rrsxpfjcm.exe Résolu

Question

Bonjour, 
Zone Alarm me signale régulièrement que rrsxpfjcm.exe veux se connecter et me demande mon avis pour l'autoriser. Je ne trouve d'info nul part et comme je sort à peine d'une invasion....  Que dois-je faire ? d'où provient ce fichier?

Merci de votre aide
Roro 81

philae83 · Answer

bonsoir

si tu sors à peine d'une infection, tu devrais avoir appris à te protéger non ?

 Télécharge navilog1 (Merci il.mafioso!)

http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

    * Ensuite double clique sur navilog1.exe pour lancer l'installation.

    * Une fois l'installation terminée, le fix s'exécutera automatiquement.

    * (Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).

* Laisse-toi guider. Au menu principal, choisis 1 et valides.

/*\ Ne fais pas le choix 2,3 ou 4 sans notre avis/accord /*\

* Patiente jusqu'au message : *** Analyse terminée le ..... ***

    * Appuie sur une touche comme demandé, le Bloc-notes va s'ouvrir.

    * Copie-colle l'intégralité du rapport dans ta prochaine réponse. Referme le Bloc-notes.

    * Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

------

roro 81 · Answer

Merci de ton aide, je ne suis qu'un petit bricoleur et souvent, je tatone plus que je ne comprend ce qui se passe. Mais j'essais.
Voici donc le résultat.
Nota: c'est le disque F:\ qui est maître dans mon PC...

Search Navipromo version 3.3.2 commencé le 24/10/2007 à 23:08:34,10

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis F:\Program Files
avilog1
Mise à jour le 22.10.2007 à 19h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2800.1106 


*** Recherche Programmes installés ***




*** Recherche dossiers dans F:\WINDOWS ***



*** Recherche dossiers dans F:\Program Files ***

F:\Program Files\WebMediaPlayer trouvé !


*** Recherche dossiers dans F:\Documents and Settings\All Users\Application Data ***




*** Recherche dossiers dans F:\Documents and Settings\Administrateur\Application Data ***


*** Recherche dossiers dans F:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***

...\WebMediaPlayer trouvé !

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun fichier trouvé dans :

- F:\WINDOWS\system32
- F:\DOCUME~1\ADMINI~1\LOCALS~1\APPLIC~1



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans F:\WINDOWS\system32 *

* Recherche dans F:\DOCUME~1\ADMINI~1\LOCALS~1\APPLIC~1 *

Fichiers trouvés :

rrsxpfjcm.exe trouvé ! 



*** Recherche fichiers *** 


F:\DOCUME~1\ALLUSE~1\BUREAU\WebMediaPlayer.lnk trouvé ! 
F:\WINDOWS\pack.epk trouvé !


*** Recherche clés spécifiques dans le Registre ***

HKEY_CURRENT_USER\Software\Lanconfig trouvé ! 

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:

2)Recherche Heuristique :


F:\DOCUME~1\ADMINI~1\LOCALS~1\APPLIC~1rsxpfjcm.dat trouvé !

3)Recherche Certificats :

Certificat Egroup trouvé !


*** Analyse terminée le 24/10/2007 à 23:09:18,01 ***

philae83 · Answer

bonsoir

* Double clique sur le raccourci Navilog1 présent sur le bureau et laisse-toi guider.

    * Au menu principal, choisis 2 et valide.

    * Le fix va t'informer qu'il va alors redémarrer ton PC

    * Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts

    * Appuie sur une touche comme demandé. (si ton Pc ne redémarre pas automatiquement, fais le toi même)

    * Au redémarrage de ton PC, choisis ta session habituelle.

* Patiente jusqu'au message : *** Nettoyage Termine le ..... ***

    * Le Bloc-notes va s'ouvrir.

    * Sauvegarde le rapport de manière à le retrouver.

    * Referme le Bloc-Notes. Ton bureau va réapparaître.

* Note : Si ton bureau ne réapparaît pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.

    * Rends-toi à l'onglet "Processus", clique en haut à gauche sur > Fichiers et choisis > Exécuter

    * Tape  explorer et valide. Celà te fera apparaître ton Bureau.

* Tu posteras le rapport de Navilog1 

puis

* Télécharge  HijackThis  et poste le rapport stp
hijackthis

* Lance un scan "do a system scan & save a logfile" puis copie colle le rapport généré ici

Roro 81 · Answer

Bonsoir, Merci de ton message.

C'est fait mais Navilog1 n'a pas opéré d'arrêt/redémarage !?...Et il est allé vite fait jusqu'à la fenêtre texte tout seul. Il semble qu'il ait fait les corrections.
j'ai donc activé HijackThis en suivant mais j'aurais peut-être du faire un redémarage moi-même ?


Clean Navipromo version 3.3.2 commencé le 25/10/2007 à 21:01:37,95

Outil exécuté depuis F:\Program Files
avilog1
Mise à jour le 22.10.2007 à 19h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2800.1106

Mode suppression automatique 


 
*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)
 

*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans F:\WINDOWS\System32 *

F:\WINDOWS\prefetchrsxpfjcm*.pf trouvé !
Copie F:\WINDOWS\prefetchrsxpfjcm*.pf réalisé avec succès !
F:\WINDOWS\prefetchrsxpfjcm*.pf supprimé !


* Suppression dans F:\DOCUME~1\ADMINI~1\LOCALS~1\APPLIC~1 *

rrsxpfjcm.exe trouvé !
Copie rrsxpfjcm.exe réalisé avec succès !
rrsxpfjcm.exe !!ERREUR SUPPRESSION!!

rrsxpfjcm.dat trouvé !
Copie rrsxpfjcm.dat réalisé avec succès !
rrsxpfjcm.dat supprimé !

rrsxpfjcm_nav.dat trouvé !
Copie rrsxpfjcm_nav.dat réalisé avec succès !
rrsxpfjcm_nav.dat supprimé !

rrsxpfjcm_navps.dat trouvé !
Copie rrsxpfjcm_navps.dat réalisé avec succès !
rrsxpfjcm_navps.dat supprimé !



