Rrsxpfjcm.exe
Résolu
Roro 81
-
philae83 Messages postés 12854 Statut Contributeur sécurité -
philae83 Messages postés 12854 Statut Contributeur sécurité -
Bonjour,
Zone Alarm me signale régulièrement que rrsxpfjcm.exe veux se connecter et me demande mon avis pour l'autoriser. Je ne trouve d'info nul part et comme je sort à peine d'une invasion.... Que dois-je faire ? d'où provient ce fichier?
Merci de votre aide
Roro 81
Zone Alarm me signale régulièrement que rrsxpfjcm.exe veux se connecter et me demande mon avis pour l'autoriser. Je ne trouve d'info nul part et comme je sort à peine d'une invasion.... Que dois-je faire ? d'où provient ce fichier?
Merci de votre aide
Roro 81
25 réponses
bonsoir
si tu sors à peine d'une infection, tu devrais avoir appris à te protéger non ?
Télécharge navilog1 (Merci il.mafioso!)
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
* Ensuite double clique sur navilog1.exe pour lancer l'installation.
* Une fois l'installation terminée, le fix s'exécutera automatiquement.
* (Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).
* Laisse-toi guider. Au menu principal, choisis 1 et valides.
/*\ Ne fais pas le choix 2,3 ou 4 sans notre avis/accord /*\
* Patiente jusqu'au message : *** Analyse terminée le ..... ***
* Appuie sur une touche comme demandé, le Bloc-notes va s'ouvrir.
* Copie-colle l'intégralité du rapport dans ta prochaine réponse. Referme le Bloc-notes.
* Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)
------
si tu sors à peine d'une infection, tu devrais avoir appris à te protéger non ?
Télécharge navilog1 (Merci il.mafioso!)
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
* Ensuite double clique sur navilog1.exe pour lancer l'installation.
* Une fois l'installation terminée, le fix s'exécutera automatiquement.
* (Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).
* Laisse-toi guider. Au menu principal, choisis 1 et valides.
/*\ Ne fais pas le choix 2,3 ou 4 sans notre avis/accord /*\
* Patiente jusqu'au message : *** Analyse terminée le ..... ***
* Appuie sur une touche comme demandé, le Bloc-notes va s'ouvrir.
* Copie-colle l'intégralité du rapport dans ta prochaine réponse. Referme le Bloc-notes.
* Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)
------
Merci de ton aide, je ne suis qu'un petit bricoleur et souvent, je tatone plus que je ne comprend ce qui se passe. Mais j'essais.
Voici donc le résultat.
Nota: c'est le disque F:\ qui est maître dans mon PC...
Search Navipromo version 3.3.2 commencé le 24/10/2007 à 23:08:34,10
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!
Outil exécuté depuis F:\Program Files\navilog1
Mise à jour le 22.10.2007 à 19h00 par IL-MAFIOSO
Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2800.1106
*** Recherche Programmes installés ***
*** Recherche dossiers dans F:\WINDOWS ***
*** Recherche dossiers dans F:\Program Files ***
F:\Program Files\WebMediaPlayer trouvé !
*** Recherche dossiers dans F:\Documents and Settings\All Users\Application Data ***
*** Recherche dossiers dans F:\Documents and Settings\Administrateur\Application Data ***
*** Recherche dossiers dans F:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***
...\WebMediaPlayer trouvé !
*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net
Aucun fichier trouvé dans :
- F:\WINDOWS\system32
- F:\DOCUME~1\ADMINI~1\LOCALS~1\APPLIC~1
*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!
* Recherche dans F:\WINDOWS\system32 *
* Recherche dans F:\DOCUME~1\ADMINI~1\LOCALS~1\APPLIC~1 *
Fichiers trouvés :
rrsxpfjcm.exe trouvé !
*** Recherche fichiers ***
F:\DOCUME~1\ALLUSE~1\BUREAU\WebMediaPlayer.lnk trouvé !
F:\WINDOWS\pack.epk trouvé !
*** Recherche clés spécifiques dans le Registre ***
HKEY_CURRENT_USER\Software\Lanconfig trouvé !
*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)
1)Recherche fichiers connus:
2)Recherche Heuristique :
F:\DOCUME~1\ADMINI~1\LOCALS~1\APPLIC~1\rrsxpfjcm.dat trouvé !
3)Recherche Certificats :
Certificat Egroup trouvé !
*** Analyse terminée le 24/10/2007 à 23:09:18,01 ***
Voici donc le résultat.
Nota: c'est le disque F:\ qui est maître dans mon PC...
Search Navipromo version 3.3.2 commencé le 24/10/2007 à 23:08:34,10
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!
Outil exécuté depuis F:\Program Files\navilog1
Mise à jour le 22.10.2007 à 19h00 par IL-MAFIOSO
Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2800.1106
*** Recherche Programmes installés ***
*** Recherche dossiers dans F:\WINDOWS ***
*** Recherche dossiers dans F:\Program Files ***
F:\Program Files\WebMediaPlayer trouvé !
*** Recherche dossiers dans F:\Documents and Settings\All Users\Application Data ***
*** Recherche dossiers dans F:\Documents and Settings\Administrateur\Application Data ***
*** Recherche dossiers dans F:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***
...\WebMediaPlayer trouvé !
*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net
Aucun fichier trouvé dans :
- F:\WINDOWS\system32
- F:\DOCUME~1\ADMINI~1\LOCALS~1\APPLIC~1
*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!
* Recherche dans F:\WINDOWS\system32 *
* Recherche dans F:\DOCUME~1\ADMINI~1\LOCALS~1\APPLIC~1 *
Fichiers trouvés :
rrsxpfjcm.exe trouvé !
*** Recherche fichiers ***
F:\DOCUME~1\ALLUSE~1\BUREAU\WebMediaPlayer.lnk trouvé !
F:\WINDOWS\pack.epk trouvé !
*** Recherche clés spécifiques dans le Registre ***
HKEY_CURRENT_USER\Software\Lanconfig trouvé !
*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)
1)Recherche fichiers connus:
2)Recherche Heuristique :
F:\DOCUME~1\ADMINI~1\LOCALS~1\APPLIC~1\rrsxpfjcm.dat trouvé !
3)Recherche Certificats :
Certificat Egroup trouvé !
*** Analyse terminée le 24/10/2007 à 23:09:18,01 ***
bonsoir
* Double clique sur le raccourci Navilog1 présent sur le bureau et laisse-toi guider.
* Au menu principal, choisis 2 et valide.
* Le fix va t'informer qu'il va alors redémarrer ton PC
* Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts
* Appuie sur une touche comme demandé. (si ton Pc ne redémarre pas automatiquement, fais le toi même)
* Au redémarrage de ton PC, choisis ta session habituelle.
* Patiente jusqu'au message : *** Nettoyage Termine le ..... ***
* Le Bloc-notes va s'ouvrir.
* Sauvegarde le rapport de manière à le retrouver.
* Referme le Bloc-Notes. Ton bureau va réapparaître.
* Note : Si ton bureau ne réapparaît pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
* Rends-toi à l'onglet "Processus", clique en haut à gauche sur > Fichiers et choisis > Exécuter
* Tape explorer et valide. Celà te fera apparaître ton Bureau.
* Tu posteras le rapport de Navilog1
puis
* Télécharge HijackThis et poste le rapport stp
hijackthis
* Lance un scan "do a system scan & save a logfile" puis copie colle le rapport généré ici
* Double clique sur le raccourci Navilog1 présent sur le bureau et laisse-toi guider.
* Au menu principal, choisis 2 et valide.
* Le fix va t'informer qu'il va alors redémarrer ton PC
* Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts
* Appuie sur une touche comme demandé. (si ton Pc ne redémarre pas automatiquement, fais le toi même)
* Au redémarrage de ton PC, choisis ta session habituelle.
* Patiente jusqu'au message : *** Nettoyage Termine le ..... ***
* Le Bloc-notes va s'ouvrir.
* Sauvegarde le rapport de manière à le retrouver.
* Referme le Bloc-Notes. Ton bureau va réapparaître.
* Note : Si ton bureau ne réapparaît pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
* Rends-toi à l'onglet "Processus", clique en haut à gauche sur > Fichiers et choisis > Exécuter
* Tape explorer et valide. Celà te fera apparaître ton Bureau.
* Tu posteras le rapport de Navilog1
puis
* Télécharge HijackThis et poste le rapport stp
hijackthis
* Lance un scan "do a system scan & save a logfile" puis copie colle le rapport généré ici
Bonsoir, Merci de ton message.
C'est fait mais Navilog1 n'a pas opéré d'arrêt/redémarage !?...Et il est allé vite fait jusqu'à la fenêtre texte tout seul. Il semble qu'il ait fait les corrections.
j'ai donc activé HijackThis en suivant mais j'aurais peut-être du faire un redémarage moi-même ?
Clean Navipromo version 3.3.2 commencé le 25/10/2007 à 21:01:37,95
Outil exécuté depuis F:\Program Files\navilog1
Mise à jour le 22.10.2007 à 19h00 par IL-MAFIOSO
Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2800.1106
Mode suppression automatique
*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)
*** Suppression avec sauvegardes résultats GenericNaviSearch ***
* Suppression dans F:\WINDOWS\System32 *
F:\WINDOWS\prefetch\rrsxpfjcm*.pf trouvé !
Copie F:\WINDOWS\prefetch\rrsxpfjcm*.pf réalisé avec succès !
F:\WINDOWS\prefetch\rrsxpfjcm*.pf supprimé !
* Suppression dans F:\DOCUME~1\ADMINI~1\LOCALS~1\APPLIC~1 *
rrsxpfjcm.exe trouvé !
Copie rrsxpfjcm.exe réalisé avec succès !
rrsxpfjcm.exe !!ERREUR SUPPRESSION!!
rrsxpfjcm.dat trouvé !
Copie rrsxpfjcm.dat réalisé avec succès !
rrsxpfjcm.dat supprimé !
rrsxpfjcm_nav.dat trouvé !
Copie rrsxpfjcm_nav.dat réalisé avec succès !
rrsxpfjcm_nav.dat supprimé !
rrsxpfjcm_navps.dat trouvé !
Copie rrsxpfjcm_navps.dat réalisé avec succès !
rrsxpfjcm_navps.dat supprimé !
*** Suppression dossiers dans F:\WINDOWS ***
*** Suppression dossiers dans F:\Program Files ***
F:\Program Files\WebMediaPlayer ...suppression...
F:\Program Files\WebMediaPlayer supprimé !
*** Suppression dossiers dans F:\Documents and Settings\All Users\Application Data ***
*** Suppression dossiers dans F:\Documents and Settings\Administrateur\Application Data ***
*** Suppression dossiers dans F:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***
...\WebMediaPlayer ...suppression...
...\WebMediaPlayer supprimé !
*** Suppression fichiers ***
F:\DOCUME~1\ALLUSE~1\BUREAU\WebMediaPlayer.lnk supprimé !
F:\WINDOWS\pack.epk supprimé !
*** Suppression fichiers temporaires ***
Nettoyage contenu F:\WINDOWS\Temp effectué !
Nettoyage contenu F:\Documents and Settings\Administrateur\Local Settings\Temp effectué !
*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)
1)Recherche fichiers connus:
2)Recherche, création sauvegardes et suppression Heuristique :
*** Sauvegarde du Registre vers dossier Backupnavi ***
sauvegarde du Registre réalisé avec succès !
*** Nettoyage Registre ***
Nettoyage Registre Ok
*** Certificats ***
Certificat Egroup supprimé !
*** Fichiers suspects non supprimés par Navilog1 ***
!! Fichiers légitimes possibles, à contrôler avant suppression !!
F:\DOCUME~1\ADMINI~1\LOCALS~1\APPLIC~1\rrsxpfjcm.exe trouvé !
