08 08:57 --------- d--h--w C:\Program Files\InstallShield Installation Information 2007-10-08 08:56 --------- d-----w C:\Program Files\Smart Panel 2007-10-05 10:14 --------- d-----w C:\Program Files\Kit ADSL 2007-10-01 16:00 64 ----a-w C:\WINDOWS\system32\drivers\fwdrv.err 2007-09-15 14:13 43,542 ----a-w C:\WINDOWS\system32\wvuttsq.dll.vir 2007-09-02 07:43 67,320 ----a-w C:\WINDOWS\Web jjcrtlv.exe 2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\zejthvxk.exe 2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US lrrsvlj.exe 2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\Remote Assistance\Escalation\Email\btlekkxb.exe 2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\Remote Assistance\Escalation\Common\btlekkxb.exe 2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\Remote Assistance\Common\btlekkxb.exe 2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\Remote Assistance\btlekkxb.exe 2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US bbrcrbb.exe 2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\estewkrn.exe 2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\System\UpdateCtr ecxlsbh.exe 2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\System\UpdateCtr\hsxenjvk.exe 2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\System\UpdateCtr\hnshlbtv.exe 2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\System\UpdateCtr\ewznktww.exe 2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\System\UpdateCtr\ecrvhvjh.exe 2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\System\sysinfo rvnbvzr.exe 2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\System\sysinfo ehbbexs.exe 2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\System\sysinfo\selznkbn.exe 2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\System\sysinfo\qnkstrhn.exe 2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\System\sysinfo\kenjxzsk.exe 2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\System\sysinfo\hzenbhql.exe 2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\System\sysinfo\cszbbkjb.exe 2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\System\sysinfo\cjrhtnee.exe 2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\sljktqsl.exe 2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\lenvstcw.exe 2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\lbncltew.exe 2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Server\vhzlshll.exe 2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Server\heclkcje.exe 2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Server\ejjtwclz.exe 2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Server\brbjhjhb.exe 2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Server\bbcrvske.exe 2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Common\xxrlrrck.exe 2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Common\slkweqkr.exe 2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Common\jjtkbtsb.exe 2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Client lkctexe.exe 2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Client esrzjkr.exe 2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Client\kcqrjjel.exe 2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Client\jllrjejn.exe 2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Client\hlnbkbjt.exe 2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Client\cqlwbrtn.exe 2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Common\vtxbneqq.exe 2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Common\jzrjzkke.exe 2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Common\jqnsbclx.exe 2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\System c jzhtwer.exe 2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\System\panels\zeektjlr.exe 2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\System\panels jsnlncx.exe 2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\System\NetDiag\stleqtrb.exe 2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\System\NetDiag\bnkrcrqq.exe 2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\System\errors\xnejeese.exe 2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\System\ErrMsg vsbqtlx.exe 2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\System\DVDUpgrd\kvzexhbs.exe 2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\System\DFS\zwjcbxql.exe 2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\System\DFS\jlskvkjt.exe 2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\System\DFS\hhktjkel.exe 2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\System\CompatCtr cjqbtst.exe 2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\System\CompatCtr rbhslcz.exe 2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\System\CompatCtr\eqlrejrl.exe 2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\PCHEALTH\HELPCTR\System\CompatCtr\brvhkxjh.exe 2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\Help sbjbtvn.exe 2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\Help\Tours\WindowsMediaPlayer\Cnt jnbzhbh.exe 2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\Help\Tours\WindowsMediaPlayer\Audio\lllknblj.exe 2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\Help\jjlenkbt.exe 2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\Help\jbnshhqj.exe 2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\Help\hwexrtne.exe 2007-09-02 07:42 67,320 ----a-w C:\WINDOWS\Help\bzehxvnz.exe 2007-09-01 23:28 67,320 --sha-w C:\WINDOWS\system32\urdvxc.exe 2007-09-01 08:59 143,360 ---ha-w C:\WINDOWS\system32\wgjgk.exe 2007-09-01 08:58 62,464 ---ha-w C:\WINDOWS\system32\apbmyy.exe 2007-07-30 17:19 92,504 ----a-w C:\WINDOWS\system32\cdm.dll 2007-07-30 17:19 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe 2007-07-30 17:19 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll 2007-07-30 17:19 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll 2007-07-30 17:19 1,712,984 ----a-w C:\WINDOWS\system32\wuaueng.dll 2007-04-02 11:28 2,502,656 ----a-w C:\Program Files\draw7886.exe 2007-04-02 10:44 6,123,520 ----a-w C:\Program Files\Res_fra7886.dll 2007-03-16 15:22 135,168 ----a-w C:\Program Files\FiltersDll.dll 2007-02-15 16:36 1,720,320 ----a-w C:\Program Files\ScrapPerso.exe 2007-01-30 11:37 147,456 ----a-w C:\Program Files\MAObjectLib.dll 2007-01-30 11:36 401,408 ----a-w C:\Program Files\MACtrlDll.dll 2007-01-30 11:35 204,800 ----a-w C:\Program Files\MAUT.dll 2006-10-18 11:03 4,112,384 ----a-w C:\Program Files\ToolkitPro1030vc71.dll 2006-09-22 10:20 23,552 ----a-w C:\Program Files\ToolkitPro.ResourceFr.dll . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{BACEB7AF-8D88-456E-82D0-7BEB9A4410FE}] 2007-10-17 23:47 34304 --a------ C:\WINDOWS\system32\byxutrp.