*** Suppression dossiers dans F:\WINDOWS ***


*** Suppression dossiers dans F:\Program Files ***

F:\Program Files\WebMediaPlayer ...suppression... 
F:\Program Files\WebMediaPlayer supprimé ! 


*** Suppression dossiers dans F:\Documents and Settings\All Users\Application Data ***


*** Suppression dossiers dans F:\Documents and Settings\Administrateur\Application Data ***


*** Suppression dossiers dans F:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***

...\WebMediaPlayer ...suppression... 
...\WebMediaPlayer supprimé ! 



*** Suppression fichiers ***

F:\DOCUME~1\ALLUSE~1\BUREAU\WebMediaPlayer.lnk supprimé !
F:\WINDOWS\pack.epk supprimé !

*** Suppression fichiers temporaires ***

Nettoyage contenu F:\WINDOWS\Temp effectué !
Nettoyage contenu F:\Documents and Settings\Administrateur\Local Settings\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:


2)Recherche, création sauvegardes et suppression Heuristique :


*** Sauvegarde du Registre vers dossier Backupnavi ***

sauvegarde du Registre réalisé avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok


*** Certificats ***

Certificat Egroup supprimé !

*** Fichiers suspects non supprimés par Navilog1 ***
!! Fichiers légitimes possibles, à contrôler avant suppression !!

F:\DOCUME~1\ADMINI~1\LOCALS~1\APPLIC~1rsxpfjcm.exe trouvé !

*** Nettoyage terminé le 25/10/2007 à 21:07:22,28 ***


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:17:19, on 25/10/2007
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Boot mode: Normal

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
F:\Program Files\Alwil Software\Avast4\ashServ.exe
F:\WINDOWS\Explorer.EXE
F:\Program Files\Microsoft Hardware\Mouse\point32.exe
F:\WINDOWS\SOUNDMAN.EXE
F:\Program Files\QuickTime\qttask.exe
F:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
F:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
F:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
F:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
F:\WINDOWS\System32\ctfmon.exe
F:\Program Files\Messenger\msmsgs.exe
F:\Program Files\Philips Intelligent Agent\Philips Intelligent Agent.exe
F:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
F:\Program Files\Skype\Phone\Skype.exe
F:\Program Files\MSI\3D!Turbo Experience\3D!Turbo.exe
F:\WINDOWS\system32\spoolsv.exe
F:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
F:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
F:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
F:\WINDOWS\System32\drivers\CDAC11BA.EXE
F:\WINDOWS\System32
vsvc32.exe
F:\WINDOWS\System32\svchost.exe
F:\Program Files\Skype\Plugin Manager\skypePM.exe
F:\WINDOWS\System32\wuauclt.exe
F:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
F:\Program Files\Alwil Software\Avast4\ashWebSv.exe
F:\WINDOWS\NOTEPAD.EXE
F:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - F:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - F:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - F:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - F:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {CFE15135-C591-4000-A55E-A50E5F9F82BC} - (no file)
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - F:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {23ED2206-856D-461A-BBCF-1C2466AC5AE3} - (no file)
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - F:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NVCLOCK] Rundll32 nvclock.dll,fnNvclock
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Microfost Windows update] kucwpwn.exe
O4 - HKLM\..\Run: [NeroCheck] F:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MSNS PLUS XP2] inetinfos.exe
O4 - HKLM\..\Run: [NeroFilterCheck] F:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "F:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avast!] F:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [avgnt] "F:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "F:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "F:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [ZoneAlarm Client] "F:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\RunServices: [Microfost Windows update] kucwpwn.exe
O4 - HKLM\..\RunServices: [MSNS PLUS XP2] inetinfos.exe
O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "F:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Microfost Windows update] kucwpwn.exe
O4 - HKCU\..\Run: [Philips Intelligent Agent] "F:\Program Files\Philips Intelligent Agent\Philips Intelligent Agent.exe" /SILENT
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "F:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Skype] "F:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKLM\..\Policies\Explorer\Run: [start] F:\Program Files\Video Add-on\isfmntr.exe
O4 - HKLM\..\Policies\Explorer\Run: [some] F:\Program Files\Video Add-on\icthis.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: 3D!Turbo Experience.lnk = F:\Program Files\MSI\3D!Turbo Experience\3D!Turbo.exe
O4 - Global Startup: Accélérateur de démarrage AutoCAD.lnk = F:\Program Files\Fichiers communs\Autodesk Shared\acstart16.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = F:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://F:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Ajouter à la Liste à Imprimer - res://F:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://F:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://F:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://F:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - F:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - F:\PROGRA~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/256ca604f0dbbdf18220/netzip/RdxIE601_fr.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - F:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: benzaldoxime - {a6d478c6-7961-4fe9-be4b-e621dd640112} - (no file)
O23 - Service: Adobe LM Service - Unknown owner - F:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - F:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - F:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - F:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - F:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: avast! Antivirus - ALWIL Software - F:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - F:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - F:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - F:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - F:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: NBService - Nero AG - F:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - F:\WINDOWS\System32
vsvc32.exe
O23 - Service: Remote Procedure Call (RPC) Monitoring (Rpcmon) - Unknown owner - F:\WINDOWS\System32\Rpcmon.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - F:\WINDOWS\system32\ZoneLabs\vsmon.exe

philae83 · Answer

bonsoir

AVAST Ou ANTIVIR il faut choisir. SUpprime l'un des 2

dans l'immédiat d'ailleurs, j'aimerais que tu te contentes de désactiver l'un des 2

on aura surement besoin d'antivir un peu plus tard

pas mal infecté.