*** Nettoyage terminé le 25/10/2007 à 21:07:22,28 ***
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:17:19, on 25/10/2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Boot mode: Normal
Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
F:\Program Files\Alwil Software\Avast4\ashServ.exe
F:\WINDOWS\Explorer.EXE
F:\Program Files\Microsoft Hardware\Mouse\point32.exe
F:\WINDOWS\SOUNDMAN.EXE
F:\Program Files\QuickTime\qttask.exe
F:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
F:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
F:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
F:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
F:\WINDOWS\System32\ctfmon.exe
F:\Program Files\Messenger\msmsgs.exe
F:\Program Files\Philips Intelligent Agent\Philips Intelligent Agent.exe
F:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
F:\Program Files\Skype\Phone\Skype.exe
F:\Program Files\MSI\3D!Turbo Experience\3D!Turbo.exe
F:\WINDOWS\system32\spoolsv.exe
F:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
F:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
F:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
F:\WINDOWS\System32\drivers\CDAC11BA.EXE
F:\WINDOWS\System32\nvsvc32.exe
F:\WINDOWS\System32\svchost.exe
F:\Program Files\Skype\Plugin Manager\skypePM.exe
F:\WINDOWS\System32\wuauclt.exe
F:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
F:\Program Files\Alwil Software\Avast4\ashWebSv.exe
F:\WINDOWS\NOTEPAD.EXE
F:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - F:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - F:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - F:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - F:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {CFE15135-C591-4000-A55E-A50E5F9F82BC} - (no file)
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - F:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {23ED2206-856D-461A-BBCF-1C2466AC5AE3} - (no file)
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - F:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NVCLOCK] Rundll32 nvclock.dll,fnNvclock
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Microfost Windows update] kucwpwn.exe
O4 - HKLM\..\Run: [NeroCheck] F:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MSNS PLUS XP2] inetinfos.exe
O4 - HKLM\..\Run: [NeroFilterCheck] F:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "F:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avast!] F:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [avgnt] "F:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "F:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "F:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ZoneAlarm Client] "F:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\RunServices: [Microfost Windows update] kucwpwn.exe
O4 - HKLM\..\RunServices: [MSNS PLUS XP2] inetinfos.exe
O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "F:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Microfost Windows update] kucwpwn.exe
O4 - HKCU\..\Run: [Philips Intelligent Agent] "F:\Program Files\Philips Intelligent Agent\Philips Intelligent Agent.exe" /SILENT
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "F:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Skype] "F:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKLM\..\Policies\Explorer\Run: [start] F:\Program Files\Video Add-on\isfmntr.exe
O4 - HKLM\..\Policies\Explorer\Run: [some] F:\Program Files\Video Add-on\icthis.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: 3D!Turbo Experience.lnk = F:\Program Files\MSI\3D!Turbo Experience\3D!Turbo.exe
O4 - Global Startup: Accélérateur de démarrage AutoCAD.lnk = F:\Program Files\Fichiers communs\Autodesk Shared\acstart16.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = F:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://F:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Ajouter à la Liste à Imprimer - res://F:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://F:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://F:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://F:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - F:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - F:\PROGRA~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/256ca604f0dbbdf18220/netzip/RdxIE601_fr.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - F:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: benzaldoxime - {a6d478c6-7961-4fe9-be4b-e621dd640112} - (no file)
O23 - Service: Adobe LM Service - Unknown owner - F:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - F:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - F:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - F:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - F:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: avast! Antivirus - ALWIL Software - F:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - F:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - F:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - F:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - F:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: NBService - Nero AG - F:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - F:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Remote Procedure Call (RPC) Monitoring (Rpcmon) - Unknown owner - F:\WINDOWS\System32\Rpcmon.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - F:\WINDOWS\system32\ZoneLabs\vsmon.exe
C'est fait mais Navilog1 n'a pas opéré d'arrêt/redémarage !?...Et il est allé vite fait jusqu'à la fenêtre texte tout seul. Il semble qu'il ait fait les corrections.
j'ai donc activé HijackThis en suivant mais j'aurais peut-être du faire un redémarage moi-même ?
Clean Navipromo version 3.3.2 commencé le 25/10/2007 à 21:01:37,95
Outil exécuté depuis F:\Program Files\navilog1
Mise à jour le 22.10.2007 à 19h00 par IL-MAFIOSO
Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2800.1106
Mode suppression automatique
*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)
*** Suppression avec sauvegardes résultats GenericNaviSearch ***
* Suppression dans F:\WINDOWS\System32 *
F:\WINDOWS\prefetch\rrsxpfjcm*.pf trouvé !
Copie F:\WINDOWS\prefetch\rrsxpfjcm*.pf réalisé avec succès !
F:\WINDOWS\prefetch\rrsxpfjcm*.pf supprimé !
* Suppression dans F:\DOCUME~1\ADMINI~1\LOCALS~1\APPLIC~1 *
rrsxpfjcm.exe trouvé !
Copie rrsxpfjcm.exe réalisé avec succès !
rrsxpfjcm.exe !!ERREUR SUPPRESSION!!
rrsxpfjcm.dat trouvé !
Copie rrsxpfjcm.dat réalisé avec succès !
rrsxpfjcm.dat supprimé !
rrsxpfjcm_nav.dat trouvé !
Copie rrsxpfjcm_nav.dat réalisé avec succès !
rrsxpfjcm_nav.dat supprimé !
rrsxpfjcm_navps.dat trouvé !
Copie rrsxpfjcm_navps.dat réalisé avec succès !
rrsxpfjcm_navps.dat supprimé !
*** Suppression dossiers dans F:\WINDOWS ***
*** Suppression dossiers dans F:\Program Files ***
F:\Program Files\WebMediaPlayer ...suppression...
F:\Program Files\WebMediaPlayer supprimé !
*** Suppression dossiers dans F:\Documents and Settings\All Users\Application Data ***
*** Suppression dossiers dans F:\Documents and Settings\Administrateur\Application Data ***
*** Suppression dossiers dans F:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***
...\WebMediaPlayer ...suppression...
...\WebMediaPlayer supprimé !
*** Suppression fichiers ***
F:\DOCUME~1\ALLUSE~1\BUREAU\WebMediaPlayer.lnk supprimé !
F:\WINDOWS\pack.epk supprimé !
*** Suppression fichiers temporaires ***
Nettoyage contenu F:\WINDOWS\Temp effectué !
Nettoyage contenu F:\Documents and Settings\Administrateur\Local Settings\Temp effectué !
*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)
1)Recherche fichiers connus:
2)Recherche, création sauvegardes et suppression Heuristique :
*** Sauvegarde du Registre vers dossier Backupnavi ***
sauvegarde du Registre réalisé avec succès !
*** Nettoyage Registre ***
Nettoyage Registre Ok
*** Certificats ***
Certificat Egroup supprimé !
*** Fichiers suspects non supprimés par Navilog1 ***
!! Fichiers légitimes possibles, à contrôler avant suppression !!
F:\DOCUME~1\ADMINI~1\LOCALS~1\APPLIC~1\rrsxpfjcm.exe trouvé !
*** Nettoyage terminé le 25/10/2007 à 21:07:22,28 ***
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:17:19, on 25/10/2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Boot mode: Normal
Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
F:\Program Files\Alwil Software\Avast4\ashServ.exe
F:\WINDOWS\Explorer.EXE
F:\Program Files\Microsoft Hardware\Mouse\point32.exe
F:\WINDOWS\SOUNDMAN.EXE
F:\Program Files\QuickTime\qttask.exe
F:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
F:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
F:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
F:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
F:\WINDOWS\System32\ctfmon.exe
F:\Program Files\Messenger\msmsgs.exe
F:\Program Files\Philips Intelligent Agent\Philips Intelligent Agent.exe
F:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
F:\Program Files\Skype\Phone\Skype.exe
F:\Program Files\MSI\3D!Turbo Experience\3D!Turbo.exe
F:\WINDOWS\system32\spoolsv.exe
F:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
F:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
F:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
F:\WINDOWS\System32\drivers\CDAC11BA.EXE
F:\WINDOWS\System32\nvsvc32.exe
F:\WINDOWS\System32\svchost.exe
F:\Program Files\Skype\Plugin Manager\skypePM.exe
F:\WINDOWS\System32\wuauclt.exe
F:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
F:\Program Files\Alwil Software\Avast4\ashWebSv.exe
F:\WINDOWS\NOTEPAD.EXE
F:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - F:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - F:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - F:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - F:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {CFE15135-C591-4000-A55E-A50E5F9F82BC} - (no file)
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - F:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {23ED2206-856D-461A-BBCF-1C2466AC5AE3} - (no file)
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - F:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NVCLOCK] Rundll32 nvclock.dll,fnNvclock
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Microfost Windows update] kucwpwn.exe
O4 - HKLM\..\Run: [NeroCheck] F:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MSNS PLUS XP2] inetinfos.exe
O4 - HKLM\..\Run: [NeroFilterCheck] F:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "F:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avast!] F:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [avgnt] "F:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "F:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "F:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ZoneAlarm Client] "F:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\RunServices: [Microfost Windows update] kucwpwn.exe
O4 - HKLM\..\RunServices: [MSNS PLUS XP2] inetinfos.exe
O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "F:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Microfost Windows update] kucwpwn.exe
O4 - HKCU\..\Run: [Philips Intelligent Agent] "F:\Program Files\Philips Intelligent Agent\Philips Intelligent Agent.exe" /SILENT
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "F:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Skype] "F:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKLM\..\Policies\Explorer\Run: [start] F:\Program Files\Video Add-on\isfmntr.exe
O4 - HKLM\..\Policies\Explorer\Run: [some] F:\Program Files\Video Add-on\icthis.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: 3D!Turbo Experience.lnk = F:\Program Files\MSI\3D!Turbo Experience\3D!Turbo.exe
O4 - Global Startup: Accélérateur de démarrage AutoCAD.lnk = F:\Program Files\Fichiers communs\Autodesk Shared\acstart16.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = F:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://F:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Ajouter à la Liste à Imprimer - res://F:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://F:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://F:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://F:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - F:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - F:\PROGRA~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/256ca604f0dbbdf18220/netzip/RdxIE601_fr.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - F:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: benzaldoxime - {a6d478c6-7961-4fe9-be4b-e621dd640112} - (no file)
O23 - Service: Adobe LM Service - Unknown owner - F:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - F:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - F:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - F:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - F:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: avast! Antivirus - ALWIL Software - F:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - F:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - F:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - F:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - F:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: NBService - Nero AG - F:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - F:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Remote Procedure Call (RPC) Monitoring (Rpcmon) - Unknown owner - F:\WINDOWS\System32\Rpcmon.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - F:\WINDOWS\system32\ZoneLabs\vsmon.exe
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
bonsoir
AVAST Ou ANTIVIR il faut choisir. SUpprime l'un des 2
dans l'immédiat d'ailleurs, j'aimerais que tu te contentes de désactiver l'un des 2
on aura surement besoin d'antivir un peu plus tard
pas mal infecté.
* Télécharge SmitfraudFix de S!Ri, balltrap34 et moe31
http://siri.urz.free.fr/Fix/SmitfraudFix.exe
* Installe le à la racine de C
* double clic sur l'exe pour le décompresser et lancer le fix.
Utilisation ----- option 1 - Recherche :
* Double clique sur smitfraudfix.cmd
* Sélectionne 1 pour créer un rapport des fichiers responsables de l'infection.
* Poste le rapport ici
process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
----
AVAST Ou ANTIVIR il faut choisir. SUpprime l'un des 2
dans l'immédiat d'ailleurs, j'aimerais que tu te contentes de désactiver l'un des 2
on aura surement besoin d'antivir un peu plus tard
pas mal infecté.
* Télécharge SmitfraudFix de S!Ri, balltrap34 et moe31
http://siri.urz.free.fr/Fix/SmitfraudFix.exe
* Installe le à la racine de C
* double clic sur l'exe pour le décompresser et lancer le fix.
Utilisation ----- option 1 - Recherche :
* Double clique sur smitfraudfix.cmd
* Sélectionne 1 pour créer un rapport des fichiers responsables de l'infection.
* Poste le rapport ici
process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
----
re bonsoir,
Je ne peux pas lancer smitfraudix: Je reçois le message suivant du Sous-Système MS-DOS 16bits
"Le processeur NTVDM a rencontré une instruction non aurorisée.
CS:0f7e IP:0109 OP: 63 74 20 68 61
Choisissez fermer pour mettre fin à l'application"
Choix: Fermer ou Ignorer (Ignorer ne donne rien non plus)
Désolé
Je ne peux pas lancer smitfraudix: Je reçois le message suivant du Sous-Système MS-DOS 16bits
"Le processeur NTVDM a rencontré une instruction non aurorisée.