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2004-12-15 12:01] "nwiz"="nwiz.exe" [2004-12-15 12:01 C:\WINDOWS\system32 wiz.exe] "NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2004-12-15 12:01] "avast!"="C:\PROGRA~1\ANTI-V~1\ashDisp.exe" [2007-04-30 17:42] "NeroCheck"="C:\WINDOWS\System32\NeroCheck.exe" [2001-07-09 12:50] "EPSON Stylus CX6600 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9EE.exe" [2004-03-01 05:00] "Cmaudio"="cmicnfg.cpl" [] "Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06] "Application Layer Gateway Service"="C:\WINDOWS\system32\algs.exe" [2001-08-28 14:00] "SpywareTerminator"="C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe" [2007-10-05 13:38] "Client Server Runtime Process"="C:\WINDOWS\system32\csrs.exe" [] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 16:09] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] "{BACEB7AF-8D88-456E-82D0-7BEB9A4410FE}"= C:\WINDOWS\system32\byxutrp.dll [2007-10-17 23:47 34304] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon otify\byxutrp] byxutrp.dll 2007-10-17 23:47 34304 C:\WINDOWS\system32\byxutrp.dll R1 fwdrv;Firewall Driver;C:\WINDOWS\system32\drivers\fwdrv.sys S1 sp_rsdrv2;Spyware Terminator Driver 2;\??\C:\WINDOWS\System32\drivers\sp_rsdrv2.sys S2 MSWindows;Network Windows Service;"C:\WINDOWS\System32\urdvxc.exe" /service . ************************************************************************** catchme 0.3.1169 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-10-17 23:58:39 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** . Completion time: 2007-10-17 23:59:51 - machine was rebooted . --- E O F --- Rapport VirtumundoBeGone : [10/17/2007, 23:42:34] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\Administrateur\Bureau\VirtumundoBeGone.exe" ) [10/17/2007, 23:42:46] - Detected System Information: [10/17/2007, 23:42:46] - Windows Version: 5.1.2600, Service Pack 2 [10/17/2007, 23:42:46] - Current Username: Administrateur (Admin) [10/17/2007, 23:42:46] - Windows is in SAFE mode. [10/17/2007, 23:42:46] - Searching for Browser Helper Objects: [10/17/2007, 23:42:46] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Aide pour le lien d'Adobe PDF Reader) [10/17/2007, 23:42:46] - BHO 2: {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} () [10/17/2007, 23:42:46] - WARNING: BHO has no default name. Checking for Winlogon reference. [10/17/2007, 23:42:46] - Checking for HKLM\...\Winlogon\Notify\ctbr [10/17/2007, 23:42:46] - Key not found: HKLM\...\Winlogon\Notify\ctbr, continuing. [10/17/2007, 23:42:46] - BHO 3: {4AA49418-D47E-47EB-AAD9-3FA5155F3025} () [10/17/2007, 23:42:46] - WARNING: BHO has no default name. Checking for Winlogon reference. [10/17/2007, 23:42:46] - Checking for HKLM\...\Winlogon\Notify\wvuttsq [10/17/2007, 23:42:46] - Found: HKLM\...\Winlogon\Notify\wvuttsq - This is probably Virtumundo. [10/17/2007, 23:42:46] - Assigning {4AA49418-D47E-47EB-AAD9-3FA5155F3025} MSEvents Object [10/17/2007, 23:42:46] - BHO list has been changed! Starting over... [10/17/2007, 23:42:46] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Aide pour le lien d'Adobe PDF Reader) [10/17/2007, 23:42:46] - BHO 2: {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} () [10/17/2007, 23:42:46] - WARNING: BHO has no default name. Checking for Winlogon reference. [10/17/2007, 23:42:46] - Checking for HKLM\...\Winlogon\Notify\ctbr [10/17/2007, 23:42:46] - Key not found: HKLM\...\Winlogon\Notify\ctbr, continuing. [10/17/2007, 23:42:46] - BHO 3: {4AA49418-D47E-47EB-AAD9-3FA5155F3025} (MSEvents Object) [10/17/2007, 23:42:46] - ALERT: Found MSEvents Object! [10/17/2007, 23:42:46] - BHO 4: {53707962-6F74-2D53-2644-206D7942484F} () [10/17/2007, 23:42:46] - WARNING: BHO has no default name. Checking for Winlogon reference. [10/17/2007, 23:42:46] - Checking for HKLM\...\Winlogon\Notify\SDHelper [10/17/2007, 23:42:46] - Key not found: HKLM\...\Winlogon\Notify\SDHelper, continuing. [10/17/2007, 23:42:46] - BHO 5: {89AD4D75-2429-462e-BD4E-443F233F6033} () [10/17/2007, 23:42:46] - WARNING: BHO has no default name. Checking for Winlogon reference. [10/17/2007, 23:42:46] - Checking for HKLM\...\Winlogon\Notify\ivapwlkj [10/17/2007, 23:42:46] - Key not found: HKLM\...\Winlogon\Notify\ivapwlkj, continuing. [10/17/2007, 23:42:46] - BHO 6: {B087CCE1-CE7C-4111-9193-C3D350A002FB} () [10/17/2007, 23:42:46] - WARNING: BHO has no default name. Checking for Winlogon reference. [10/17/2007, 23:42:46] - Checking for HKLM\...\Winlogon\Notify\pmnli [10/17/2007, 23:42:46] - Key not found: HKLM\...\Winlogon\Notify\pmnli, continuing. [10/17/2007, 23:42:46] - BHO 7: {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} (EpsonToolBandKicker Class) [10/17/2007, 23:42:46] - Finished Searching Browser Helper Objects [10/17/2007, 23:42:46] - *** Detected MSEvents Object [10/17/2007, 23:42:46] - Trying to remove MSEvents Object... [10/17/2007, 23:42:47] - Terminating Process: IEXPLORE.EXE [10/17/2007, 23:42:48] - Terminating Process: RUNDLL32.EXE [10/17/2007, 23:42:48] - Disabling Automatic Shell Restart [10/17/2007, 23:42:48] - Terminating Process: EXPLORER.EXE [10/17/2007, 23:42:48] - Suspending the NT Session Manager System Service [10/17/2007, 23:42:48] - Terminating Windows NT Logon/Logoff Manager [10/17/2007, 23:42:48] - Re-enabling Automatic Shell Restart [10/17/2007, 23:42:48] - File to disable: C:\WINDOWS\system32\wvuttsq.dll [10/17/2007, 23:42:48] - Renaming C:\WINDOWS\system32\wvuttsq.dll -> C:\WINDOWS\system32\wvuttsq.dll.vir [10/17/2007, 23:42:48] - File successfully renamed! [10/17/2007, 23:42:48] - Removing HKLM\...\Browser Helper Objects\{4AA49418-D47E-47EB-AAD9-3FA5155F3025} [10/17/2007, 23:42:48] - Removing HKCR\CLSID\{4AA49418-D47E-47EB-AAD9-3FA5155F3025} [10/17/2007, 23:42:48] - Adding Kill Bit for ActiveX for GUID: {4AA49418-D47E-47EB-AAD9-3FA5155F3025} [10/17/2007, 23:42:48] - Deleting ATLEvents/MSEvents Registry entries [10/17/2007, 23:42:48] - Removing HKLM\...\Winlogon\Notify\wvuttsq [10/17/2007, 23:42:48] - Searching for Browser Helper Objects: [10/17/2007, 23:42:48] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Aide pour le lien d'Adobe PDF Reader) [10/17/2007, 23:42:48] - BHO 2: {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} () [10/17/2007, 23:42:48] - WARNING: BHO has no default name. Checking for Winlogon reference. [10/17/2007, 23:42:48] - Checking for HKLM\...\Winlogon\Notify\ctbr [10/17/2007, 23:42:48] - Key not found: HKLM\...\Winlogon\Notify\ctbr, continuing. [10/17/2007, 23:42:48] - BHO 3: {53707962-6F74-2D53-2644-206D7942484F} () [10/17/2007, 23:42:48] - WARNING: BHO has no default name. Checking for Winlogon reference. [10/17/2007, 23:42:48] - Checking for HKLM\...\Winlogon\Notify\SDHelper [10/17/2007, 23:42:48] - Key not found: HKLM\...