* Télécharge SmitfraudFix de S!Ri, balltrap34 et moe31

http://siri.urz.free.fr/Fix/SmitfraudFix.exe

* Installe le à la racine de C
 
* double clic sur l'exe pour le décompresser et lancer le fix.
Utilisation ----- option 1 - Recherche :
* Double clique sur smitfraudfix.cmd 
* Sélectionne 1 pour créer un rapport des fichiers responsables de l'infection.
* Poste le rapport ici
process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

----

Roro 81 · Answer

re bonsoir, 
Je ne peux pas lancer smitfraudix: Je reçois le message suivant du Sous-Système MS-DOS 16bits

"Le processeur NTVDM a rencontré une instruction non aurorisée. 
CS:0f7e IP:0109  OP: 63 74 20 68 61 
Choisissez fermer pour mettre fin à l'application"
Choix: Fermer ou Ignorer (Ignorer ne donne rien non plus)

Désolé

philae83 · Answer

re

ok, on va faire autrement pour le moment

passe en mode sans échec, fait un scan avec antivir, poste le rapport ici ensuite

(pas certaine de passer demain dans la journée. Serais là le soir)

philae83 · Answer

bonsoir,

es tu encore là ?

Roro 81 · Answer

Bonsoir, Oui oui je suis toujours là, mais j'ai quelques chats à fouetter. rrsxpfjcm.exe a encore été signalé tout à l'heure par Zoe Alarm pendant que je gérait mon courrier. Je croyais que Navilog1 l'avait attrapé ?! Voilà le scan Antivir AntiVir PersonalEdition Classic Report file date: jeudi 25 octobre 2007 23:42 Scanning for 903047 virus strains and unwanted programs. Licensed to: Avira AntiVir PersonalEdition Classic Serial number: 0000149996-ADJIE-0001 Platform: Windows XP Windows version: (plain) [5.1.2600] Username: Administrateur Computer name: RORO2-ON1DOF6Z5 Version information: BUILD.DAT : 270 15603 Bytes 19/09/2007 13:32:00 AVSCAN.EXE : 7.0.6.1 290856 Bytes 23/08/2007 12:16:29 AVSCAN.DLL : 7.0.6.0 49192 Bytes 16/08/2007 11:23:51 LUKE.DLL : 7.0.5.3 147496 Bytes 14/08/2007 14:32:47 LUKERES.DLL : 7.0.6.1 10280 Bytes 21/08/2007 11:35:20 ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 21:16:25 ANTIVIR1.VDF : 7.0.0.0 1640448 Bytes 13/09/2007 21:14:06 ANTIVIR2.VDF : 7.0.0.91 687104 Bytes 16/10/2007 20:43:13 ANTIVIR3.VDF : 7.0.0.135 265216 Bytes 25/10/2007 21:03:55 AVEWIN32.DLL : 7.6.0.27 3019264 Bytes 19/10/2007 21:03:30 AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 09:36:26 AVPREF.DLL : 7.0.2.2 25640 Bytes 18/07/2007 06:39:17 AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 12:16:24 AVPACK32.DLL : 7.3.0.15 360488 Bytes 03/08/2007 07:46:00 AVREG.DLL : 7.0.1.6 30760 Bytes 18/07/2007 06:17:06 AVARKT.DLL : 1.0.0.20 278568 Bytes 28/08/2007 11:26:33 AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18/07/2007 06:10:18 NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 10:09:42 RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07/08/2007 11:38:13 RCTEXT.DLL : 7.0.62.0 86056 Bytes 21/08/2007 11:50:37 SQLITE3.DLL : 3.3.17.1 339968 Bytes 23/07/2007 08:37:21 Configuration settings for the scan: Jobname..........................: Complete system scan Configuration file...............: f:\program files\avira\antivir personaledition classic\sysscan.avp Logging..........................: low Primary action...................: interactive Secondary action.................: ignore Scan master boot sector..........: off Scan boot sector.................: on Boot sectors.....................: F:, Scan memory......................: on Process scan.....................: on Scan registry....................: on Search for rootkits..............: off Scan all files...................: Intelligent file selection Scan archives....................: on Recursion depth..................: 20 Smart extensions.................: on Macro heuristic..................: on File heuristic...................: medium Start of the scan: jeudi 25 octobre 2007 23:42 The scan of running processes will be started Scan process 'avscan.exe' - '1' Module(s) have been scanned Scan process 'avscan.exe' - '1' Module(s) have been scanned Scan process 'avcenter.exe' - '1' Module(s) have been scanned Scan process 'explorer.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'guard.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'lsass.exe' - '1' Module(s) have been scanned Scan process 'services.exe' - '1' Module(s) have been scanned Scan process 'winlogon.exe' - '1' Module(s) have been scanned Scan process 'csrss.exe' - '1' Module(s) have been scanned Scan process 'smss.exe' - '1' Module(s) have been scanned 12 processes with 12 modules were scanned Start scanning boot sectors: Boot sector 'C:\' [NOTE] No virus was found! Boot sector 'F:\' [NOTE] No virus was found! Starting to scan the registry. The registry was scanned ( '40' files ). Starting the file scan: Begin scan in 'C:\' Begin scan in 'F:\' F:\pagefile.sys [WARNING] The file could not be opened! End of the scan: vendredi 26 octobre 2007 02:00 Used time: 2:18:06 min The scan has been done completely. 8255 Scanning directories 501890 Files were scanned 0 viruses and/or unwanted programs were found 0 Files were classified as suspicious: 0 files were deleted 0 files were repaired 0 files were moved to quarantine 0 files were renamed 1 Files cannot be scanned 501890 Files not concerned 4035 Archives were scanned 1 Warnings 0 Notes Cordialement A+

philae83 · Answer

bonsoir

non il était écrit :
!! Fichiers légitimes possibles, à contrôler avant suppression !!

F:\DOCUME~1\ADMINI~1\LOCALS~1\APPLIC~1\rrsxpfjcm.exe trouvé ! 

il n'a pas été supprimé

le scan antivir tu l'as fait en mode sans échec ?