CS:0f7e IP:0109 OP: 63 74 20 68 61
Choisissez fermer pour mettre fin à l'application"
Choix: Fermer ou Ignorer (Ignorer ne donne rien non plus)
Désolé
re
ok, on va faire autrement pour le moment
passe en mode sans échec, fait un scan avec antivir, poste le rapport ici ensuite
(pas certaine de passer demain dans la journée. Serais là le soir)
ok, on va faire autrement pour le moment
passe en mode sans échec, fait un scan avec antivir, poste le rapport ici ensuite
(pas certaine de passer demain dans la journée. Serais là le soir)
Bonsoir,
Oui oui je suis toujours là, mais j'ai quelques chats à fouetter.
rrsxpfjcm.exe a encore été signalé tout à l'heure par Zoe Alarm pendant que je gérait mon courrier. Je croyais que Navilog1 l'avait attrapé ?!
Voilà le scan Antivir
AntiVir PersonalEdition Classic
Report file date: jeudi 25 octobre 2007 23:42
Scanning for 903047 virus strains and unwanted programs.
Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows XP
Windows version: (plain) [5.1.2600]
Username: Administrateur
Computer name: RORO2-ON1DOF6Z5
Version information:
BUILD.DAT : 270 15603 Bytes 19/09/2007 13:32:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 23/08/2007 12:16:29
AVSCAN.DLL : 7.0.6.0 49192 Bytes 16/08/2007 11:23:51
LUKE.DLL : 7.0.5.3 147496 Bytes 14/08/2007 14:32:47
LUKERES.DLL : 7.0.6.1 10280 Bytes 21/08/2007 11:35:20
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 21:16:25
ANTIVIR1.VDF : 7.0.0.0 1640448 Bytes 13/09/2007 21:14:06
ANTIVIR2.VDF : 7.0.0.91 687104 Bytes 16/10/2007 20:43:13
ANTIVIR3.VDF : 7.0.0.135 265216 Bytes 25/10/2007 21:03:55
AVEWIN32.DLL : 7.6.0.27 3019264 Bytes 19/10/2007 21:03:30
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 09:36:26
AVPREF.DLL : 7.0.2.2 25640 Bytes 18/07/2007 06:39:17
AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 12:16:24
AVPACK32.DLL : 7.3.0.15 360488 Bytes 03/08/2007 07:46:00
AVREG.DLL : 7.0.1.6 30760 Bytes 18/07/2007 06:17:06
AVARKT.DLL : 1.0.0.20 278568 Bytes 28/08/2007 11:26:33
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18/07/2007 06:10:18
NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 10:09:42
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07/08/2007 11:38:13
RCTEXT.DLL : 7.0.62.0 86056 Bytes 21/08/2007 11:50:37
SQLITE3.DLL : 3.3.17.1 339968 Bytes 23/07/2007 08:37:21
Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: f:\program files\avira\antivir personaledition classic\sysscan.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: off
Scan boot sector.................: on
Boot sectors.....................: F:,
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium
Start of the scan: jeudi 25 octobre 2007 23:42
The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'guard.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
12 processes with 12 modules were scanned
Start scanning boot sectors:
Boot sector 'C:\'
[NOTE] No virus was found!
Boot sector 'F:\'
[NOTE] No virus was found!
Starting to scan the registry.
The registry was scanned ( '40' files ).
Starting the file scan:
Begin scan in 'C:\' <ANNEXE>
Begin scan in 'F:\' <MAITRE>
F:\pagefile.sys
[WARNING] The file could not be opened!
End of the scan: vendredi 26 octobre 2007 02:00
Used time: 2:18:06 min
The scan has been done completely.
8255 Scanning directories
501890 Files were scanned
0 viruses and/or unwanted programs were found
0 Files were classified as suspicious:
0 files were deleted
0 files were repaired
0 files were moved to quarantine
0 files were renamed
1 Files cannot be scanned
501890 Files not concerned
4035 Archives were scanned
1 Warnings
0 Notes
Cordialement
A+
Oui oui je suis toujours là, mais j'ai quelques chats à fouetter.
rrsxpfjcm.exe a encore été signalé tout à l'heure par Zoe Alarm pendant que je gérait mon courrier. Je croyais que Navilog1 l'avait attrapé ?!
Voilà le scan Antivir
AntiVir PersonalEdition Classic
Report file date: jeudi 25 octobre 2007 23:42
Scanning for 903047 virus strains and unwanted programs.
Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows XP
Windows version: (plain) [5.1.2600]
Username: Administrateur
Computer name: RORO2-ON1DOF6Z5
Version information:
BUILD.DAT : 270 15603 Bytes 19/09/2007 13:32:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 23/08/2007 12:16:29
AVSCAN.DLL : 7.0.6.0 49192 Bytes 16/08/2007 11:23:51
LUKE.DLL : 7.0.5.3 147496 Bytes 14/08/2007 14:32:47
LUKERES.DLL : 7.0.6.1 10280 Bytes 21/08/2007 11:35:20
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 21:16:25
ANTIVIR1.VDF : 7.0.0.0 1640448 Bytes 13/09/2007 21:14:06
ANTIVIR2.VDF : 7.0.0.91 687104 Bytes 16/10/2007 20:43:13
ANTIVIR3.VDF : 7.0.0.135 265216 Bytes 25/10/2007 21:03:55
AVEWIN32.DLL : 7.6.0.27 3019264 Bytes 19/10/2007 21:03:30
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 09:36:26
AVPREF.DLL : 7.0.2.2 25640 Bytes 18/07/2007 06:39:17
AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 12:16:24
AVPACK32.DLL : 7.3.0.15 360488 Bytes 03/08/2007 07:46:00
AVREG.DLL : 7.0.1.6 30760 Bytes 18/07/2007 06:17:06
AVARKT.DLL : 1.0.0.20 278568 Bytes 28/08/2007 11:26:33
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18/07/2007 06:10:18
NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 10:09:42
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07/08/2007 11:38:13
RCTEXT.DLL : 7.0.62.0 86056 Bytes 21/08/2007 11:50:37
SQLITE3.DLL : 3.3.17.1 339968 Bytes 23/07/2007 08:37:21
Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: f:\program files\avira\antivir personaledition classic\sysscan.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: off
Scan boot sector.................: on
Boot sectors.....................: F:,
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium
Start of the scan: jeudi 25 octobre 2007 23:42
The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'guard.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
12 processes with 12 modules were scanned
Start scanning boot sectors:
Boot sector 'C:\'
[NOTE] No virus was found!
Boot sector 'F:\'
[NOTE] No virus was found!
Starting to scan the registry.
The registry was scanned ( '40' files ).
Starting the file scan:
Begin scan in 'C:\' <ANNEXE>
Begin scan in 'F:\' <MAITRE>
F:\pagefile.sys
[WARNING] The file could not be opened!
End of the scan: vendredi 26 octobre 2007 02:00
Used time: 2:18:06 min
The scan has been done completely.
8255 Scanning directories
501890 Files were scanned
0 viruses and/or unwanted programs were found
0 Files were classified as suspicious:
0 files were deleted
0 files were repaired
0 files were moved to quarantine
0 files were renamed
1 Files cannot be scanned
501890 Files not concerned
4035 Archives were scanned
1 Warnings
0 Notes
Cordialement
A+
bonsoir
non il était écrit :
il n'a pas été supprimé
le scan antivir tu l'as fait en mode sans échec ?
* lance hijackthis "do a system scan only" puis coche ces lignes :
O2 - BHO: (no name) - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)
O2 - BHO: (no name) - {CFE15135-C591-4000-A55E-A50E5F9F82BC} - (no file)
O3 - Toolbar: (no name) - {23ED2206-856D-461A-BBCF-1C2466AC5AE3} - (no file)
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Microfost Windows update] kucwpwn.exe
O4 - HKLM\..\Run: [NeroCheck] F:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MSNS PLUS XP2] inetinfos.exe
O4 - HKLM\..\Run: [NeroFilterCheck] F:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "F:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avast!] F:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [TkBellExe] "F:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\RunServices: [Microfost Windows update] kucwpwn.exe
O4 - HKLM\..\RunServices: [MSNS PLUS XP2] inetinfos.exe
O4 - HKCU\..\Run: [Microfost Windows update] kucwpwn.exe
O4 - HKLM\..\Policies\Explorer\Run: [start] F:\Program Files\Video Add-on\isfmntr.exe
O4 - HKLM\..\Policies\Explorer\Run: [some] F:\Program Files\Video Add-on\icthis.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = F:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/256ca604f0dbbdf18220/netzip/RdxIE601_fr.cab
O22 - SharedTaskScheduler: benzaldoxime - {a6d478c6-7961-4fe9-be4b-e621dd640112} - (no file)
* toutes applications fermées et HORS CONNEXION, clique sur fix checked
puis
Télécharge OTMoveIt (de Old_Timer) sur ton Bureau.
http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe
double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.
clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre Results.
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.
il te sera peut-être demander de redémarrer le pc pour achever la suppression.
si c'est le cas accepte par Yes.
* lance AVG AS pour un scan complet et poste le rapport généré ici ensuite
ré essaye de lancer smitfraud et poste le rapport
ainsi qu'un nouveau rapport hijackthis
non il était écrit :
!! Fichiers légitimes possibles, à contrôler avant suppression !! F:\DOCUME~1\ADMINI~1\LOCALS~1\APPLIC~1\rrsxpfjcm.exe trouvé !
il n'a pas été supprimé
le scan antivir tu l'as fait en mode sans échec ?
* lance hijackthis "do a system scan only" puis coche ces lignes :
O2 - BHO: (no name) - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)
O2 - BHO: (no name) - {CFE15135-C591-4000-A55E-A50E5F9F82BC} - (no file)
O3 - Toolbar: (no name) - {23ED2206-856D-461A-BBCF-1C2466AC5AE3} - (no file)
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Microfost Windows update] kucwpwn.exe
O4 - HKLM\..\Run: [NeroCheck] F:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MSNS PLUS XP2] inetinfos.exe
O4 - HKLM\..\Run: [NeroFilterCheck] F:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "F:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avast!] F:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [TkBellExe] "F:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\RunServices: [Microfost Windows update] kucwpwn.exe
O4 - HKLM\..\RunServices: [MSNS PLUS XP2] inetinfos.exe
O4 - HKCU\..\Run: [Microfost Windows update] kucwpwn.exe
O4 - HKLM\..\Policies\Explorer\Run: [start] F:\Program Files\Video Add-on\isfmntr.exe
O4 - HKLM\..\Policies\Explorer\Run: [some] F:\Program Files\Video Add-on\icthis.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = F:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/256ca604f0dbbdf18220/netzip/RdxIE601_fr.cab
O22 - SharedTaskScheduler: benzaldoxime - {a6d478c6-7961-4fe9-be4b-e621dd640112} - (no file)
* toutes applications fermées et HORS CONNEXION, clique sur fix checked
puis
Télécharge OTMoveIt (de Old_Timer) sur ton Bureau.
http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe
double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.
F:\Program Files\Video Add-on F:\windows\system32\kucwpwn.exe F:\windows\system32\inetinfos.exe
clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre Results.
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.
il te sera peut-être demander de redémarrer le pc pour achever la suppression.
si c'est le cas accepte par Yes.
* lance AVG AS pour un scan complet et poste le rapport généré ici ensuite
ré essaye de lancer smitfraud et poste le rapport
ainsi qu'un nouveau rapport hijackthis
Bonjour, voilà de la lecture de WE !
J'avais bien fait le scan d'Antivir en mode sans échec.
Smitfraud ne veux toujours pas marcher.
Quand tu dis toutes applications fermées, comment je peux savoir s'il n'y a pas quelque part un programme en train de pédaler? Pour Internet, c'est un réseau WIFI local, après arrêt des programmes connus, je coupe le 220v du Modem Antenne...
Bon voilà, tu me diras.
Merci d'avance.
Les 3 rapport obtenus:
OTMovelt:
F:\Program Files\Video Add-on moved successfully.
File/Folder F:\windows\system32\kucwpwn.exe not found.
File/Folder F:\windows\system32\inetinfos.exe not found.
Created on 10/26/2007 23:13:15 (N'a pas demandé à redémarer le PC)
---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------
+ Créé à: 08:12:02 27/10/2007
+ Résultat de l'analyse:
:mozilla.51:F:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\iw1tqv1k.default\cookies.txt -> TrackingCookie.Estat : Nettoyé.