\Winlogon\Notify\SDHelper, continuing. [10/17/2007, 23:42:48] - BHO 4: {89AD4D75-2429-462e-BD4E-443F233F6033} () [10/17/2007, 23:42:48] - WARNING: BHO has no default name. Checking for Winlogon reference. [10/17/2007, 23:42:48] - Checking for HKLM\...\Winlogon\Notify\ivapwlkj [10/17/2007, 23:42:48] - Key not found: HKLM\...\Winlogon\Notify\ivapwlkj, continuing. [10/17/2007, 23:42:48] - BHO 5: {B087CCE1-CE7C-4111-9193-C3D350A002FB} () [10/17/2007, 23:42:48] - WARNING: BHO has no default name. Checking for Winlogon reference. [10/17/2007, 23:42:48] - Checking for HKLM\...\Winlogon\Notify\pmnli [10/17/2007, 23:42:48] - Key not found: HKLM\...\Winlogon\Notify\pmnli, continuing. [10/17/2007, 23:42:48] - BHO 6: {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} (EpsonToolBandKicker Class) [10/17/2007, 23:42:48] - Finished Searching Browser Helper Objects [10/17/2007, 23:42:48] - Finishing up... [10/17/2007, 23:42:48] - A restart is needed. [10/17/2007, 23:42:56] - Attempting to Restart via STOP error (Blue Screen!) Rapport AVG : --------------------------------------------------------- AVG Anti-Spyware - Rapport d'analyse --------------------------------------------------------- + Créé à: 06:43:21 18/10/2007 + Résultat de l'analyse: HKU\S-1-5-21-854245398-1637723038-839522115-500\Software\Microsoft\Internet Explorer\Extensions\CmdMapping\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Adware.Generic : Nettoyé et sauvegardé (mise en quarantaine). C:\System Volume Information\_restore{D83EF510-4327-4B36-A010-B044468B137E}\RP113\A0010822.exe -> Adware.Virtumonde : Nettoyé. C:\VundoFix Backups\awtqq.exe.bad -> Adware.Virtumonde : Nettoyé. C:\Program Files\Anti-virus\DATA\moved\owarvd.exe.vir -> Downloader.ConHook.ah : Nettoyé et sauvegardé (mise en quarantaine). C:\WINDOWS\system32\agphphc.exe -> Downloader.ConHook.ah : Nettoyé et sauvegardé (mise en quarantaine). C:\WINDOWS\system32\eyktsvg.exe -> Downloader.ConHook.ah : Nettoyé et sauvegardé (mise en quarantaine). C:\WINDOWS\system32\fwloms.exe -> Downloader.ConHook.ah : Nettoyé et sauvegardé (mise en quarantaine). C:\WINDOWS\system32\ipezbct.exe -> Downloader.ConHook.ah : Nettoyé et sauvegardé (mise en quarantaine). C:\WINDOWS\system32\jzkbh.exe -> Downloader.ConHook.ah : Nettoyé et sauvegardé (mise en quarantaine). C:\WINDOWS\system32\kzewkxr.exe -> Downloader.ConHook.ah : Nettoyé et sauvegardé (mise en quarantaine). C:\WINDOWS\system32\ledptgg.exe -> Downloader.ConHook.ah : Nettoyé et sauvegardé (mise en quarantaine). C:\WINDOWS\system32 dmfh.exe -> Downloader.ConHook.ah : Nettoyé et sauvegardé (mise en quarantaine). C:\WINDOWS\system32\pbrpt.exe -> Downloader.ConHook.ah : Nettoyé et sauvegardé (mise en quarantaine). C:\WINDOWS\system32\pnibvsew.exe -> Downloader.ConHook.ah : Nettoyé et sauvegardé (mise en quarantaine). C:\WINDOWS\system32 afmsf.exe -> Downloader.ConHook.ah : Nettoyé et sauvegardé (mise en quarantaine). C:\WINDOWS\system32 myl.exe -> Downloader.ConHook.ah : Nettoyé et sauvegardé (mise en quarantaine). C:\WINDOWS\system32\sflokzxb.exe -> Downloader.ConHook.ah : Nettoyé et sauvegardé (mise en quarantaine). C:\WINDOWS\system32\soggh.exe -> Downloader.ConHook.ah : Nettoyé et sauvegardé (mise en quarantaine). C:\WINDOWS\system32 kck.exe -> Downloader.ConHook.ah : Nettoyé et sauvegardé (mise en quarantaine). C:\WINDOWS\system32\uiqtam.exe -> Downloader.ConHook.ah : Nettoyé et sauvegardé (mise en quarantaine). C:\WINDOWS\system32\uloyduwb.exe -> Downloader.ConHook.ah : Nettoyé et sauvegardé (mise en quarantaine). C:\WINDOWS\system32\vgbv.exe -> Downloader.ConHook.ah : Nettoyé et sauvegardé (mise en quarantaine). C:\WINDOWS\system32\zqlwizs.exe -> Downloader.ConHook.ah : Nettoyé et sauvegardé (mise en quarantaine). C:\System Volume Information\_restore{D83EF510-4327-4B36-A010-B044468B137E}\RP87\A0008526.exe -> Downloader.Delf.ain : Nettoyé et sauvegardé (mise en quarantaine). C:\System Volume Information\_restore{D83EF510-4327-4B36-A010-B044468B137E}\RP88\A0008796.exe -> Downloader.Delf.ain : Nettoyé et sauvegardé (mise en quarantaine). C:\WINDOWS\system32\spoolsvc.exe -> Downloader.Delf.ain : Nettoyé et sauvegardé (mise en quarantaine). C:\WINDOWS\system32\wgjgk.exe -> Downloader.Delf.ain : Nettoyé et sauvegardé (mise en quarantaine). C:\System Volume Information\_restore{D83EF510-4327-4B36-A010-B044468B137E}\RP113\A0010819.exe -> Downloader.Tiny.id : Nettoyé et sauvegardé (mise en quarantaine). C:\WINDOWS\system32\cwcykb.exe -> Dropper.Small : Nettoyé et sauvegardé (mise en quarantaine). C:\WINDOWS\system32\enfrgyy.exe -> Dropper.Small : Nettoyé et sauvegardé (mise en quarantaine). C:\WINDOWS\system32\enqamrrn.exe -> Dropper.Small : Nettoyé et sauvegardé (mise en quarantaine). C:\WINDOWS\system32\fwkhtm.exe -> Dropper.Small : Nettoyé et sauvegardé (mise en quarantaine). C:\WINDOWS\system32\fzmp.exe -> Dropper.Small : Nettoyé et sauvegardé (mise en quarantaine). C:\WINDOWS\system32\gpip.exe -> Dropper.Small : Nettoyé et sauvegardé (mise en quarantaine). C:\WINDOWS\system32\hacdl.exe -> Dropper.Small : Nettoyé et sauvegardé (mise en quarantaine). C:\WINDOWS\system32\kmcjsiir.exe -> Dropper.Small : Nettoyé et sauvegardé (mise en quarantaine). C:\WINDOWS\system32\lngfvzn.exe -> Dropper.Small : Nettoyé et sauvegardé (mise en quarantaine). C:\WINDOWS\system32\lpfwka.exe -> Dropper.Small : Nettoyé et sauvegardé (mise en quarantaine). C:\WINDOWS\system32 unq.exe -> Dropper.Small : Nettoyé et sauvegardé (mise en quarantaine). C:\WINDOWS\system32 xkiebv.exe -> Dropper.Small : Nettoyé et sauvegardé (mise en quarantaine). C:\WINDOWS\system32\obsc.exe -> Dropper.Small : Nettoyé et sauvegardé (mise en quarantaine). C:\WINDOWS\system32 tsbejv.exe -> Dropper.Small : Nettoyé et sauvegardé (mise en quarantaine). C:\WINDOWS\system32\saqwzwy.exe -> Dropper.Small : Nettoyé et sauvegardé (mise en quarantaine). C:\WINDOWS\system32\srjmp.exe -> Dropper.Small : Nettoyé et sauvegardé (mise en quarantaine). C:\WINDOWS\system32 qglkpp.exe -> Dropper.Small : Nettoyé et sauvegardé (mise en quarantaine). C:\WINDOWS\system32 xdtme.exe -> Dropper.Small : Nettoyé et sauvegardé (mise en quarantaine). C:\WINDOWS\system32\ujvwkpxl.exe -> Dropper.Small : Nettoyé et sauvegardé (mise en quarantaine). C:\WINDOWS\system32\wbnjzigj.exe -> Dropper.Small : Nettoyé et sauvegardé (mise en quarantaine). C:\WINDOWS\system32\xqyayqqj.exe -> Dropper.Small : Nettoyé et sauvegardé (mise en quarantaine). C:\WINDOWS\system32\zdst.exe -> Dropper.Small : Nettoyé et sauvegardé (mise en quarantaine). C:\WINDOWS\system32\zrrbgobw.exe -> Dropper.Small : Nettoyé et sauvegardé (mise en quarantaine). :mozilla.10:C:\Documents and Settings\GERARD\Application Data\Mozilla\Firefox\Profiles\68nt3uo6.default\cookies.txt -> TrackingCookie.2o7 : Nettoyé. C:\Documents and