* lance hijackthis "do a system scan only" puis coche ces lignes :

O2 - BHO: (no name) - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file) 
O2 - BHO: (no name) - {CFE15135-C591-4000-A55E-A50E5F9F82BC} - (no file) 
O3 - Toolbar: (no name) - {23ED2206-856D-461A-BBCF-1C2466AC5AE3} - (no file) 
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install 
O4 - HKLM\..\Run: [Microfost Windows update] kucwpwn.exe
O4 - HKLM\..\Run: [NeroCheck] F:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MSNS PLUS XP2] inetinfos.exe
O4 - HKLM\..\Run: [NeroFilterCheck] F:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "F:\Program Files\QuickTime\qttask.exe" -atboottime 
O4 - HKLM\..\Run: [avast!] F:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe 
O4 - HKLM\..\Run: [TkBellExe] "F:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot 
O4 - HKLM\..\RunServices: [Microfost Windows update] kucwpwn.exe
O4 - HKLM\..\RunServices: [MSNS PLUS XP2] inetinfos.exe 
O4 - HKCU\..\Run: [Microfost Windows update] kucwpwn.exe 
O4 - HKLM\..\Policies\Explorer\Run: [start] F:\Program Files\Video Add-on\isfmntr.exe
O4 - HKLM\..\Policies\Explorer\Run: [some] F:\Program Files\Video Add-on\icthis.exe 
O4 - Global Startup: Adobe Gamma Loader.lnk = F:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe 
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL 
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/256ca604f0dbbdf18220/netzip/RdxIE601_fr.cab 
O22 - SharedTaskScheduler: benzaldoxime - {a6d478c6-7961-4fe9-be4b-e621dd640112} - (no file) 

* toutes applications fermées et HORS CONNEXION, clique sur fix checked

puis

Télécharge OTMoveIt (de Old_Timer) sur ton Bureau.
http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe


double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.


F:\Program Files\Video Add-on
F:\windows\system32\kucwpwn.exe 
F:\windows\system32\inetinfos.exe 

clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre Results.
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

il te sera peut-être demander de redémarrer le pc pour achever la suppression.
si c'est le cas accepte par Yes.

* lance AVG AS pour un scan complet et poste le rapport généré ici ensuite

ré essaye de lancer smitfraud et poste le rapport

ainsi qu'un nouveau rapport hijackthis

Roro 81 · Answer

Bonjour, voilà de la lecture de WE !

J'avais bien fait le scan d'Antivir en mode sans échec.
Smitfraud ne veux toujours pas marcher.
Quand tu dis toutes applications fermées, comment je peux savoir s'il n'y a pas quelque part un programme en train de pédaler? Pour Internet, c'est un réseau WIFI local, après arrêt des programmes connus, je coupe le 220v du Modem Antenne...
Bon voilà, tu me diras.
Merci d'avance.


Les 3 rapport obtenus:

OTMovelt:
F:\Program Files\Video Add-on moved successfully.
File/Folder F:\windows\system32\kucwpwn.exe not found.
File/Folder F:\windows\system32\inetinfos.exe not found.
 
Created on 10/26/2007 23:13:15              (N'a pas demandé à redémarer le PC)


---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------
 + Créé à:	08:12:02 27/10/2007

 + Résultat de l'analyse:	

:mozilla.51:F:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\iw1tqv1k.default\cookies.txt -> TrackingCookie.Estat : Nettoyé.
F:\Documents and Settings\Administrateur\Cookies\administrateur@estat[1].txt -> TrackingCookie.Estat : Nettoyé.
:mozilla.17:F:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\iw1tqv1k.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyé.
:mozilla.18:F:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\iw1tqv1k.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyé.
:mozilla.19:F:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\iw1tqv1k.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyé.
:mozilla.20:F:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\iw1tqv1k.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyé.
:mozilla.21:F:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\iw1tqv1k.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyé.
:mozilla.22:F:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\iw1tqv1k.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyé.
:mozilla.41:F:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\iw1tqv1k.default\cookies.txt -> TrackingCookie.Skype : Nettoyé.
:mozilla.42:F:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\iw1tqv1k.default\cookies.txt -> TrackingCookie.Skype : Nettoyé.
:mozilla.43:F:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\iw1tqv1k.default\cookies.txt -> TrackingCookie.Skype : Nettoyé.
:mozilla.44:F:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\iw1tqv1k.default\cookies.txt -> TrackingCookie.Skype : Nettoyé.
:mozilla.45:F:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\iw1tqv1k.default\cookies.txt -> TrackingCookie.Skype : Nettoyé.
:mozilla.46:F:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\iw1tqv1k.default\cookies.txt -> TrackingCookie.Skype : Nettoyé.
:mozilla.23:F:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\iw1tqv1k.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.
:mozilla.24:F:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\iw1tqv1k.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.
:mozilla.25:F:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\iw1tqv1k.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.
:mozilla.26:F:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\iw1tqv1k.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.

Fin du rapport
___________________

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:20:11, on 27/10/2007
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Boot mode: Normal

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\Explorer.EXE
F:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
F:\Program Files\Alwil Software\Avast4\ashServ.exe
F:\WINDOWS\system32\spoolsv.exe
F:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
F:\Program Files\Microsoft Hardware\Mouse\point32.exe
F:\WINDOWS\SOUNDMAN.EXE
F:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
F:\WINDOWS\System32\ctfmon.exe
F:\Program Files\Messenger\msmsgs.exe
F:\Program Files\Philips Intelligent Agent\Philips Intelligent Agent.exe
F:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
F:\Program Files\MSI\3D!Turbo Experience\3D!Turbo.exe
F:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
F:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
F:\WINDOWS\System32\drivers\CDAC11BA.EXE
F:\WINDOWS\System32
vsvc32.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\System32\wuauclt.exe
F:\PROGRA~1\Pinnacle\SHARED~1\Filter\server.exe
F:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
F:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - F:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - F:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - F:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - F:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - F:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NVCLOCK] Rundll32 nvclock.dll,fnNvclock
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "F:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "F:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "F:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Microfost Windows update] kucwpwn.exe
O4 - HKCU\..\Run: [Philips Intelligent Agent] "F:\Program Files\Philips Intelligent Agent\Philips Intelligent Agent.exe" /SILENT
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "F:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Skype] "F:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] F:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: 3D!Turbo Experience.lnk = F:\Program Files\MSI\3D!Turbo Experience\3D!Turbo.exe
O4 - Global Startup: Accélérateur de démarrage AutoCAD.lnk = F:\Program Files\Fichiers communs\Autodesk Shared\acstart16.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://F:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Ajouter à la Liste à Imprimer - res://F:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://F:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://F:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://F:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - 
O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} - 
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - 
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - F:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Unknown owner - F:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - F:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - F:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - F:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - F:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: avast! Antivirus - ALWIL Software - F:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - F:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - F:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - F:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - F:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: NBService - Nero AG - F:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - F:\WINDOWS\System32
vsvc32.exe
O23 - Service: Remote Procedure Call (RPC) Monitoring (Rpcmon) - Unknown owner - F:\WINDOWS\System32\Rpcmon.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - F:\WINDOWS\system32\ZoneLabs\vsmon.exe