F:\Documents and Settings\Administrateur\Cookies\administrateur@estat[1].txt -> TrackingCookie.Estat : Nettoyé.
:mozilla.17:F:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\iw1tqv1k.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyé.
:mozilla.18:F:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\iw1tqv1k.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyé.
:mozilla.19:F:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\iw1tqv1k.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyé.
:mozilla.20:F:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\iw1tqv1k.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyé.
:mozilla.21:F:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\iw1tqv1k.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyé.
:mozilla.22:F:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\iw1tqv1k.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyé.
:mozilla.41:F:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\iw1tqv1k.default\cookies.txt -> TrackingCookie.Skype : Nettoyé.
:mozilla.42:F:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\iw1tqv1k.default\cookies.txt -> TrackingCookie.Skype : Nettoyé.
:mozilla.43:F:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\iw1tqv1k.default\cookies.txt -> TrackingCookie.Skype : Nettoyé.
:mozilla.44:F:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\iw1tqv1k.default\cookies.txt -> TrackingCookie.Skype : Nettoyé.
:mozilla.45:F:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\iw1tqv1k.default\cookies.txt -> TrackingCookie.Skype : Nettoyé.
:mozilla.46:F:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\iw1tqv1k.default\cookies.txt -> TrackingCookie.Skype : Nettoyé.
:mozilla.23:F:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\iw1tqv1k.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.
:mozilla.24:F:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\iw1tqv1k.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.
:mozilla.25:F:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\iw1tqv1k.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.
:mozilla.26:F:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\iw1tqv1k.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.
Fin du rapport
___________________
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:20:11, on 27/10/2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Boot mode: Normal
Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\Explorer.EXE
F:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
F:\Program Files\Alwil Software\Avast4\ashServ.exe
F:\WINDOWS\system32\spoolsv.exe
F:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
F:\Program Files\Microsoft Hardware\Mouse\point32.exe
F:\WINDOWS\SOUNDMAN.EXE
F:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
F:\WINDOWS\System32\ctfmon.exe
F:\Program Files\Messenger\msmsgs.exe
F:\Program Files\Philips Intelligent Agent\Philips Intelligent Agent.exe
F:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
F:\Program Files\MSI\3D!Turbo Experience\3D!Turbo.exe
F:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
F:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
F:\WINDOWS\System32\drivers\CDAC11BA.EXE
F:\WINDOWS\System32\nvsvc32.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\System32\wuauclt.exe
F:\PROGRA~1\Pinnacle\SHARED~1\Filter\server.exe
F:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
F:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - F:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - F:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - F:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - F:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - F:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NVCLOCK] Rundll32 nvclock.dll,fnNvclock
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "F:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "F:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "F:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Microfost Windows update] kucwpwn.exe
O4 - HKCU\..\Run: [Philips Intelligent Agent] "F:\Program Files\Philips Intelligent Agent\Philips Intelligent Agent.exe" /SILENT
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "F:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Skype] "F:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] F:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: 3D!Turbo Experience.lnk = F:\Program Files\MSI\3D!Turbo Experience\3D!Turbo.exe
O4 - Global Startup: Accélérateur de démarrage AutoCAD.lnk = F:\Program Files\Fichiers communs\Autodesk Shared\acstart16.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://F:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Ajouter à la Liste à Imprimer - res://F:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://F:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://F:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://F:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} -
O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} -
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} -
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - F:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Unknown owner - F:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - F:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - F:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - F:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - F:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: avast! Antivirus - ALWIL Software - F:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - F:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - F:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - F:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - F:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: NBService - Nero AG - F:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - F:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Remote Procedure Call (RPC) Monitoring (Rpcmon) - Unknown owner - F:\WINDOWS\System32\Rpcmon.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - F:\WINDOWS\system32\ZoneLabs\vsmon.exe
J'avais bien fait le scan d'Antivir en mode sans échec.
Smitfraud ne veux toujours pas marcher.
Quand tu dis toutes applications fermées, comment je peux savoir s'il n'y a pas quelque part un programme en train de pédaler? Pour Internet, c'est un réseau WIFI local, après arrêt des programmes connus, je coupe le 220v du Modem Antenne...
Bon voilà, tu me diras.
Merci d'avance.
Les 3 rapport obtenus:
OTMovelt:
F:\Program Files\Video Add-on moved successfully.
File/Folder F:\windows\system32\kucwpwn.exe not found.
File/Folder F:\windows\system32\inetinfos.exe not found.
Created on 10/26/2007 23:13:15 (N'a pas demandé à redémarer le PC)
---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------
+ Créé à: 08:12:02 27/10/2007
+ Résultat de l'analyse:
:mozilla.51:F:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\iw1tqv1k.default\cookies.txt -> TrackingCookie.Estat : Nettoyé.
F:\Documents and Settings\Administrateur\Cookies\administrateur@estat[1].txt -> TrackingCookie.Estat : Nettoyé.
:mozilla.17:F:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\iw1tqv1k.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyé.
:mozilla.18:F:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\iw1tqv1k.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyé.
:mozilla.19:F:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\iw1tqv1k.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyé.
:mozilla.20:F:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\iw1tqv1k.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyé.
:mozilla.21:F:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\iw1tqv1k.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyé.
:mozilla.22:F:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\iw1tqv1k.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyé.
:mozilla.41:F:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\iw1tqv1k.default\cookies.txt -> TrackingCookie.Skype : Nettoyé.
:mozilla.42:F:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\iw1tqv1k.default\cookies.txt -> TrackingCookie.Skype : Nettoyé.
:mozilla.43:F:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\iw1tqv1k.default\cookies.txt -> TrackingCookie.Skype : Nettoyé.
:mozilla.44:F:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\iw1tqv1k.default\cookies.txt -> TrackingCookie.Skype : Nettoyé.
:mozilla.45:F:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\iw1tqv1k.default\cookies.txt -> TrackingCookie.Skype : Nettoyé.
:mozilla.46:F:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\iw1tqv1k.default\cookies.txt -> TrackingCookie.Skype : Nettoyé.
:mozilla.23:F:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\iw1tqv1k.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.
:mozilla.24:F:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\iw1tqv1k.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.
:mozilla.25:F:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\iw1tqv1k.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.
:mozilla.26:F:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\iw1tqv1k.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.
Fin du rapport
___________________
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:20:11, on 27/10/2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Boot mode: Normal
Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\Explorer.EXE
F:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
F:\Program Files\Alwil Software\Avast4\ashServ.exe
F:\WINDOWS\system32\spoolsv.exe
F:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
F:\Program Files\Microsoft Hardware\Mouse\point32.exe
F:\WINDOWS\SOUNDMAN.EXE
F:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
F:\WINDOWS\System32\ctfmon.exe
F:\Program Files\Messenger\msmsgs.exe
F:\Program Files\Philips Intelligent Agent\Philips Intelligent Agent.exe
F:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
F:\Program Files\MSI\3D!Turbo Experience\3D!Turbo.exe
F:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
F:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
F:\WINDOWS\System32\drivers\CDAC11BA.EXE
F:\WINDOWS\System32\nvsvc32.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\System32\wuauclt.exe
F:\PROGRA~1\Pinnacle\SHARED~1\Filter\server.exe
F:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
F:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - F:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - F:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - F:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - F:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - F:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NVCLOCK] Rundll32 nvclock.dll,fnNvclock
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "F:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "F:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "F:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Microfost Windows update] kucwpwn.exe
O4 - HKCU\..\Run: [Philips Intelligent Agent] "F:\Program Files\Philips Intelligent Agent\Philips Intelligent Agent.exe" /SILENT
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "F:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Skype] "F:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] F:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: 3D!Turbo Experience.lnk = F:\Program Files\MSI\3D!Turbo Experience\3D!Turbo.exe
O4 - Global Startup: Accélérateur de démarrage AutoCAD.lnk = F:\Program Files\Fichiers communs\Autodesk Shared\acstart16.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://F:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Ajouter à la Liste à Imprimer - res://F:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://F:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://F:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://F:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} -
O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} -
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} -
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - F:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Unknown owner - F:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - F:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - F:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - F:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - F:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: avast! Antivirus - ALWIL Software - F:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - F:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - F:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - F:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - F:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: NBService - Nero AG - F:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - F:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Remote Procedure Call (RPC) Monitoring (Rpcmon) - Unknown owner - F:\WINDOWS\System32\Rpcmon.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - F:\WINDOWS\system32\ZoneLabs\vsmon.exe
bonjour,
je parle d'applications ce sont celles que toi tu as ouvertes. Pour le reste on s'en moque.
pour le "HORS CONNEXION" laisse tomber
ensuite peux tu
relancer navilog1 et poster le rapport stp
faire un scan en ligne ? possible ?
* Fait un scan antivirus en ligne avec Internet Explorer
https://www.bitdefender.fr/
et copie colle le résultat ici
* En bas, à gauche de la fenêtre, clique sur BitDefender SCAN ONLINE
* Dans la nouvelle fenêtre, clique sur I agree
* La fenêtre change encore, clique sur Click here to scan
* Les signatures se chargent, etc.
tuto en image
http://pageperso.aol.fr/rginformatique/mapage/defender.htm
Il n'y a jamais de raccourci vers les endroits qui en valent la peine - Beverley Sills
* Si je ne réponds pas de suite, je ne vous ai pas oublié. Quand je commence un post, je termine :)
Quand tu dis toutes applications fermées, comment je peux savoir s'il n'y a pas quelque part un programme en train de pédaler? Pour Internet, c'est un réseau WIFI local, après arrêt des programmes connus, je coupe le 220v du Modem Antenne... Bon voilà, tu me diras. --
je parle d'applications ce sont celles que toi tu as ouvertes. Pour le reste on s'en moque.
pour le "HORS CONNEXION" laisse tomber
ensuite peux tu
relancer navilog1 et poster le rapport stp
faire un scan en ligne ? possible ?
* Fait un scan antivirus en ligne avec Internet Explorer
https://www.bitdefender.fr/
et copie colle le résultat ici
* En bas, à gauche de la fenêtre, clique sur BitDefender SCAN ONLINE
* Dans la nouvelle fenêtre, clique sur I agree
* La fenêtre change encore, clique sur Click here to scan
* Les signatures se chargent, etc.
tuto en image
http://pageperso.aol.fr/rginformatique/mapage/defender.htm
Il n'y a jamais de raccourci vers les endroits qui en valent la peine - Beverley Sills
* Si je ne réponds pas de suite, je ne vous ai pas oublié. Quand je commence un post, je termine :)
Bonjour, merci pour tes derniers conseils.
Search Navipromo version 3.3.2 commencé le 27/10/2007 à 22:10:59,59
Outil exécuté depuis F:\Program Files\navilog1
Mise à jour le 22.10.2007 à 19h00 par IL-MAFIOSO
Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2800.1106
*** Recherche Programmes installés ***
*** Recherche dossiers dans F:\WINDOWS ***
*** Recherche dossiers dans F:\Program Files ***
*** Recherche dossiers dans F:\Documents and Settings\All Users\Application Data ***
*** Recherche dossiers dans F:\Documents and Settings\Administrateur\Application Data ***
*** Recherche dossiers dans F:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***
*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net
Aucun fichier trouvé dans :
- F:\WINDOWS\system32
- F:\DOCUME~1\ADMINI~1\LOCALS~1\APPLIC~1
*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!
* Recherche dans F:\WINDOWS\system32 *
* Recherche dans F:\DOCUME~1\ADMINI~1\LOCALS~1\APPLIC~1 *
Fichiers trouvés :
qtwkpbfqs.exe trouvé !
*** Recherche fichiers ***
*** Recherche clés spécifiques dans le Registre ***
HKEY_CURRENT_USER\Software\Lanconfig trouvé !
*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)
1)Recherche fichiers connus:
2)Recherche Heuristique :
F:\DOCUME~1\ADMINI~1\LOCALS~1\APPLIC~1\qtwkpbfqs.dat trouvé !
3)Recherche Certificats :
Certificat Egroup trouvé !
*** Analyse terminée le 27/10/2007 à 22:11:51,46 ***
__________________________________________
__________________________________________
J'ai un peu souffert avec Bitdéfender mais bon (utiliser Internet explorer et pas Mozilla, ne pas oublier d'arrêter ZA qui bloque les échange de fichiers et Antivir car ils se mordent la queue).