Settings\Administrateur\Cookies\administrateur@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Nettoyé. C:\Documents and Settings\GERARD\Cookies\gerard@aolfr.122.2o7[1].txt -> TrackingCookie.2o7 : Nettoyé. C:\Documents and Settings\Administrateur\Cookies\administrateur@advertising[2].txt -> TrackingCookie.Advertising : Nettoyé. C:\Documents and Settings\Administrateur\Cookies\administrateur@adviva[2].txt -> TrackingCookie.Adviva : Nettoyé. C:\Documents and Settings\Administrateur\Cookies\administrateur@atdmt[2].txt -> TrackingCookie.Atdmt : Nettoyé. C:\Documents and Settings\Administrateur\Cookies\administrateur@bluestreak[1].txt -> TrackingCookie.Bluestreak : Nettoyé. C:\Documents and Settings\Administrateur\Cookies\administrateur@doubleclick[1].txt -> TrackingCookie.Doubleclick : Nettoyé. C:\Documents and Settings\Administrateur\Cookies\administrateur@mediaplex[1].txt -> TrackingCookie.Mediaplex : Nettoyé. C:\Documents and Settings\Administrateur\Cookies\administrateur@ssl-hints.netflame[1].txt -> TrackingCookie.Netflame : Nettoyé. C:\Documents and Settings\Administrateur\Cookies\administrateur@stats1.reliablestats[2].txt -> TrackingCookie.Reliablestats : Nettoyé. C:\Documents and Settings\GERARD\Cookies\gerard@serving-sys[2].txt -> TrackingCookie.Serving-sys : Nettoyé. C:\Documents and Settings\Administrateur\Cookies\administrateur@smartadserver[1].txt -> TrackingCookie.Smartadserver : Nettoyé. C:\Documents and Settings\Administrateur\Cookies\administrateur@tradedoubler[1].txt -> TrackingCookie.Tradedoubler : Nettoyé. C:\Documents and Settings\Administrateur\Cookies\administrateur@weborama[1].txt -> TrackingCookie.Weborama : Nettoyé. C:\Documents and Settings\Administrateur\Cookies\administrateur@ad.yieldmanager[2].txt -> TrackingCookie.Yieldmanager : Nettoyé. C:\System Volume Information\_restore{D83EF510-4327-4B36-A010-B044468B137E}\RP113\A0014621.dll -> Trojan.Klone.k : Nettoyé et sauvegardé (mise en quarantaine). C:\System Volume Information\_restore{D83EF510-4327-4B36-A010-B044468B137E}\RP113\A0014624.dll -> Trojan.Klone.k : Nettoyé et sauvegardé (mise en quarantaine). C:\System Volume Information\_restore{D83EF510-4327-4B36-A010-B044468B137E}\RP113\A0014626.dll -> Trojan.Klone.k : Nettoyé et sauvegardé (mise en quarantaine). C:\System Volume Information\_restore{D83EF510-4327-4B36-A010-B044468B137E}\RP113\A0014629.dll -> Trojan.Klone.k : Nettoyé et sauvegardé (mise en quarantaine). C:\System Volume Information\_restore{D83EF510-4327-4B36-A010-B044468B137E}\RP113\A0014630.dll -> Trojan.Klone.k : Nettoyé et sauvegardé (mise en quarantaine). C:\qoobox\Quarantine\C\WINDOWS\system32\awvturq.dll.vir -> Trojan.Klone.k : Nettoyé et sauvegardé (mise en quarantaine). C:\qoobox\Quarantine\C\WINDOWS\system32\geebbxu.dll.vir -> Trojan.Klone.k : Nettoyé et sauvegardé (mise en quarantaine). C:\qoobox\Quarantine\C\WINDOWS\system32\mljjifc.dll.vir -> Trojan.Klone.k : Nettoyé et sauvegardé (mise en quarantaine). C:\qoobox\Quarantine\C\WINDOWS\system32\vtsturp.dll.vir -> Trojan.Klone.k : Nettoyé et sauvegardé (mise en quarantaine). C:\qoobox\Quarantine\C\WINDOWS\system32\vturspn.dll.vir -> Trojan.Klone.k : Nettoyé et sauvegardé (mise en quarantaine). Fin du rapport Rapport Fixnavi : Search Navipromo version 3.3.0 commencé le 18/10/2007 à 7:21:01,85 !!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!! !!! Postez ce rapport sur le forum pour le faire analyser !!! !!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!! Outil exécuté depuis C:\Program Files avilog1 Mise à jour le 16.10.2007 à 10h00 par IL-MAFIOSO Microsoft Windows XP [version 5.1.2600] Internet Explorer : 6.0.2900.2180 *** Recherche Programmes installés *** *** Recherche dossiers dans C:\WINDOWS *** *** Recherche dossiers dans C:\Program Files *** *** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data *** *** Recherche dossiers dans C:\Documents and Settings\Administrateur\Application Data *** *** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 *** *** Recherche avec Catchme-rootkit/stealth malware detector par gmer *** pour + d'infos : http://www.gmer.net Aucun fichier trouvé dans : - C:\WINDOWS\system32 - C:\DOCUME~1\ADMINI~1\LOCALS~1\APPLIC~1 *** Recherche avec GenericNaviSearch *** !!! Tous ces résultats peuvent révéler des fichiers légitimes !!! !!! A vérifier impérativement avant toute suppression manuelle !!! * Recherche dans C:\WINDOWS\system32 * * Recherche dans C:\DOCUME~1\ADMINI~1\LOCALS~1\APPLIC~1 * *** Recherche fichiers *** *** Recherche clés spécifiques dans le Registre *** *** Module de Recherche complémentaire *** (Recherche fichiers spécifiques) 1)Recherche fichiers connus: C:\WINDOWS\system32\mpqss.bak1 trouvé ! infection Vundo possible non traitée par cet outil ! 2)Recherche Heuristique : C:\WINDOWS\system32\gnvsz.exe trouvé ! C:\WINDOWS\system32\hvgvpkjb.exe trouvé ! *** Analyse terminée le 18/10/2007 à 7:22:15,01 *** Dernier test HijackThis réalisé ce matin : Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 07:45:12, on 18/10/2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Safe mode with network support Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe C:\WINDOWS\system32 undll32.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\Documents and Settings\Administrateur\Bureau\eden.exe C:\WINDOWS\system32\NOTEPAD.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (file missing) O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\LOGICI~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {6BAB0E5D-2FC5-4918-AEAC-0967F0EA4E76} - C:\WINDOWS\system32\ssqpm.dll O2 - BHO: (no name) - {BACEB7AF-8D88-456E-82D0-7BEB9A4410FE} - C:\WINDOWS\system32\byxutrp.dll O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ANTI-V~1\ashDisp.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [EPSON Stylus CX6600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9EE.EXE /P26 "EPSON Stylus CX6600 Series" /O6 "USB001" /M "Stylus CX6600" O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [SpywareTerminator] "C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe" O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/... O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll O20 - Winlogon Notify: byxutrp - C:\WINDOWS\SYSTEM32\byxutrp.dll O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Anti-virus\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Anti-virus\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Anti-virus\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Anti-virus\ashWebSv.exe O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe O23 - Service: Network Windows Service (MSWindows) - Unknown owner - C:\WINDOWS\System32\urdvxc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32 vsvc32.exe O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe

jlpjlp · Answer

slt,
= Lance navilog1 
= Cette fois-ci choisi l'option 2 
= Navilog va faire le nettoyage.. patient jusqu'à ce qui soit marqué *** Nettoyage Termine le ..... *** 
= Un rapport va être génrer sur ton C:\ qui sera en option 2 
Note: le bureau disparaît 

= colle le contenu du rapport de navilog (qui est en option2) 


PS:Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches. 
Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter" 
Tape explorer et valide. Celà te fera apparaitre ton bureau. 

_______________

Relance Vundofix (colle le rapport)
* Ne clique pas sur "Scan for a vundo"
* Clique droit au milieu de la fenêtre
* Clique sur Add more files ?
* Copie/colle les fichiers ci-dessous ( un par case) :

C:\WINDOWS\system32\ssqpm.dll
C:\WINDOWS\SYSTEM32\byxutrp.dll 
C:\WINDOWS\system32\byxutrp.dll 


* Clique sur Add files
* Ensuite clique sur Close Windows
* Enfin, clique sur Remove Vundo ( les fichiers précédents doivent apparaitre dans la fenêtre principale)
* Si l'outils demande un redémarrage, accepte
* Poste le rapport Vundofix, ainsi qu'un nouveau log hijackthis


_______________
pour virer ca:

désactive la restauration système pour purger les virus qui seraient dedans puis réactive là (dans DEMARRER puis TOUS LES PROGRAMMES puis ACCESSOIRE puis OUTILS SYSTEME puis RESTAURATION SYSTEME puis paramètre)

C:\System Volume Information\_restore{D83EF510-4327-4B36-A010-B044468B137E}\RP113\A0010819.exe -> Downloader.Tiny.id : Nettoyé et sauvegardé (mise en quarantaine). 
________________


 colle le rapport d'un scan en ligne 
avec un des suivants: 


bitdefender en ligne : 
http://www.bitdefender.fr/scan_fr/scan8/ie.html 

Panda en ligne : 
http://pandasoftware.fr

secuser en ligne :
http://www.secuser.com/outils/antivirus.htm

_____________

mets internet explorer 7 meme si tu ne l'utilise pas
____________

et recolle hijackthis svp et dis tes pbs

reals10 · Answer

Merci pour tes réponses!!!