philae83 · Answer

bonjour,

Quand tu dis toutes applications fermées, comment je peux savoir s'il n'y a pas quelque part un programme en train de pédaler? Pour Internet, c'est un réseau WIFI local, après arrêt des programmes connus, je coupe le 220v du Modem Antenne...
Bon voilà, tu me diras. 
--

je parle d'applications ce sont celles que toi tu as ouvertes. Pour le reste on s'en moque.
pour le "HORS CONNEXION" laisse tomber

ensuite peux tu

relancer navilog1 et poster le rapport stp

faire un scan en ligne ? possible ?
* Fait un scan antivirus en ligne avec Internet Explorer
 https://www.bitdefender.fr/
et copie colle le résultat ici
* En bas, à gauche de la fenêtre, clique sur BitDefender SCAN ONLINE
* Dans la nouvelle fenêtre, clique sur I agree
* La fenêtre change encore, clique sur Click here to scan
* Les signatures se chargent, etc.

tuto en image

http://pageperso.aol.fr/rginformatique/mapage/defender.htm

Il n'y a jamais de raccourci vers les endroits qui en valent la peine - Beverley Sills
* Si je ne réponds pas de suite,  je ne vous ai pas oublié. Quand je commence un post, je termine :)

Roro 81 · Answer

Bonjour, merci pour tes derniers conseils. Search Navipromo version 3.3.2 commencé le 27/10/2007 à 22:10:59,59 Outil exécuté depuis F:\Program Files avilog1 Mise à jour le 22.10.2007 à 19h00 par IL-MAFIOSO Microsoft Windows XP [version 5.1.2600] Internet Explorer : 6.0.2800.1106 *** Recherche Programmes installés *** *** Recherche dossiers dans F:\WINDOWS *** *** Recherche dossiers dans F:\Program Files *** *** Recherche dossiers dans F:\Documents and Settings\All Users\Application Data *** *** Recherche dossiers dans F:\Documents and Settings\Administrateur\Application Data *** *** Recherche dossiers dans F:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 *** *** Recherche avec Catchme-rootkit/stealth malware detector par gmer *** pour + d'infos : http://www.gmer.net Aucun fichier trouvé dans : - F:\WINDOWS\system32 - F:\DOCUME~1\ADMINI~1\LOCALS~1\APPLIC~1 *** Recherche avec GenericNaviSearch *** !!! Tous ces résultats peuvent révéler des fichiers légitimes !!! !!! A vérifier impérativement avant toute suppression manuelle !!! * Recherche dans F:\WINDOWS\system32 * * Recherche dans F:\DOCUME~1\ADMINI~1\LOCALS~1\APPLIC~1 * Fichiers trouvés : qtwkpbfqs.exe trouvé ! *** Recherche fichiers *** *** Recherche clés spécifiques dans le Registre *** HKEY_CURRENT_USER\Software\Lanconfig trouvé ! *** Module de Recherche complémentaire *** (Recherche fichiers spécifiques) 1)Recherche fichiers connus: 2)Recherche Heuristique : F:\DOCUME~1\ADMINI~1\LOCALS~1\APPLIC~1\qtwkpbfqs.dat trouvé ! 3)Recherche Certificats : Certificat Egroup trouvé ! *** Analyse terminée le 27/10/2007 à 22:11:51,46 *** __________________________________________ __________________________________________ J'ai un peu souffert avec Bitdéfender mais bon (utiliser Internet explorer et pas Mozilla, ne pas oublier d'arrêter ZA qui bloque les échange de fichiers et Antivir car ils se mordent la queue). Et la version texte du rapport n'est pas terrible. Si j'ai bien compris, il a trouvé et supprimé les fichiers en quarantaine, sauf rrsxpfjcm.exe dans le Backup Navilog... BitDefender Online Scanner - Rapport virus en temps réel Généré à: Sun, Oct 28, 2007 - 09:01:06 ________________________________________ Info d'analyse Fichiers scannés 377106 Infectés Fichiers 49 Virus Détectés Trojan.Agent.AFNP 26 Trojan.Downloader.Zlob.AATQ 3 Trojan.TCPParams.C 1 Adware.Navipromo.BYT 3 Trojan.Downloader.Zlob.AATX 2 Trojan.Downloader.Zlob.AAUJ 7 Trojan.Reg.Windupdate.A 1 Trojan.Zlob.BVS 1 Trojan.Zlob.BVT 1 Win32.Msblast.A.damaged 4 Rapport Bitdefender texte! BitDefender Online Scanner - Rapport d'analyse

BitDefender Online Scanner

Rapport d'analyse généré à: Sun, Oct 28, 2007 - 08:57:31

Voie d'analyse: A:\;C:\;D:\;E:\;F:\;

Statistiques
Temps	11:08:32
Fichiers	367513
Directoires	9440
Secteurs de boot	4
Archives	3680
Paquets programmes	23470