Et la version texte du rapport n'est pas terrible. Si j'ai bien compris, il a trouvé et supprimé les fichiers en quarantaine, sauf rrsxpfjcm.exe dans le Backup Navilog...
BitDefender Online Scanner - Rapport virus en temps réel
Généré à: Sun, Oct 28, 2007 - 09:01:06
________________________________________
Info d'analyse
Fichiers scannés 377106
Infectés Fichiers 49
Virus Détectés
Trojan.Agent.AFNP 26
Trojan.Downloader.Zlob.AATQ 3
Trojan.TCPParams.C 1
Adware.Navipromo.BYT 3
Trojan.Downloader.Zlob.AATX 2
Trojan.Downloader.Zlob.AAUJ 7
Trojan.Reg.Windupdate.A 1
Trojan.Zlob.BVS 1
Trojan.Zlob.BVT 1
Win32.Msblast.A.damaged 4
Rapport Bitdefender texte!
<HTML>
<HEAD>
<TITLE>BitDefender Online Scanner - Rapport d'analyse</TITLE>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1">
</HEAD>
<BODY BGCOLOR=#FFFFFF leftmargin="10" marginwidth="0" topmargin="20" marginheight="0" >
<table align="center" border="0" cellpadding="0" cellspacing="0" width="90%">
<tr>
<td width="458">
<p><font face="Arial" color=red><span style="font-size:14pt;"><b>BitDefender Online Scanner</b></span></font></p>
</td>
<td width="40%">
<p> </p>
</td>
<td width="10%">
<p> </p>
</td>
</tr>
<tr>
<td colspan="3" width="912">
<p><font face="Arial"><span style="font-size:11pt;"><B>Rapport d'analyse généré à: Sun, Oct 28, 2007 - 08:57:31</b></span></font></p>
</td>
</tr>
<tr>
<td width="458">
<p><font face="Arial"><span style="font-size:11pt;"><B> </b></span></font></p>
</td>
<td width="40%">
<p> </p>
</td>
<td width="10%">
<p> </p>
</td>
</tr>
<tr>
<td width="458">
<p><font face="Arial"><span style="font-size:11pt;"><B>Voie d'analyse: </b></span><span style="font-size:10pt;">A:\;C:\;D:\;E:\;F:\;</span></font></p>
</td>
<td width="40%">
<p> </p>
</td>
<td width="10%">
<p> </p>
</td>
</tr>
<tr>
<td width="458">
<p><font face="Arial"><span style="font-size:11pt;"><B> </b></span></font></p>
</td>
<td width="40%">
<p> </p>
</td>
<td width="10%">
<p> </p>
</td>
</tr>
<tr>
<td width="458">
<table border="1" cellspacing="0" bordercolordark="white" bordercolorlight="black" width="100%">
<tr>
<td width="451" colspan="2" bgcolor="#CCCCCC">
<p><font face="Arial" size="2"><B>Statistiques</b></font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Temps</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">11:08:32</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Fichiers</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">367513</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Directoires</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">9440</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Secteurs de boot</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">4</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Archives</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">3680</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Paquets programmes</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">23470</font></p>
</td>
</tr>
</table>
</td>
<td width="40%">
<p> </p>
</td>
<td width="10%">
<p> </p>
</td>
</tr>
<tr>
<td width="458">
<table border="1" cellspacing="0" bordercolordark="white" bordercolorlight="black" width="100%">
<tr>
<td width="451" colspan="2" bgcolor="#CCCCCC">
<p><font face="Arial" size="2"><B>Résultats</b></font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Virus identifiés</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">10</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Fichiers infectés</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">49</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Fichiers suspects</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">0</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Avertissements</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">0</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Désinfectés</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">0</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Fichiers effacés</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">49</font></p>
</td>
</tr>
</table>
</td>
<td width="40%">
<p> </p>
</td>
<td width="10%">
<p> </p>
</td>
</tr>
<tr>
<td width="458">
<table border="1" cellspacing="0" bordercolordark="white" bordercolorlight="black" width="100%">
<tr>
<td width="451" colspan="2" bgcolor="#CCCCCC">
<p><font face="Arial" size="2"><B>Info sur les moteurs</b></font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Définition virus</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">858442</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Version des moteurs</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">AVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Analyse des plugins</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">14</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Archive des plugins</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">38</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Unpack des plugins</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">7</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">E-mail plugins</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">6</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Système plugins</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">1</font></p>
</td>
</tr>
</table>
</td>
<td width="40%">
<p> </p>
</td>
<td width="10%">
<p> </p>
</td>
</tr>
<tr>
<td width="458">
<table border="1" cellspacing="0" bordercolordark="white" bordercolorlight="black" width="100%">
<tr>
<td width="451" colspan="2" bgcolor="#CCCCCC">
<p><font face="Arial" size="2"><B>Paramètres d'analyse</b></font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Première action</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">Désinfecté</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Seconde Action</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">Supprimé</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Heuristique</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">Oui</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Acceptez les avertissements</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">Oui</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Extensions analysées</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">*;</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Excludez les extensions</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2"> </font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Analyse d'emails</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">Oui</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Analyse des Archives</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">Oui</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Analyser paquets programmes</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">Oui</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Analyse des fichiers</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">Oui</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Analyse de boot</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">Oui</font></p>
</td>
</tr>
</table>
</td>
<td width="40%">
<p> </p>
</td>
<td width="10%">
<p> </p>
</td>
</tr>
<tr>
<td colspan=2>
<table border="1" cellspacing="0" bordercolordark="white" bordercolorlight="black" width="100%">
<tr>
<td width="252" bgcolor="#CCCCCC">
<p><font face="Arial" size="2"><B>Fichier analysé</b></font></p>
</td>
<td width="195" bgcolor="#CCCCCC" align="right">
<p align="left"><b><font size="2" face="Arial"> Statut</font></b></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">C:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP37\A0010329.reg</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Infecté par: Trojan.Reg.Windupdate.A</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">C:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP37\A0010329.reg</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Echec de la désinfection</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">C:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP37\A0010329.reg</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Supprimé</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\INFECTED\471a73ff.qua</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Infecté par: Win32.Msblast.A.damaged</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\INFECTED\471a73ff.qua</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Supprimé</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\INFECTED\472db427.qua</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Infecté par: Win32.Msblast.A.damaged</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\INFECTED\472db427.qua</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Supprimé</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\INFECTED\472eb411.qua</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Infecté par: Win32.Msblast.A.damaged</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\INFECTED\472eb411.qua</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Supprimé</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\INFECTED\472fb431.qua</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Infecté par: Win32.Msblast.A.damaged</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\INFECTED\472fb431.qua</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Supprimé</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\INFECTED\475cb153.qua</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Infecté par: Trojan.TCPParams.C</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\INFECTED\475cb153.qua</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Echec de la désinfection</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\INFECTED\475cb153.qua</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Supprimé</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\Program Files\Navilog1\Backupnavi\rrsxpfjcm.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Détecté avec: Adware.Navipromo.BYT</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\Program Files\Navilog1\Backupnavi\rrsxpfjcm.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Echec de la désinfection</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\Program Files\Navilog1\Backupnavi\rrsxpfjcm.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Supprimé</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP317\A0075350.dll</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Infecté par: Trojan.Agent.AFNP</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP317\A0075350.dll</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Echec de la désinfection</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP317\A0075350.dll</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Supprimé</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP317\A0075352.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Infecté par: Trojan.Agent.AFNP</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP317\A0075352.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Echec de la désinfection</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP317\A0075352.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Supprimé</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP317\A0075385.dll</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Infecté par: Trojan.Agent.AFNP</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP317\A0075385.dll</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Echec de la désinfection</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP317\A0075385.dll</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Supprimé</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP317\A0075388.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Infecté par: Trojan.Agent.AFNP</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP317\A0075388.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Echec de la désinfection</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP317\A0075388.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Supprimé</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP317\A0075397.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Infecté par: Trojan.Downloader.Zlob.AAUJ</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP317\A0075397.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Echec de la désinfection</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP317\A0075397.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Supprimé</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP317\A0075398.dll</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Infecté par: Trojan.Agent.AFNP</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP317\A0075398.dll</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Echec de la désinfection</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP317\A0075398.dll</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Supprimé</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP317\A0075399.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Infecté par: Trojan.Agent.AFNP</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP317\A0075399.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Echec de la désinfection</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP317\A0075399.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Supprimé</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076398.dll</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Infecté par: Trojan.Agent.AFNP</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076398.dll</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Echec de la désinfection</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076398.dll</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Supprimé</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076400.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Infecté par: Trojan.Agent.AFNP</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076400.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Echec de la désinfection</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076400.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Supprimé</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076433.dll</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Infecté par: Trojan.Agent.AFNP</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076433.dll</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Echec de la désinfection</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076433.dll</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Supprimé</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076435.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Infecté par: Trojan.Downloader.Zlob.AAUJ</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076435.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Echec de la désinfection</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076435.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Supprimé</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076436.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Infecté par: Trojan.Agent.AFNP</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076436.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Echec de la désinfection</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076436.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Supprimé</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076675.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Infecté par: Trojan.Downloader.Zlob.AAUJ</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076675.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Echec de la désinfection</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076675.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Supprimé</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076676.dll</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Infecté par: Trojan.Agent.AFNP</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076676.dll</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Echec de la désinfection</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076676.dll</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Supprimé</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076677.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Infecté par: Trojan.Agent.AFNP</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076677.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Echec de la désinfection</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076677.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Supprimé</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076759.dll</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Infecté par: Trojan.Agent.AFNP</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076759.dll</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Echec de la désinfection</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076759.dll</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Supprimé</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076760.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Infecté par: Trojan.Downloader.Zlob.AAUJ</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076760.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Echec de la désinfection</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076760.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Supprimé</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076762.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Infecté par: Trojan.Agent.AFNP</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076762.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Echec de la désinfection</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076762.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Supprimé</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076773.dll</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Infecté par: Trojan.Agent.AFNP</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076773.dll</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Echec de la désinfection</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076773.dll</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Supprimé</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076774.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Infecté par: Trojan.Downloader.Zlob.AAUJ</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076774.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Echec de la désinfection</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076774.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Supprimé</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076775.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Infecté par: Trojan.Agent.AFNP</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076775.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Echec de la désinfection</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076775.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Supprimé</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076790.dll</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Infecté par:
Search Navipromo version 3.3.2 commencé le 27/10/2007 à 22:10:59,59
Outil exécuté depuis F:\Program Files\navilog1
Mise à jour le 22.10.2007 à 19h00 par IL-MAFIOSO
Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2800.1106
*** Recherche Programmes installés ***
*** Recherche dossiers dans F:\WINDOWS ***
*** Recherche dossiers dans F:\Program Files ***
*** Recherche dossiers dans F:\Documents and Settings\All Users\Application Data ***
*** Recherche dossiers dans F:\Documents and Settings\Administrateur\Application Data ***
*** Recherche dossiers dans F:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***
*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net
Aucun fichier trouvé dans :
- F:\WINDOWS\system32
- F:\DOCUME~1\ADMINI~1\LOCALS~1\APPLIC~1
*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!
* Recherche dans F:\WINDOWS\system32 *
* Recherche dans F:\DOCUME~1\ADMINI~1\LOCALS~1\APPLIC~1 *
Fichiers trouvés :
qtwkpbfqs.exe trouvé !
*** Recherche fichiers ***
*** Recherche clés spécifiques dans le Registre ***
HKEY_CURRENT_USER\Software\Lanconfig trouvé !
*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)
1)Recherche fichiers connus:
2)Recherche Heuristique :
F:\DOCUME~1\ADMINI~1\LOCALS~1\APPLIC~1\qtwkpbfqs.dat trouvé !
3)Recherche Certificats :
Certificat Egroup trouvé !
*** Analyse terminée le 27/10/2007 à 22:11:51,46 ***
__________________________________________
__________________________________________
J'ai un peu souffert avec Bitdéfender mais bon (utiliser Internet explorer et pas Mozilla, ne pas oublier d'arrêter ZA qui bloque les échange de fichiers et Antivir car ils se mordent la queue).
Et la version texte du rapport n'est pas terrible. Si j'ai bien compris, il a trouvé et supprimé les fichiers en quarantaine, sauf rrsxpfjcm.exe dans le Backup Navilog...