Je vais suivre tes instructions à la lettre dès que je rentre chez moi ce midi...Je collerai les rapports entre 12h00 et 14h00...

Encore merci...

A tout à l'heure,

Reals10

jlpjlp · Answer

vireaussi ce qui est en quarantaine dans poste de travail puis
C:\qoobox\Quarantine

reals10 · Answer

Je dois virer  les mises en quarantaine effectuées par AVG (tous les fichiers nettoyés puis sauvegardés durant l'analyse AVG) ?

Sinon, la ligne HijackThis nommée:
O23 - Service: Network Windows Service (MSWindows) - Unknown owner - C:\WINDOWS\System32\urdvxc.exe 

n'est-elle pas suspecte? J'essaye d'apprendre en même temps!

Merci!

Reals10

jlpjlp · Answer

si suspecte aussi on verra avec le scan en ligne

ou sinon pour apprendre...

regarde la:
http://www.castlecops.com/o23list-2326.html


et 


Vas sur le site https://virusscan.jotti.org/ 
- Clic en haut à droite sur "Parcourir", navigue dans les dossiers et sélectionne ce fichier :

C:\WINDOWS\System32\urdvxc.exe 

- Clic sur submit toujours en haut à droite 
- Le scan va se lancer, ça va prendre un petit instant 
- En bas, tu as le résultat du scan, copie/colle le résultat complet du scan ici. 
Aide : https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId662799

reals10 · Answer

Re-bonjour,

Bon voilà, je suis rentrée chez moi ce midi...Mais je n'ai pas pu terminer les analyses demandées...

J'ai :
- téléchargé IE7 
- viré les mises en quarantaine
- fait la procédure Navilog (= Lance navilog1/option 2 / Nettoyage)
- refait une analyse SpyBot qui m'a découvert Virtualmonde....J'ai donc cliqué sur "Réparer les problèmes".

Et, pour la suite, j'attends de rentrer chez moi vers 17h00...Pour poster les nouvelles analyses du scan Bitdefender ainsi que de HijackThis...


A tout à l'heure donc!

Reals10

jlpjlp · Answer

ok lance le scan en ligne des maintenat car c'est long

reals10 · Answer

Re...

Alors après toutes les analyses, voici les rapports :

Rapport NAVILOG1 :

Clean Navipromo version 3.3.0 commencé le 18/10/2007 à 12:46:51,35

Outil exécuté depuis C:\Program Files
avilog1
Mise à jour le 16.10.2007 à 10h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.13

Mode suppression automatique 


Executé en mode sans échec

 
*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)
 

*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans C:\WINDOWS\System32 *


* Suppression dans C:\DOCUME~1\ADMINI~1\LOCALS~1\APPLIC~1 *



*** Suppression dossiers dans C:\WINDOWS ***


*** Suppression dossiers dans C:\Program Files ***


*** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***


*** Suppression dossiers dans C:\Documents and Settings\Administrateur\Application Data ***


*** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***



*** Suppression fichiers ***


*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Administrateur\Local Settings\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:

C:\WINDOWS\system32\mpqss.bak1 trouvé ! infection Vundo possible non traitée par cet outil !

2)Recherche, création sauvegardes et suppression Heuristique :

C:\WINDOWS\system32\gnvsz.exe trouvé !
Copie C:\WINDOWS\system32\gnvsz.exe réalisé avec succès !
C:\WINDOWS\system32\gnvsz.exe supprimé !

C:\WINDOWS\system32\hvgvpkjb.exe trouvé !
Copie C:\WINDOWS\system32\hvgvpkjb.exe réalisé avec succès !
C:\WINDOWS\system32\hvgvpkjb.exe supprimé !

C:\WINDOWS\system32\lrubxiqh.exe trouvé !
Copie C:\WINDOWS\system32\lrubxiqh.exe réalisé avec succès !
C:\WINDOWS\system32\lrubxiqh.exe supprimé !


*** Sauvegarde du Registre vers dossier Backupnavi ***

sauvegarde du Registre réalisé avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok


*** Certificats ***

Certificat Egroup absent !

 
*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)
 

*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans C:\WINDOWS\System32 *


* Suppression dans C:\DOCUME~1\ADMINI~1\LOCALS~1\APPLIC~1 *



*** Suppression dossiers dans C:\WINDOWS ***


*** Suppression dossiers dans C:\Program Files ***


*** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***


*** Suppression dossiers dans C:\Documents and Settings\Administrateur\Application Data ***


*** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***



*** Suppression fichiers ***


*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Administrateur\Local Settings\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:

C:\WINDOWS\system32\mpqss.bak1 trouvé ! infection Vundo possible non traitée par cet outil !

2)Recherche, création sauvegardes et suppression Heuristique :


*** Sauvegarde du Registre vers dossier Backupnavi ***

sauvegarde du Registre réalisé avec succès !

*** Nettoyage Registre ***


Erreur : Fichier regnavi1.reg non trouvé !
Le Registre n'a pas été nettoyé !


*** Certificats ***

Certificat Egroup absent !

 
*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)
 

*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans C:\WINDOWS\System32 *


* Suppression dans C:\DOCUME~1\ADMINI~1\LOCALS~1\APPLIC~1 *



*** Suppression dossiers dans C:\WINDOWS ***


*** Suppression dossiers dans C:\Program Files ***


*** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***


*** Suppression dossiers dans C:\Documents and Settings\Administrateur\Application Data ***


*** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***



*** Suppression fichiers ***


*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Administrateur\Local Settings\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:

C:\WINDOWS\system32\mpqss.bak1 trouvé ! infection Vundo possible non traitée par cet outil !

2)Recherche, création sauvegardes et suppression Heuristique :


*** Sauvegarde du Registre vers dossier Backupnavi ***

sauvegarde du Registre réalisé avec succès !

*** Nettoyage Registre ***


Erreur : Fichier regnavi1.reg non trouvé !
Le Registre n'a pas été nettoyé !