Résultats
Virus identifiés	10
Fichiers infectés	49
Fichiers suspects	0
Avertissements	0
Désinfectés	0
Fichiers effacés	49

Info sur les moteurs
Définition virus	858442
Version des moteurs	AVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)
Analyse des plugins	14
Archive des plugins	38
Unpack des plugins	7
E-mail plugins	6
Système plugins	1

Paramètres d'analyse
Première action	Désinfecté
Seconde Action	Supprimé
Heuristique	Oui
Acceptez les avertissements	Oui
Extensions analysées	*;
Excludez les extensions
Analyse d'emails	Oui
Analyse des Archives	Oui
Analyser paquets programmes	Oui
Analyse des fichiers	Oui
Analyse de boot	Oui

Fichier analysé	Statut
C:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP37\A0010329.reg	Infecté par: Trojan.Reg.Windupdate.A
C:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP37\A0010329.reg	Echec de la désinfection
C:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP37\A0010329.reg	Supprimé
F:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\INFECTED\471a73ff.qua	Infecté par: Win32.Msblast.A.damaged
F:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\INFECTED\471a73ff.qua	Supprimé
F:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\INFECTED\472db427.qua	Infecté par: Win32.Msblast.A.damaged
F:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\INFECTED\472db427.qua	Supprimé
F:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\INFECTED\472eb411.qua	Infecté par: Win32.Msblast.A.damaged
F:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\INFECTED\472eb411.qua	Supprimé
F:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\INFECTED\472fb431.qua	Infecté par: Win32.Msblast.A.damaged
F:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\INFECTED\472fb431.qua	Supprimé
F:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\INFECTED\475cb153.qua	Infecté par: Trojan.TCPParams.C
F:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\INFECTED\475cb153.qua	Echec de la désinfection
F:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\INFECTED\475cb153.qua	Supprimé
F:\Program Files\Navilog1\Backupnavi rsxpfjcm.exe	Détecté avec: Adware.Navipromo.BYT
F:\Program Files\Navilog1\Backupnavi rsxpfjcm.exe	Echec de la désinfection
F:\Program Files\Navilog1\Backupnavi rsxpfjcm.exe	Supprimé
F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP317\A0075350.dll	Infecté par: Trojan.Agent.AFNP
F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP317\A0075350.dll	Echec de la désinfection
F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP317\A0075350.dll	Supprimé
F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP317\A0075352.exe	Infecté par: Trojan.Agent.AFNP
F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP317\A0075352.exe	Echec de la désinfection
F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP317\A0075352.exe	Supprimé
F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP317\A0075385.dll	Infecté par: Trojan.Agent.AFNP
F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP317\A0075385.dll	Echec de la désinfection
F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP317\A0075385.dll	Supprimé
F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP317\A0075388.exe	Infecté par: Trojan.Agent.AFNP
F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP317\A0075388.exe	Echec de la désinfection
F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP317\A0075388.exe	Supprimé
F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP317\A0075397.exe	Infecté par: Trojan.Downloader.Zlob.AAUJ
F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP317\A0075397.exe	Echec de la désinfection
F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP317\A0075397.exe	Supprimé
F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP317\A0075398.dll	Infecté par: Trojan.Agent.AFNP
F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP317\A0075398.dll	Echec de la désinfection
F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP317\A0075398.dll	Supprimé
F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP317\A0075399.exe	Infecté par: Trojan.Agent.AFNP
F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP317\A0075399.exe	Echec de la désinfection
F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP317\A0075399.exe	Supprimé
F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076398.dll	Infecté par: Trojan.Agent.AFNP
F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076398.dll	Echec de la désinfection
F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076398.dll	Supprimé
F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076400.exe	Infecté par: Trojan.Agent.AFNP
F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076400.exe	Echec de la désinfection
F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076400.exe	Supprimé
F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076433.dll	Infecté par: Trojan.Agent.AFNP
F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076433.dll	Echec de la désinfection
F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076433.dll	Supprimé
F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076435.exe	Infecté par: Trojan.Downloader.Zlob.AAUJ
F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076435.exe	Echec de la désinfection
F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076435.exe	Supprimé
F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076436.exe	Infecté par: Trojan.Agent.AFNP
F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076436.exe	Echec de la désinfection
F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076436.exe	Supprimé
F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076675.exe	Infecté par: Trojan.Downloader.Zlob.AAUJ
F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076675.exe	Echec de la désinfection
F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076675.exe	Supprimé
F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076676.dll	Infecté par: Trojan.Agent.AFNP
F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076676.dll	Echec de la désinfection
F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076676.dll	Supprimé
F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076677.exe	Infecté par: Trojan.Agent.AFNP
F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076677.exe	Echec de la désinfection
F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076677.exe	Supprimé
F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076759.dll	Infecté par: Trojan.Agent.AFNP
F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076759.dll	Echec de la désinfection
F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076759.dll	Supprimé
F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076760.exe	Infecté par: Trojan.Downloader.Zlob.AAUJ
F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076760.exe	Echec de la désinfection
F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076760.exe	Supprimé
F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076762.exe	Infecté par: Trojan.Agent.AFNP
F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076762.exe	Echec de la désinfection
F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076762.exe	Supprimé
F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076773.dll	Infecté par: Trojan.Agent.AFNP
F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076773.dll	Echec de la désinfection
F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076773.dll	Supprimé
F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076774.exe	Infecté par: Trojan.Downloader.Zlob.AAUJ
F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076774.exe	Echec de la désinfection
F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076774.exe	Supprimé
F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076775.exe	Infecté par: Trojan.Agent.AFNP
F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076775.exe	Echec de la désinfection
F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076775.exe	Supprimé
F:\System Volume Information\_restore{3B7801F4-A43B-4B4C-802E-B783738EC5CF}\RP318\A0076790.dll	Infecté par:

philae83 · Answer

tu reposteras également un nouveau rapport hijackthis stp

et

supprime manuellement après avoir affiché les fichiers et dossiers cachés

-démarrer

-poste de travail ou autre dossier

-menu outils

-options de dossier

-onglet affichage

puis

- activer la case : Afficher les fichiers et dossiers cachés

- désactiver la case : Masquer les extensions des fichiers dont le type est connu

- désactiver  la case : Masquer les fichier protégés du système d'exploitation

Puis  - Appliquer 

F:\DOCUMENTS 1 SETTINGS\ADMINISTRATEUR\LOCALSETTINGS\APPLICATION DATA\qtwkpbfqs.dat  !