BitDefender Online Scanner - Rapport virus en temps réel
Généré à: Sun, Oct 28, 2007 - 09:01:06
________________________________________
Info d'analyse
Fichiers scannés 377106
Infectés Fichiers 49
Virus Détectés
Trojan.Agent.AFNP 26
Trojan.Downloader.Zlob.AATQ 3
Trojan.TCPParams.C 1
Adware.Navipromo.BYT 3
Trojan.Downloader.Zlob.AATX 2
Trojan.Downloader.Zlob.AAUJ 7
Trojan.Reg.Windupdate.A 1
Trojan.Zlob.BVS 1
Trojan.Zlob.BVT 1
Win32.Msblast.A.damaged 4
Rapport Bitdefender texte!
<HTML>
<HEAD>
<TITLE>BitDefender Online Scanner - Rapport d'analyse</TITLE>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1">
</HEAD>
<BODY BGCOLOR=#FFFFFF leftmargin="10" marginwidth="0" topmargin="20" marginheight="0" >
<table align="center" border="0" cellpadding="0" cellspacing="0" width="90%">
<tr>
<td width="458">
<p><font face="Arial" color=red><span style="font-size:14pt;"><b>BitDefender Online Scanner</b></span></font></p>
</td>
<td width="40%">
<p> </p>
</td>
<td width="10%">
<p> </p>
</td>
</tr>
<tr>
<td colspan="3" width="912">
<p><font face="Arial"><span style="font-size:11pt;"><B>Rapport d'analyse généré à: Sun, Oct 28, 2007 - 08:57:31</b></span></font></p>
</td>
</tr>
<tr>
<td width="458">
<p><font face="Arial"><span style="font-size:11pt;"><B> </b></span></font></p>
</td>
<td width="40%">
<p> </p>
</td>
<td width="10%">
<p> </p>
</td>
</tr>
<tr>
<td width="458">
<p><font face="Arial"><span style="font-size:11pt;"><B>Voie d'analyse: </b></span><span style="font-size:10pt;">A:\;C:\;D:\;E:\;F:\;</span></font></p>
</td>
<td width="40%">
<p> </p>
</td>
<td width="10%">
<p> </p>
</td>
</tr>
<tr>
<td width="458">
<p><font face="Arial"><span style="font-size:11pt;"><B> </b></span></font></p>
</td>
<td width="40%">
<p> </p>
</td>
<td width="10%">
<p> </p>
</td>
</tr>
<tr>
<td width="458">
<table border="1" cellspacing="0" bordercolordark="white" bordercolorlight="black" width="100%">
<tr>
<td width="451" colspan="2" bgcolor="#CCCCCC">
<p><font face="Arial" size="2"><B>Statistiques</b></font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Temps</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">11:08:32</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Fichiers</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">367513</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Directoires</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">9440</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Secteurs de boot</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">4</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Archives</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">3680</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Paquets programmes</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">23470</font></p>
</td>
</tr>
</table>
</td>
<td width="40%">
<p> </p>
</td>
<td width="10%">
<p> </p>
</td>
</tr>
<tr>
<td width="458">
<table border="1" cellspacing="0" bordercolordark="white" bordercolorlight="black" width="100%">
<tr>
<td width="451" colspan="2" bgcolor="#CCCCCC">
<p><font face="Arial" size="2"><B>Résultats</b></font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Virus identifiés</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">10</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Fichiers infectés</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">49</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Fichiers suspects</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">0</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Avertissements</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">0</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Désinfectés</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">0</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Fichiers effacés</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">49</font></p>
</td>
</tr>
</table>
</td>
<td width="40%">
<p> </p>
</td>
<td width="10%">
<p> </p>
</td>
</tr>
<tr>
<td width="458">
<table border="1" cellspacing="0" bordercolordark="white" bordercolorlight="black" width="100%">
<tr>
<td width="451" colspan="2" bgcolor="#CCCCCC">
<p><font face="Arial" size="2"><B>Info sur les moteurs</b></font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Définition virus</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">858442</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Version des moteurs</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">AVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Analyse des plugins</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">14</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Archive des plugins</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">38</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Unpack des plugins</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">7</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">E-mail plugins</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">6</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Système plugins</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">1</font></p>
</td>
</tr>
</table>
</td>
<td width="40%">
<p> </p>
</td>
<td width="10%">
<p> </p>
</td>
</tr>
<tr>
<td width="458">
<table border="1" cellspacing="0" bordercolordark="white" bordercolorlight="black" width="100%">
<tr>
<td width="451" colspan="2" bgcolor="#CCCCCC">
<p><font face="Arial" size="2"><B>Paramètres d'analyse</b></font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Première action</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">Désinfecté</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Seconde Action</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">Supprimé</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Heuristique</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">Oui</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Acceptez les avertissements</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">Oui</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Extensions analysées</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">*;</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Excludez les extensions</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2"> </font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Analyse d'emails</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">Oui</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Analyse des Archives</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">Oui</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Analyser paquets programmes</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">Oui</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Analyse des fichiers</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">Oui</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Analyse de boot</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">Oui</font></p>
</td>
</tr>
</table>
</td>
<td width="40%">
<p> </p>
</td>
<td width="10%">
<p> </p>
</td>
</tr>
<tr>
<td colspan=2>
<table border="1" cellspacing="0" bordercolordark="white" bordercolorlight="black" width="100%">
<tr>
<td width="252" bgcolor="#CCCCCC">
<p><font face="Arial" size="2"><B>Fichier analysé</b></font></p>
</td>
<td width="195" bgcolor="#CCCCCC" align="right">
<p align="left"><b><font size="2" face="Arial"> Statut</font></b></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">C:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP37\A0010329.reg</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Infecté par: Trojan.Reg.Windupdate.A</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">C:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP37\A0010329.reg</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Echec de la désinfection</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">C:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP37\A0010329.reg</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Supprimé</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\INFECTED\471a73ff.qua</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Infecté par: Win32.Msblast.A.damaged</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\INFECTED\471a73ff.qua</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Supprimé</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\INFECTED\472db427.qua</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Infecté par: Win32.Msblast.A.damaged</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\INFECTED\472db427.qua</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Supprimé</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\INFECTED\472eb411.qua</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Infecté par: Win32.Msblast.A.damaged</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\INFECTED\472eb411.qua</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Supprimé</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\INFECTED\472fb431.qua</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Infecté par: Win32.Msblast.A.damaged</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\INFECTED\472fb431.qua</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Supprimé</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\INFECTED\475cb153.qua</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Infecté par: Trojan.TCPParams.C</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\INFECTED\475cb153.qua</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Echec de la désinfection</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\INFECTED\475cb153.qua</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Supprimé</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\Program Files\Navilog1\Backupnavi\rrsxpfjcm.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Détecté avec: Adware.Navipromo.BYT</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\Program Files\Navilog1\Backupnavi\rrsxpfjcm.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Echec de la désinfection</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\Program Files\Navilog1\Backupnavi\rrsxpfjcm.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Supprimé</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP317\A0075350.dll</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Infecté par: Trojan.Agent.AFNP</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP317\A0075350.dll</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Echec de la désinfection</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP317\A0075350.dll</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Supprimé</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP317\A0075352.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Infecté par: Trojan.Agent.AFNP</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP317\A0075352.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Echec de la désinfection</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP317\A0075352.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Supprimé</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP317\A0075385.dll</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Infecté par: Trojan.Agent.AFNP</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP317\A0075385.dll</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Echec de la désinfection</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP317\A0075385.dll</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Supprimé</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP317\A0075388.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Infecté par: Trojan.Agent.AFNP</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP317\A0075388.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Echec de la désinfection</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP317\A0075388.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Supprimé</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP317\A0075397.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Infecté par: Trojan.Downloader.Zlob.AAUJ</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP317\A0075397.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Echec de la désinfection</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP317\A0075397.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Supprimé</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP317\A0075398.dll</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Infecté par: Trojan.Agent.AFNP</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP317\A0075398.dll</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Echec de la désinfection</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP317\A0075398.dll</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Supprimé</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP317\A0075399.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Infecté par: Trojan.Agent.AFNP</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP317\A0075399.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Echec de la désinfection</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP317\A0075399.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Supprimé</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076398.dll</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Infecté par: Trojan.Agent.AFNP</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076398.dll</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Echec de la désinfection</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076398.dll</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Supprimé</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076400.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Infecté par: Trojan.Agent.AFNP</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076400.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Echec de la désinfection</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076400.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Supprimé</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076433.dll</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Infecté par: Trojan.Agent.AFNP</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076433.dll</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Echec de la désinfection</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076433.dll</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Supprimé</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076435.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Infecté par: Trojan.Downloader.Zlob.AAUJ</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076435.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Echec de la désinfection</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076435.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Supprimé</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076436.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Infecté par: Trojan.Agent.AFNP</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076436.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Echec de la désinfection</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076436.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Supprimé</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076675.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Infecté par: Trojan.Downloader.Zlob.AAUJ</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076675.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Echec de la désinfection</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076675.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Supprimé</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076676.dll</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Infecté par: Trojan.Agent.AFNP</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076676.dll</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Echec de la désinfection</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076676.dll</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Supprimé</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076677.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Infecté par: Trojan.Agent.AFNP</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076677.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Echec de la désinfection</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076677.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Supprimé</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076759.dll</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Infecté par: Trojan.Agent.AFNP</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076759.dll</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Echec de la désinfection</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076759.dll</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Supprimé</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076760.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Infecté par: Trojan.Downloader.Zlob.AAUJ</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076760.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Echec de la désinfection</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076760.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Supprimé</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076762.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Infecté par: Trojan.Agent.AFNP</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076762.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Echec de la désinfection</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076762.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Supprimé</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076773.dll</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Infecté par: Trojan.Agent.AFNP</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076773.dll</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Echec de la désinfection</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076773.dll</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Supprimé</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076774.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Infecté par: Trojan.Downloader.Zlob.AAUJ</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076774.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Echec de la désinfection</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076774.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Supprimé</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076775.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Infecté par: Trojan.Agent.AFNP</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076775.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Echec de la désinfection</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076775.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Supprimé</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076790.dll</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Infecté par:
tu reposteras également un nouveau rapport hijackthis stp
et
supprime manuellement après avoir affiché les fichiers et dossiers cachés
F:\DOCUMENTS 1 SETTINGS\ADMINISTRATEUR\LOCALSETTINGS\APPLICATION DATA\qtwkpbfqs.dat !
et
supprime manuellement après avoir affiché les fichiers et dossiers cachés
-démarrer -poste de travail ou autre dossier -menu outils -options de dossier -onglet affichage puis - activer la case : Afficher les fichiers et dossiers cachés - désactiver la case : Masquer les extensions des fichiers dont le type est connu - désactiver la case : Masquer les fichier protégés du système d'exploitation Puis - Appliquer
F:\DOCUMENTS 1 SETTINGS\ADMINISTRATEUR\LOCALSETTINGS\APPLICATION DATA\qtwkpbfqs.dat !
Bonsoir,
Je n'ai pu allumer le PC que ce soir et pendant les démarrages, Spybot m'a signalé trés exactement cette ligne comme voulant effectuer une modif, j'ai refusé la modif et maintenant il n'y plus ce "qtwkpbfqs.dat" dans le dossier.