*** Certificats ***

Certificat Egroup absent !

 
*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)
 

*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans C:\WINDOWS\System32 *


* Suppression dans C:\DOCUME~1\ADMINI~1\LOCALS~1\APPLIC~1 *



*** Suppression dossiers dans C:\WINDOWS ***


*** Suppression dossiers dans C:\Program Files ***


*** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***


*** Suppression dossiers dans C:\Documents and Settings\Administrateur\Application Data ***


*** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***



*** Suppression fichiers ***


*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Administrateur\Local Settings\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:

C:\WINDOWS\system32\ehhkj.bak1 trouvé ! infection Vundo possible non traitée par cet outil !

2)Recherche, création sauvegardes et suppression Heuristique :


*** Sauvegarde du Registre vers dossier Backupnavi ***

sauvegarde du Registre réalisé avec succès !

*** Nettoyage Registre ***


Erreur : Fichier regnavi1.reg non trouvé !
Le Registre n'a pas été nettoyé !


*** Certificats ***

Certificat Egroup absent !

 
*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)
 

*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans C:\WINDOWS\System32 *


* Suppression dans C:\DOCUME~1\ADMINI~1\LOCALS~1\APPLIC~1 *



*** Suppression dossiers dans C:\WINDOWS ***


*** Suppression dossiers dans C:\Program Files ***


*** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***


*** Suppression dossiers dans C:\Documents and Settings\Administrateur\Application Data ***


*** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***



*** Suppression fichiers ***


*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Administrateur\Local Settings\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:

C:\WINDOWS\system32\ehhkj.bak1 trouvé ! infection Vundo possible non traitée par cet outil !

2)Recherche, création sauvegardes et suppression Heuristique :


*** Sauvegarde du Registre vers dossier Backupnavi ***

sauvegarde du Registre réalisé avec succès !

*** Nettoyage Registre ***


Erreur : Fichier regnavi1.reg non trouvé !
Le Registre n'a pas été nettoyé !


*** Certificats ***

Certificat Egroup absent !

 
*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)
 

*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans C:\WINDOWS\System32 *


* Suppression dans C:\DOCUME~1\ADMINI~1\LOCALS~1\APPLIC~1 *



*** Suppression dossiers dans C:\WINDOWS ***


*** Suppression dossiers dans C:\Program Files ***


*** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***


*** Suppression dossiers dans C:\Documents and Settings\Administrateur\Application Data ***


*** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***



*** Suppression fichiers ***


*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Administrateur\Local Settings\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:

C:\WINDOWS\system32\ehhkj.bak1 trouvé ! infection Vundo possible non traitée par cet outil !

2)Recherche, création sauvegardes et suppression Heuristique :


*** Sauvegarde du Registre vers dossier Backupnavi ***

sauvegarde du Registre réalisé avec succès !

*** Nettoyage Registre ***


Erreur : Fichier regnavi1.reg non trouvé !
Le Registre n'a pas été nettoyé !


*** Certificats ***

Certificat Egroup absent !

 
*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)
 

*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans C:\WINDOWS\System32 *


* Suppression dans C:\DOCUME~1\ADMINI~1\LOCALS~1\APPLIC~1 *



*** Suppression dossiers dans C:\WINDOWS ***


*** Suppression dossiers dans C:\Program Files ***


*** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***


*** Suppression dossiers dans C:\Documents and Settings\Administrateur\Application Data ***



Rapport VUNDOFIX :

C:\WINDOWS\system32\dmgkohcq.dll
C:\windows\system32\pmnnlkj.dll
C:\windows\system32\ssqpoll.dll
C:\WINDOWS\system32\wvurpnl.dll


Rapport du scan BITDEFENDER : Je l'ai mais il est trop gros...je ne peux pas l'insérer dans ce message...


Rapport du scan HijackThis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:54:43, on 18/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Documents and Settings\Administrateur\Bureau\eden.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (file missing)
O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {A95B2816-1D7E-4561-A202-68C0DE02353A} - C:\WINDOWS\system32\dmgkohcq.dll (file missing)
O2 - BHO: (no name) - {D11CC56B-E9BF-4533-9D76-50940AA7C1AA} - C:\WINDOWS\system32\ssqpm.dll (file missing)
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Security Toolbar - {11A69AE4-FBED-4832-A2BF-45AF82825583} - C:\WINDOWS\system32\dmgkohcq.dll (file missing)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ANTI-V~1\ashDisp.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus CX6600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9EE.EXE /P26 "EPSON Stylus CX6600 Series" /O6 "USB001" /M "Stylus CX6600"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\RunOnce: [NoIE4StubProcessing] C:\WINDOWS\system32eg.exe DELETE "HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components" /v "NoIE4StubProcessing" /f
O4 - HKLM\..\RunOnce: [Spybot - Search & Destroy] "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKLM\..\RunOnce: [SpybotDeletingA6034] command /c del "C:\WINDOWS\system32\dmgkohcq.dllbox"
O4 - HKLM\..\RunOnce: [SpybotDeletingC6587] cmd /c del "C:\WINDOWS\system32\dmgkohcq.dllbox"
O4 - HKLM\..\RunOnce: [SpybotDeletingA4432] command /c del "C:\WINDOWS\system32\dmgkohcq.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingC1210] cmd /c del "C:\WINDOWS\system32\dmgkohcq.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingA706] command /c del "C:\WINDOWS\system32\dmgkohcq.dll"
O4 - HKLM\..\RunOnce: [SpybotDeletingC6586] cmd /c del "C:\WINDOWS\system32\dmgkohcq.dll"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [SpybotDeletingB9574] command /c del "C:\WINDOWS\system32\dmgkohcq.dllbox"
O4 - HKCU\..\RunOnce: [SpybotDeletingD1431] cmd /c del "C:\WINDOWS\system32\dmgkohcq.dllbox"
O4 - HKCU\..\RunOnce: [SpybotDeletingB9946] command /c del "C:\WINDOWS\system32\dmgkohcq.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD5070] cmd /c del "C:\WINDOWS\system32\dmgkohcq.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingB5345] command /c del "C:\WINDOWS\system32\dmgkohcq.dll"
O4 - HKCU\..\RunOnce: [SpybotDeletingD140] cmd /c del "C:\WINDOWS\system32\dmgkohcq.dll"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O20 - Winlogon Notify: dmgkohcq - dmgkohcq.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Anti-virus\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Anti-virus\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Anti-virus\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Anti-virus\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Network Windows Service (MSWindows) - Unknown owner - C:\WINDOWS\System32\urdvxc.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe

jlpjlp · Answer

desinstalle spybot et met la derniere version ici:

spybot : 

https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/26157.html 


_________________

Rapport du scan BITDEFENDER : Je l'ai mais il est trop gros...je ne peux pas l'insérer dans ce message..