Roro 81 · Answer

Bonsoir,
Je n'ai pu allumer le PC que ce soir et pendant les démarrages, Spybot m'a signalé trés exactement cette ligne comme voulant effectuer une modif, j'ai refusé la modif et maintenant il n'y plus ce "qtwkpbfqs.dat" dans le dossier.

Il n'y a après les dossiers que les fichiers suivants:
DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
fusioncache.dat
GDIPFONTCACHEV1.DAT
keyfile3.drm

Et voilà Hijackthis
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:40:07, on 28/10/2007
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Boot mode: Normal

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
F:\Program Files\Alwil Software\Avast4\ashServ.exe
F:\WINDOWS\Explorer.EXE
F:\Program Files\Microsoft Hardware\Mouse\point32.exe
F:\WINDOWS\SOUNDMAN.EXE
F:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
F:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
F:\WINDOWS\System32\ctfmon.exe
F:\Program Files\Messenger\msmsgs.exe
F:\Program Files\Philips Intelligent Agent\Philips Intelligent Agent.exe
F:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
F:\Program Files\Skype\Phone\Skype.exe
F:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
F:\Program Files\MSI\3D!Turbo Experience\3D!Turbo.exe
F:\WINDOWS\system32\spoolsv.exe
F:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
F:\Program Files\Mozilla Firefox\firefox.exe
F:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
F:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
F:\WINDOWS\System32\drivers\CDAC11BA.EXE
F:\WINDOWS\System32
vsvc32.exe
F:\WINDOWS\System32\svchost.exe
F:\Program Files\Skype\Plugin Manager\skypePM.exe
F:\Program Files\Alwil Software\Avast4\ashWebSv.exe
F:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
F:\WINDOWS\System32\ZoneLabs\vsmon.exe
F:\WINDOWS\System32\wuauclt.exe
F:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - F:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - F:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - F:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - F:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - F:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NVCLOCK] Rundll32 nvclock.dll,fnNvclock
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "F:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "F:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "F:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Microfost Windows update] kucwpwn.exe
O4 - HKCU\..\Run: [Philips Intelligent Agent] "F:\Program Files\Philips Intelligent Agent\Philips Intelligent Agent.exe" /SILENT
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "F:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Skype] "F:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] F:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: 3D!Turbo Experience.lnk = F:\Program Files\MSI\3D!Turbo Experience\3D!Turbo.exe
O4 - Global Startup: Accélérateur de démarrage AutoCAD.lnk = F:\Program Files\Fichiers communs\Autodesk Shared\acstart16.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://F:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Ajouter à la Liste à Imprimer - res://F:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://F:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://F:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://F:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - F:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - F:\WINDOWS\bdoscandel.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - 
O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} - 
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - 
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - F:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Unknown owner - F:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - F:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - F:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - F:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - F:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: avast! Antivirus - ALWIL Software - F:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - F:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - F:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - F:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - F:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: NBService - Nero AG - F:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - F:\WINDOWS\System32
vsvc32.exe
O23 - Service: Remote Procedure Call (RPC) Monitoring (Rpcmon) - Unknown owner - F:\WINDOWS\System32\Rpcmon.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - F:\WINDOWS\system32\ZoneLabs\vsmon.exe

philae83 · Answer

bonsoir


* lance hijackthis puis coche ces lignes

O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file) 
O4 - HKCU\..\Run: [Microfost Windows update] kucwpwn.exe 
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} -
O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} -
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - 

puis

* Copie les lignes de la citation suivante, d'un trait :

Files to Delete:
c:\windows\system32\kucwpwn.exe 

--> Clic droit / "copier"

Maintenant crée un nouveau document texte : clic droit de souris sur le bureau, "Nouveau" > "Document Texte".

* Ouvre-le et colle dedans ce que tu viens de copier précédemment
* Enregistre ce fichier sur ton bureau (nom : mad.txt)

* Télécharge à présent The Avenger
http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/

* Dézippe-le sur ton bureau et double-clique sur le fichier "avenger.exe"
* Clique sur "Ok"
* Sélectionne "Load Script from File" et clique sur l'icône en forme de dossier.
* Sélectionne le fichier mad.txt qui est sur ton bureau
* Clique sur le feu vert pour lancer le script
* Clique sur "Oui"
* Accepte de redémarrer ton pc

après le redémarrage :

* Ouvre le fichier C:\avenger.txt et copie/colle son contenu ici.

puis

 * Télécharge Catchme de Gmer :  sur le bureau
http://www2.gmer.net/catchme.exe
* Double clique sur le fichier catchme.exe pour le lancer, il ne nécessite pas d'installation.
Une fenêtre DOS va s'ouvrir, laisse travailler le scan qui dure quelques instants.
Quand tu vois scan completed successfully tu fermes la fenêtre par Entrée
Un rapport catchme.log sera créé, poste-le pour analyse des résultats.


ainsi qu'un nouveau Log HijackThis

Roro 81 · Answer

Bonsoir, voilà le résultat Avenger. Au redémarage, spybot a signalé des modifs du Registre Systeme starup user entry : valeur ajoutée qtwkpbfqs.exe et dans  Systeme starup global entry : acyghrau  F:\gghhfasc.bat que j'ai refusé.....


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\acpxfxlu

*******************

Script file located at: \??\F:\WINDOWS\System32\gcpiycyr.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at F:\Avenger

*******************

Beginning to process script file:



File c:\windows\system32\kucwpwn.exe not found!
Deletion of file c:\windows\system32\kucwpwn.exe failed!
Status: 0xc0000034

Completed script processing.