Il n'y a après les dossiers que les fichiers suivants:
DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
fusioncache.dat
GDIPFONTCACHEV1.DAT
keyfile3.drm
Et voilà Hijackthis
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:40:07, on 28/10/2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Boot mode: Normal
Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
F:\Program Files\Alwil Software\Avast4\ashServ.exe
F:\WINDOWS\Explorer.EXE
F:\Program Files\Microsoft Hardware\Mouse\point32.exe
F:\WINDOWS\SOUNDMAN.EXE
F:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
F:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
F:\WINDOWS\System32\ctfmon.exe
F:\Program Files\Messenger\msmsgs.exe
F:\Program Files\Philips Intelligent Agent\Philips Intelligent Agent.exe
F:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
F:\Program Files\Skype\Phone\Skype.exe
F:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
F:\Program Files\MSI\3D!Turbo Experience\3D!Turbo.exe
F:\WINDOWS\system32\spoolsv.exe
F:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
F:\Program Files\Mozilla Firefox\firefox.exe
F:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
F:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
F:\WINDOWS\System32\drivers\CDAC11BA.EXE
F:\WINDOWS\System32\nvsvc32.exe
F:\WINDOWS\System32\svchost.exe
F:\Program Files\Skype\Plugin Manager\skypePM.exe
F:\Program Files\Alwil Software\Avast4\ashWebSv.exe
F:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
F:\WINDOWS\System32\ZoneLabs\vsmon.exe
F:\WINDOWS\System32\wuauclt.exe
F:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - F:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - F:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - F:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - F:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - F:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NVCLOCK] Rundll32 nvclock.dll,fnNvclock
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "F:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "F:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "F:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Microfost Windows update] kucwpwn.exe
O4 - HKCU\..\Run: [Philips Intelligent Agent] "F:\Program Files\Philips Intelligent Agent\Philips Intelligent Agent.exe" /SILENT
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "F:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Skype] "F:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] F:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: 3D!Turbo Experience.lnk = F:\Program Files\MSI\3D!Turbo Experience\3D!Turbo.exe
O4 - Global Startup: Accélérateur de démarrage AutoCAD.lnk = F:\Program Files\Fichiers communs\Autodesk Shared\acstart16.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://F:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Ajouter à la Liste à Imprimer - res://F:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://F:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://F:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://F:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - F:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - F:\WINDOWS\bdoscandel.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} -
O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} -
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} -
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - F:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Unknown owner - F:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - F:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - F:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - F:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - F:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: avast! Antivirus - ALWIL Software - F:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - F:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - F:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - F:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - F:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: NBService - Nero AG - F:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - F:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Remote Procedure Call (RPC) Monitoring (Rpcmon) - Unknown owner - F:\WINDOWS\System32\Rpcmon.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - F:\WINDOWS\system32\ZoneLabs\vsmon.exe
Je n'ai pu allumer le PC que ce soir et pendant les démarrages, Spybot m'a signalé trés exactement cette ligne comme voulant effectuer une modif, j'ai refusé la modif et maintenant il n'y plus ce "qtwkpbfqs.dat" dans le dossier.
Il n'y a après les dossiers que les fichiers suivants:
DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
fusioncache.dat
GDIPFONTCACHEV1.DAT
keyfile3.drm
Et voilà Hijackthis
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:40:07, on 28/10/2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Boot mode: Normal
Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
F:\Program Files\Alwil Software\Avast4\ashServ.exe
F:\WINDOWS\Explorer.EXE
F:\Program Files\Microsoft Hardware\Mouse\point32.exe
F:\WINDOWS\SOUNDMAN.EXE
F:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
F:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
F:\WINDOWS\System32\ctfmon.exe
F:\Program Files\Messenger\msmsgs.exe
F:\Program Files\Philips Intelligent Agent\Philips Intelligent Agent.exe
F:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
F:\Program Files\Skype\Phone\Skype.exe
F:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
F:\Program Files\MSI\3D!Turbo Experience\3D!Turbo.exe
F:\WINDOWS\system32\spoolsv.exe
F:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
F:\Program Files\Mozilla Firefox\firefox.exe
F:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
F:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
F:\WINDOWS\System32\drivers\CDAC11BA.EXE
F:\WINDOWS\System32\nvsvc32.exe
F:\WINDOWS\System32\svchost.exe
F:\Program Files\Skype\Plugin Manager\skypePM.exe
F:\Program Files\Alwil Software\Avast4\ashWebSv.exe
F:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
F:\WINDOWS\System32\ZoneLabs\vsmon.exe
F:\WINDOWS\System32\wuauclt.exe
F:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - F:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - F:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - F:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - F:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - F:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NVCLOCK] Rundll32 nvclock.dll,fnNvclock
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "F:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "F:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "F:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Microfost Windows update] kucwpwn.exe
O4 - HKCU\..\Run: [Philips Intelligent Agent] "F:\Program Files\Philips Intelligent Agent\Philips Intelligent Agent.exe" /SILENT
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "F:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Skype] "F:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] F:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: 3D!Turbo Experience.lnk = F:\Program Files\MSI\3D!Turbo Experience\3D!Turbo.exe
O4 - Global Startup: Accélérateur de démarrage AutoCAD.lnk = F:\Program Files\Fichiers communs\Autodesk Shared\acstart16.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://F:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Ajouter à la Liste à Imprimer - res://F:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://F:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://F:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://F:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - F:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - F:\WINDOWS\bdoscandel.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} -
O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} -
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} -
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - F:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Unknown owner - F:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - F:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - F:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - F:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - F:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: avast! Antivirus - ALWIL Software - F:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - F:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - F:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - F:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - F:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: NBService - Nero AG - F:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - F:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Remote Procedure Call (RPC) Monitoring (Rpcmon) - Unknown owner - F:\WINDOWS\System32\Rpcmon.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - F:\WINDOWS\system32\ZoneLabs\vsmon.exe
bonsoir
* lance hijackthis puis coche ces lignes
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
O4 - HKCU\..\Run: [Microfost Windows update] kucwpwn.exe
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} -
O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} -
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} -
puis
* Copie les lignes de la citation suivante, d'un trait :
--> Clic droit / "copier"
Maintenant crée un nouveau document texte : clic droit de souris sur le bureau, "Nouveau" > "Document Texte".
* Ouvre-le et colle dedans ce que tu viens de copier précédemment
* Enregistre ce fichier sur ton bureau (nom : mad.txt)
* Télécharge à présent The Avenger
http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/
* Dézippe-le sur ton bureau et double-clique sur le fichier "avenger.exe"
* Clique sur "Ok"
* Sélectionne "Load Script from File" et clique sur l'icône en forme de dossier.
* Sélectionne le fichier mad.txt qui est sur ton bureau
* Clique sur le feu vert pour lancer le script
* Clique sur "Oui"
* Accepte de redémarrer ton pc
après le redémarrage :
* Ouvre le fichier C:\avenger.txt et copie/colle son contenu ici.
puis
* Télécharge Catchme de Gmer : sur le bureau
http://www2.gmer.net/catchme.exe
* Double clique sur le fichier catchme.exe pour le lancer, il ne nécessite pas d'installation.
Une fenêtre DOS va s'ouvrir, laisse travailler le scan qui dure quelques instants.
Quand tu vois scan completed successfully tu fermes la fenêtre par Entrée
Un rapport catchme.log sera créé, poste-le pour analyse des résultats.
ainsi qu'un nouveau Log HijackThis
* lance hijackthis puis coche ces lignes
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
O4 - HKCU\..\Run: [Microfost Windows update] kucwpwn.exe
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} -
O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} -
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} -
puis
* Copie les lignes de la citation suivante, d'un trait :
Files to Delete: c:\windows\system32\kucwpwn.exe
--> Clic droit / "copier"
Maintenant crée un nouveau document texte : clic droit de souris sur le bureau, "Nouveau" > "Document Texte".
* Ouvre-le et colle dedans ce que tu viens de copier précédemment
* Enregistre ce fichier sur ton bureau (nom : mad.txt)
* Télécharge à présent The Avenger
http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/
* Dézippe-le sur ton bureau et double-clique sur le fichier "avenger.exe"
* Clique sur "Ok"
* Sélectionne "Load Script from File" et clique sur l'icône en forme de dossier.
* Sélectionne le fichier mad.txt qui est sur ton bureau
* Clique sur le feu vert pour lancer le script
* Clique sur "Oui"
* Accepte de redémarrer ton pc
après le redémarrage :
* Ouvre le fichier C:\avenger.txt et copie/colle son contenu ici.
puis
* Télécharge Catchme de Gmer : sur le bureau
http://www2.gmer.net/catchme.exe
* Double clique sur le fichier catchme.exe pour le lancer, il ne nécessite pas d'installation.
Une fenêtre DOS va s'ouvrir, laisse travailler le scan qui dure quelques instants.
Quand tu vois scan completed successfully tu fermes la fenêtre par Entrée
Un rapport catchme.log sera créé, poste-le pour analyse des résultats.
ainsi qu'un nouveau Log HijackThis
Bonsoir, voilà le résultat Avenger. Au redémarage, spybot a signalé des modifs du Registre Systeme starup user entry : valeur ajoutée qtwkpbfqs.exe et dans Systeme starup global entry : acyghrau F:\gghhfasc.bat que j'ai refusé.....
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\acpxfxlu
*******************
Script file located at: \??\F:\WINDOWS\System32\gcpiycyr.txt
Script file opened successfully.
Script file read successfully
Backups directory opened successfully at F:\Avenger
*******************
Beginning to process script file:
File c:\windows\system32\kucwpwn.exe not found!
Deletion of file c:\windows\system32\kucwpwn.exe failed!
Status: 0xc0000034
Completed script processing.
*******************
Finished! Terminate.
_________________________
catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net
scanning hidden processes ...
scanning hidden services ...
scanning hidden autostart entries ...
scanning hidden files ...
F:\Documents and Settings\Administrateur\Local Settings\Application Data\qtwkpbfqs.dat 8192 bytes
F:\Documents and Settings\Administrateur\Local Settings\Application Data\qtwkpbfqs.exe 299008 bytes
F:\Documents and Settings\Administrateur\Local Settings\Application Data\qtwkpbfqs_navps.dat 296 bytes
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 3
___________________________________________
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:43:25, on 29/10/2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Boot mode: Normal
Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
F:\WINDOWS\Explorer.EXE
F:\Program Files\Alwil Software\Avast4\ashServ.exe
F:\Program Files\Microsoft Hardware\Mouse\point32.exe
F:\WINDOWS\SOUNDMAN.EXE
F:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
F:\WINDOWS\System32\ctfmon.exe
F:\Program Files\Messenger\msmsgs.exe
F:\Program Files\Philips Intelligent Agent\Philips Intelligent Agent.exe
F:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
F:\Program Files\Skype\Phone\Skype.exe
F:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
F:\Program Files\MSI\3D!Turbo Experience\3D!Turbo.exe
F:\WINDOWS\system32\spoolsv.exe
F:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
F:\WINDOWS\system32\notepad.exe
F:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
F:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
F:\WINDOWS\System32\drivers\CDAC11BA.EXE
F:\WINDOWS\System32\nvsvc32.exe
F:\WINDOWS\System32\svchost.exe
F:\Program Files\Skype\Plugin Manager\skypePM.exe
F:\Program Files\Alwil Software\Avast4\ashWebSv.exe
F:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
F:\WINDOWS\System32\wuauclt.exe
F:\Program Files\Mozilla Firefox\firefox.exe
F:\WINDOWS\system32\NOTEPAD.EXE
F:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - F:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - F:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - F:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - F:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - F:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NVCLOCK] Rundll32 nvclock.dll,fnNvclock
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "F:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "F:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [acyghrau] F:\gghhfasc.bat
O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "F:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Philips Intelligent Agent] "F:\Program Files\Philips Intelligent Agent\Philips Intelligent Agent.exe" /SILENT
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "F:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Skype] "F:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] F:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: 3D!Turbo Experience.lnk = F:\Program Files\MSI\3D!Turbo Experience\3D!Turbo.exe
O4 - Global Startup: Accélérateur de démarrage AutoCAD.lnk = F:\Program Files\Fichiers communs\Autodesk Shared\acstart16.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://F:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Ajouter à la Liste à Imprimer - res://F:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://F:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://F:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://F:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - F:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - F:\WINDOWS\bdoscandel.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - F:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Unknown owner - F:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - F:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - F:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - F:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - F:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: avast! Antivirus - ALWIL Software - F:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - F:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - F:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - F:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - F:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: NBService - Nero AG - F:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - F:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Remote Procedure Call (RPC) Monitoring (Rpcmon) - Unknown owner - F:\WINDOWS\System32\Rpcmon.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - F:\WINDOWS\system32\ZoneLabs\vsmon.exe
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\acpxfxlu
*******************
Script file located at: \??\F:\WINDOWS\System32\gcpiycyr.txt
Script file opened successfully.
Script file read successfully
Backups directory opened successfully at F:\Avenger
*******************
Beginning to process script file:
File c:\windows\system32\kucwpwn.exe not found!
Deletion of file c:\windows\system32\kucwpwn.exe failed!
Status: 0xc0000034
Completed script processing.
*******************
Finished! Terminate.
_________________________
catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net
scanning hidden processes ...
scanning hidden services ...
scanning hidden autostart entries ...
scanning hidden files ...