colle juste le noms des virus , l'action et les fichiers inefctés

_______________

Relance Vundofix
* Ne clique pas sur "Scan for a vundo"
* Clique droit au milieu de la fenêtre
* Clique sur Add more files ?
* Copie/colle les fichiers ci-dessous ( un par case) :

C:\WINDOWS\system32\ehhkj.bak1

* Clique sur Add files
* Ensuite clique sur Close Windows
* Enfin, clique sur Remove Vundo ( les fichiers précédents doivent apparaitre dans la fenêtre principale)
* Si l'outils demande un redémarrage, accepte
* Poste le rapport Vundofix, ainsi qu'un nouveau log hijackthis


_________________

refait navilog 2 eme partie: car il y a eu une erreur:

= Lance navilog1 
= Cette fois-ci choisi l'option 2 
= Navilog va faire le nettoyage.. patient jusqu'à ce qui soit marqué *** Nettoyage Termine le ..... *** 
= Un rapport va être génrer sur ton C:\ qui sera en option 2 
Note: le bureau disparaît 

= colle le contenu du rapport de navilog (qui est en option2) 


PS:Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches. 
Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter" 
Tape explorer et valide. Celà te fera apparaitre ton bureau

reals10 · Answer

Bonjour,

Après avoir refait ce que tu as inséré dans ta réponse précédente, voici ce que donne l'analyse HijackThis réalisée tout à l'haure :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:34:24, on 20/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Anti-virus\aswUpdSv.exe
C:\Program Files\Anti-virus\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\ANTI-V~1\ashDisp.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9EE.EXE
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\System32
vsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Anti-virus\ashMaiSv.exe
C:\Program Files\Anti-virus\ashWebSv.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Documents and Settings\Administrateur\Bureau\Eden2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.neuf.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (file missing)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {D11CC56B-E9BF-4533-9D76-50940AA7C1AA} - C:\WINDOWS\system32\ssqpm.dll (file missing)
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ANTI-V~1\ashDisp.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus CX6600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9EE.EXE /P26 "EPSON Stylus CX6600 Series" /O6 "USB001" /M "Stylus CX6600"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (TotalScan Installer Class) - https://www.pandasecurity.com/en/homeusers/online-antivirus/?ref=activescan
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O20 - Winlogon Notify: dmgkohcq - dmgkohcq.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Anti-virus\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Anti-virus\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Anti-virus\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Anti-virus\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Network Windows Service (MSWindows) - Unknown owner - C:\WINDOWS\System32\urdvxc.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe

reals10 · Answer

Juste une petite chose supplémentaire à rajouter à mon message précédent:

Il y a deux ligne dont le ficher est manquant :

- O2 - BHO: (no name) - {D11CC56B-E9BF-4533-9D76-50940AA7C1AA} - C:\WINDOWS\system32\ssqpm.dll (file missing)

et...

- O20 - Winlogon Notify: dmgkohcq - dmgkohcq.dll (file missing)


Est-ce grave Docteur?


Reals10

jlpjlp · Answer

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (file missing)

O2 - BHO: (no name) - {D11CC56B-E9BF-4533-9D76-50940AA7C1AA} - C:\WINDOWS\system32\ssqpm.dll (file missing)

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O20 - Winlogon Notify: dmgkohcq - dmgkohcq.dll (file missing)


slt c'est ok!

FIX juste ces lignes avec hijackthis (fix checked)


____________________

voila ce qu'il faut que tu garde : le reste que je t'ai fais installée tu vire (mets bien spywareblastrer qui immunise en plus de spybot contre coonkoh que tu avais




pour protéger gratos ton ordi

securite

mettre un antivirus

AVAST en français   ou ANTIVIR (en anglais mais très efficace)
https://www.malekal.com/avira-free-security-antivirus-gratuit/ (merci Malekal)
-------------

des anti-espions:

AVG antispyware + SPYBOT +     WINDOWS DEFENDER si tea timer de spybot non activé

+
SPYWAREBLASTER pour immuniser le système contre vundo notamment mais en anglais (mais facile d'utilisation  : il suffit de faire "update" pour mettre à jour tous les mois  et ensuite" enable all protection" pour immuniser)...


--------
un pare feu :
celui de Windows ou mieux KERIO ou JETICO ou ZONE ALARM (mettre que le parefeu gratuit)

https://www.clubic.com/telecharger-fiche11071-sunbelt-personal-firewall-ex-kerio.html
https://manuelsdaide.com/contact/
http://www.open-files.com/forum/index.php?showtopic=29277
zonealarm

-----------

CCLEANER pour effacer les traces de surf

jlpjlp · Answer

bonne continuation

reals10 · Answer

Je vais me répéter mais merci  pour tout le travail effectué....
Sans des personnes comme toi, on n'avancerai pas dans ce monde de malveillants... C'est super de bien vouloir utiliser tes connaissances pour aider bénévolement les utilisateurs...Belle preuve communautaire...Ca devient rare de nos jours!!!

Alors un GRAND MERCI (et oui encore!!!) et à toi aussi ,je souhaite une bonne continuation...


A bientôt,

Reals10 alias Sonia ~(-_-)~

jlpjlp · Answer

de rien 
avec plaisir

spywareblaster immunise firefox  donc utile pour toi

et
pense a mettre a jour windows maintenant...





bonne continuation
si souci tu dis!

a plus

reals10 · Answer

Ok Ok....J'ai compris la leçon...(sourire!)
Je télécharge dès à présent Spywareblaster que je n'avais pas ainsi que Ccleaner...Sinon, j'ai Avast + AVG antispyware + Spybot +Ad-Aware + Kerio...

Sinon, pour clôturer ce post en affaire "Résolue"...il faut  récapituler les actions réalisées mais...Oups...je ne sais pas trop quoi mettre!

reals10 · Answer

Je clôture donc ce post!

Merci.

reals10 · Answer

...

jlpjlp · Answer

oui heureusement pour toi......

reals10 · Answer

Affaire résolue complètement!

Ciao !

Reals10

Infectée par des TROJANS - Page 2

Discussions similaires

Newsletters