F:\Documents and Settings\Administrateur\Local Settings\Application Data\qtwkpbfqs.dat 8192 bytes
F:\Documents and Settings\Administrateur\Local Settings\Application Data\qtwkpbfqs.exe 299008 bytes
F:\Documents and Settings\Administrateur\Local Settings\Application Data\qtwkpbfqs_navps.dat 296 bytes
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 3
___________________________________________
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:43:25, on 29/10/2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Boot mode: Normal
Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
F:\WINDOWS\Explorer.EXE
F:\Program Files\Alwil Software\Avast4\ashServ.exe
F:\Program Files\Microsoft Hardware\Mouse\point32.exe
F:\WINDOWS\SOUNDMAN.EXE
F:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
F:\WINDOWS\System32\ctfmon.exe
F:\Program Files\Messenger\msmsgs.exe
F:\Program Files\Philips Intelligent Agent\Philips Intelligent Agent.exe
F:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
F:\Program Files\Skype\Phone\Skype.exe
F:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
F:\Program Files\MSI\3D!Turbo Experience\3D!Turbo.exe
F:\WINDOWS\system32\spoolsv.exe
F:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
F:\WINDOWS\system32\notepad.exe
F:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
F:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
F:\WINDOWS\System32\drivers\CDAC11BA.EXE
F:\WINDOWS\System32\nvsvc32.exe
F:\WINDOWS\System32\svchost.exe
F:\Program Files\Skype\Plugin Manager\skypePM.exe
F:\Program Files\Alwil Software\Avast4\ashWebSv.exe
F:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
F:\WINDOWS\System32\wuauclt.exe
F:\Program Files\Mozilla Firefox\firefox.exe
F:\WINDOWS\system32\NOTEPAD.EXE
F:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - F:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - F:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - F:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - F:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - F:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NVCLOCK] Rundll32 nvclock.dll,fnNvclock
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "F:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "F:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [acyghrau] F:\gghhfasc.bat
O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "F:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Philips Intelligent Agent] "F:\Program Files\Philips Intelligent Agent\Philips Intelligent Agent.exe" /SILENT
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "F:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Skype] "F:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] F:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: 3D!Turbo Experience.lnk = F:\Program Files\MSI\3D!Turbo Experience\3D!Turbo.exe
O4 - Global Startup: Accélérateur de démarrage AutoCAD.lnk = F:\Program Files\Fichiers communs\Autodesk Shared\acstart16.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://F:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Ajouter à la Liste à Imprimer - res://F:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://F:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://F:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://F:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - F:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - F:\WINDOWS\bdoscandel.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - F:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Unknown owner - F:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - F:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - F:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - F:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - F:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: avast! Antivirus - ALWIL Software - F:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - F:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - F:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - F:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - F:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: NBService - Nero AG - F:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - F:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Remote Procedure Call (RPC) Monitoring (Rpcmon) - Unknown owner - F:\WINDOWS\System32\Rpcmon.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - F:\WINDOWS\system32\ZoneLabs\vsmon.exe
re
* lance hijackthis, puis coche et fixe cette ligne
O4 - HKLM\..\Run: [acyghrau] F:\gghhfasc.bat
puis
* Copie les lignes de la citation suivante, d'un trait :
--> Clic droit / "copier"
Maintenant crée un nouveau document texte : clic droit de souris sur le bureau, "Nouveau" > "Document Texte".
* Ouvre-le et colle dedans ce que tu viens de copier précédemment
* Enregistre ce fichier sur ton bureau (nom : mad.txt)
double-clique sur le fichier "avenger.exe"
* Clique sur "Ok"
* Sélectionne "Load Script from File" et clique sur l'icône en forme de dossier.
* Sélectionne le fichier mad.txt qui est sur ton bureau
* Clique sur le feu vert pour lancer le script
* Clique sur "Oui"
* Accepte de redémarrer ton pc
après le redémarrage :
* Ouvre le fichier C:\avenger.txt et copie/colle son contenu ici.
ainsi qu'un nouveau Log HijackThis
* lance hijackthis, puis coche et fixe cette ligne
O4 - HKLM\..\Run: [acyghrau] F:\gghhfasc.bat
puis
* Copie les lignes de la citation suivante, d'un trait :
Files to Delete: F:\Documents and Settings\Administrateur\Local Settings\Application Data\qtwkpbfqs.dat F:\Documents and Settings\Administrateur\Local Settings\Application Data\qtwkpbfqs.exe F:\Documents and Settings\Administrateur\Local Settings\Application Data\qtwkpbfqs_navps
--> Clic droit / "copier"
Maintenant crée un nouveau document texte : clic droit de souris sur le bureau, "Nouveau" > "Document Texte".
* Ouvre-le et colle dedans ce que tu viens de copier précédemment
* Enregistre ce fichier sur ton bureau (nom : mad.txt)
double-clique sur le fichier "avenger.exe"
* Clique sur "Ok"
* Sélectionne "Load Script from File" et clique sur l'icône en forme de dossier.
* Sélectionne le fichier mad.txt qui est sur ton bureau
* Clique sur le feu vert pour lancer le script
* Clique sur "Oui"
* Accepte de redémarrer ton pc
après le redémarrage :
* Ouvre le fichier C:\avenger.txt et copie/colle son contenu ici.
ainsi qu'un nouveau Log HijackThis
Bonjour, c'est fait mais lors du redémarage, spybot a de nouveau signalé une modif qtwkpbfqs et une autre avec ndflnips.bat, je les ai refusées.
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\nhebbmen
*******************
Script file located at: \??\F:\WINDOWS\System32\tpcxlpqk.txt
Script file opened successfully.
Script file read successfully
Backups directory opened successfully at F:\Avenger
*******************
Beginning to process script file:
File F:\Documents and Settings\Administrateur\Local Settings\Application Data\qtwkpbfqs.dat deleted successfully.
File F:\Documents and Settings\Administrateur\Local Settings\Application Data\qtwkpbfqs.exe deleted successfully.
File F:\Documents and Settings\Administrateur\Local Settings\Application Data\qtwkpbfqs_navps not found!
Deletion of file F:\Documents and Settings\Administrateur\Local Settings\Application Data\qtwkpbfqs_navps failed!
Could not process line:
F:\Documents and Settings\Administrateur\Local Settings\Application Data\qtwkpbfqs_navps
Status: 0xc0000034
Completed script processing.
*******************
Finished! Terminate.
____________________
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:20:42, on 30/10/2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Boot mode: Normal
Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\Explorer.EXE
F:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
F:\Program Files\Alwil Software\Avast4\ashServ.exe
F:\Program Files\Microsoft Hardware\Mouse\point32.exe
F:\WINDOWS\SOUNDMAN.EXE
F:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
F:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
F:\Program Files\QuickTime\qttask.exe
F:\WINDOWS\System32\ctfmon.exe
F:\Program Files\Messenger\msmsgs.exe
F:\Program Files\Philips Intelligent Agent\Philips Intelligent Agent.exe
F:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
F:\Program Files\Skype\Phone\Skype.exe
F:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
F:\Program Files\MSI\3D!Turbo Experience\3D!Turbo.exe
F:\WINDOWS\system32\spoolsv.exe
F:\WINDOWS\system32\notepad.exe
F:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
F:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
F:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
F:\WINDOWS\System32\drivers\CDAC11BA.EXE
F:\WINDOWS\System32\nvsvc32.exe
F:\WINDOWS\System32\svchost.exe
F:\Program Files\Skype\Plugin Manager\skypePM.exe
F:\Program Files\Alwil Software\Avast4\ashWebSv.exe
F:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
F:\WINDOWS\system32\ZoneLabs\vsmon.exe
F:\WINDOWS\System32\wuauclt.exe
F:\Program Files\Mozilla Firefox\firefox.exe
F:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - F:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - F:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - F:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - F:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - F:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NVCLOCK] Rundll32 nvclock.dll,fnNvclock
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "F:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "F:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [QuickTime Task] "F:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ndflnips] F:\gwrdgmhb.bat
O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "F:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Philips Intelligent Agent] "F:\Program Files\Philips Intelligent Agent\Philips Intelligent Agent.exe" /SILENT
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "F:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Skype] "F:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] F:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: 3D!Turbo Experience.lnk = F:\Program Files\MSI\3D!Turbo Experience\3D!Turbo.exe
O4 - Global Startup: Accélérateur de démarrage AutoCAD.lnk = F:\Program Files\Fichiers communs\Autodesk Shared\acstart16.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://F:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Ajouter à la Liste à Imprimer - res://F:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://F:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://F:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://F:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - F:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - F:\WINDOWS\bdoscandel.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - F:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Unknown owner - F:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - F:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - F:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - F:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - F:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: avast! Antivirus - ALWIL Software - F:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - F:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - F:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - F:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - F:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: NBService - Nero AG - F:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - F:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Remote Procedure Call (RPC) Monitoring (Rpcmon) - Unknown owner - F:\WINDOWS\System32\Rpcmon.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - F:\WINDOWS\system32\ZoneLabs\vsmon.exe
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\nhebbmen
*******************
Script file located at: \??\F:\WINDOWS\System32\tpcxlpqk.txt
Script file opened successfully.
Script file read successfully
Backups directory opened successfully at F:\Avenger
*******************
Beginning to process script file:
File F:\Documents and Settings\Administrateur\Local Settings\Application Data\qtwkpbfqs.dat deleted successfully.
File F:\Documents and Settings\Administrateur\Local Settings\Application Data\qtwkpbfqs.exe deleted successfully.
File F:\Documents and Settings\Administrateur\Local Settings\Application Data\qtwkpbfqs_navps not found!
Deletion of file F:\Documents and Settings\Administrateur\Local Settings\Application Data\qtwkpbfqs_navps failed!
Could not process line:
F:\Documents and Settings\Administrateur\Local Settings\Application Data\qtwkpbfqs_navps
Status: 0xc0000034
Completed script processing.
*******************
Finished! Terminate.
____________________
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:20:42, on 30/10/2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Boot mode: Normal
Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\Explorer.EXE
F:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
F:\Program Files\Alwil Software\Avast4\ashServ.exe
F:\Program Files\Microsoft Hardware\Mouse\point32.exe
F:\WINDOWS\SOUNDMAN.EXE
F:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
F:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
F:\Program Files\QuickTime\qttask.exe
F:\WINDOWS\System32\ctfmon.exe
F:\Program Files\Messenger\msmsgs.exe
F:\Program Files\Philips Intelligent Agent\Philips Intelligent Agent.exe
F:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
F:\Program Files\Skype\Phone\Skype.exe
F:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
F:\Program Files\MSI\3D!Turbo Experience\3D!Turbo.exe
F:\WINDOWS\system32\spoolsv.exe
F:\WINDOWS\system32\notepad.exe
F:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
F:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
F:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
F:\WINDOWS\System32\drivers\CDAC11BA.EXE
F:\WINDOWS\System32\nvsvc32.exe
F:\WINDOWS\System32\svchost.exe
F:\Program Files\Skype\Plugin Manager\skypePM.exe
F:\Program Files\Alwil Software\Avast4\ashWebSv.exe
F:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
F:\WINDOWS\system32\ZoneLabs\vsmon.exe
F:\WINDOWS\System32\wuauclt.exe
F:\Program Files\Mozilla Firefox\firefox.exe
F:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - F:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - F:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - F:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - F:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - F:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NVCLOCK] Rundll32 nvclock.dll,fnNvclock
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "F:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "F:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [QuickTime Task] "F:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ndflnips] F:\gwrdgmhb.bat
O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "F:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Philips Intelligent Agent] "F:\Program Files\Philips Intelligent Agent\Philips Intelligent Agent.exe" /SILENT
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "F:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Skype] "F:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] F:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: 3D!Turbo Experience.lnk = F:\Program Files\MSI\3D!Turbo Experience\3D!Turbo.exe
O4 - Global Startup: Accélérateur de démarrage AutoCAD.lnk = F:\Program Files\Fichiers communs\Autodesk Shared\acstart16.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://F:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Ajouter à la Liste à Imprimer - res://F:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://F:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://F:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://F:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - F:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - F:\WINDOWS\bdoscandel.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - F:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Unknown owner - F:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - F:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - F:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - F:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - F:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: avast! Antivirus - ALWIL Software - F:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - F:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - F:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - F:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - F:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: NBService - Nero AG - F:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - F:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Remote Procedure Call (RPC) Monitoring (Rpcmon) - Unknown owner - F:\WINDOWS\System32\Rpcmon.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - F:\WINDOWS\system32\ZoneLabs\vsmon.exe