*******************

Finished!  Terminate.

_________________________

catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

F:\Documents and Settings\Administrateur\Local Settings\Application Data\qtwkpbfqs.dat 8192 bytes
F:\Documents and Settings\Administrateur\Local Settings\Application Data\qtwkpbfqs.exe 299008 bytes
F:\Documents and Settings\Administrateur\Local Settings\Application Data\qtwkpbfqs_navps.dat 296 bytes

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 3

___________________________________________


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:43:25, on 29/10/2007
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Boot mode: Normal

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
F:\WINDOWS\Explorer.EXE
F:\Program Files\Alwil Software\Avast4\ashServ.exe
F:\Program Files\Microsoft Hardware\Mouse\point32.exe
F:\WINDOWS\SOUNDMAN.EXE
F:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
F:\WINDOWS\System32\ctfmon.exe
F:\Program Files\Messenger\msmsgs.exe
F:\Program Files\Philips Intelligent Agent\Philips Intelligent Agent.exe
F:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
F:\Program Files\Skype\Phone\Skype.exe
F:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
F:\Program Files\MSI\3D!Turbo Experience\3D!Turbo.exe
F:\WINDOWS\system32\spoolsv.exe
F:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
F:\WINDOWS\system32
otepad.exe
F:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
F:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
F:\WINDOWS\System32\drivers\CDAC11BA.EXE
F:\WINDOWS\System32
vsvc32.exe
F:\WINDOWS\System32\svchost.exe
F:\Program Files\Skype\Plugin Manager\skypePM.exe
F:\Program Files\Alwil Software\Avast4\ashWebSv.exe
F:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
F:\WINDOWS\System32\wuauclt.exe
F:\Program Files\Mozilla Firefox\firefox.exe
F:\WINDOWS\system32\NOTEPAD.EXE
F:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - F:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - F:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - F:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - F:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - F:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NVCLOCK] Rundll32 nvclock.dll,fnNvclock
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "F:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "F:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [acyghrau] F:\gghhfasc.bat
O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "F:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Philips Intelligent Agent] "F:\Program Files\Philips Intelligent Agent\Philips Intelligent Agent.exe" /SILENT
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "F:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Skype] "F:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] F:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: 3D!Turbo Experience.lnk = F:\Program Files\MSI\3D!Turbo Experience\3D!Turbo.exe
O4 - Global Startup: Accélérateur de démarrage AutoCAD.lnk = F:\Program Files\Fichiers communs\Autodesk Shared\acstart16.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://F:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Ajouter à la Liste à Imprimer - res://F:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://F:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://F:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://F:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - F:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - F:\WINDOWS\bdoscandel.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - F:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Unknown owner - F:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - F:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - F:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - F:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - F:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: avast! Antivirus - ALWIL Software - F:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - F:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - F:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - F:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - F:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: NBService - Nero AG - F:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - F:\WINDOWS\System32
vsvc32.exe
O23 - Service: Remote Procedure Call (RPC) Monitoring (Rpcmon) - Unknown owner - F:\WINDOWS\System32\Rpcmon.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - F:\WINDOWS\system32\ZoneLabs\vsmon.exe

philae83 · Answer

bonsoir

ne part pas si vite, ce n'est pas terminé....

philae83 · Answer

re

* lance hijackthis, puis coche et fixe cette ligne

O4 - HKLM\..\Run: [acyghrau] F:\gghhfasc.bat 

puis

* Copie les lignes de la citation suivante, d'un trait :


Files to Delete:
F:\Documents and Settings\Administrateur\Local Settings\Application Data\qtwkpbfqs.dat
F:\Documents and Settings\Administrateur\Local Settings\Application Data\qtwkpbfqs.exe 
F:\Documents and Settings\Administrateur\Local Settings\Application Data\qtwkpbfqs_navps

--> Clic droit / "copier"
Maintenant crée un nouveau document texte : clic droit de souris sur le bureau, "Nouveau" > "Document Texte".

* Ouvre-le et colle dedans ce que tu viens de copier précédemment
* Enregistre ce fichier sur ton bureau (nom : mad.txt)
double-clique sur le fichier "avenger.exe"
* Clique sur "Ok"
* Sélectionne "Load Script from File" et clique sur l'icône en forme de dossier.
* Sélectionne le fichier mad.txt qui est sur ton bureau
* Clique sur le feu vert pour lancer le script
* Clique sur "Oui"
* Accepte de redémarrer ton pc

après le redémarrage :

* Ouvre le fichier C:\avenger.txt et copie/colle son contenu ici.
ainsi qu'un nouveau Log HijackThis

Roro 81 · Answer

Bonjour, c'est fait mais lors du redémarage, spybot a de nouveau signalé une modif qtwkpbfqs et une autre avec ndflnips.bat, je les ai refusées.

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services
hebbmen

*******************

Script file located at: \??\F:\WINDOWS\System32	pcxlpqk.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at F:\Avenger

*******************

Beginning to process script file:

File F:\Documents and Settings\Administrateur\Local Settings\Application Data\qtwkpbfqs.dat deleted successfully.
File F:\Documents and Settings\Administrateur\Local Settings\Application Data\qtwkpbfqs.exe deleted successfully.


File F:\Documents and Settings\Administrateur\Local Settings\Application Data\qtwkpbfqs_navps not found!
Deletion of file F:\Documents and Settings\Administrateur\Local Settings\Application Data\qtwkpbfqs_navps failed!

Could not process line:
F:\Documents and Settings\Administrateur\Local Settings\Application Data\qtwkpbfqs_navps
Status: 0xc0000034


Completed script processing.

*******************

Finished!  Terminate.

____________________

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:20:42, on 30/10/2007
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Boot mode: Normal

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\Explorer.EXE
F:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
F:\Program Files\Alwil Software\Avast4\ashServ.exe
F:\Program Files\Microsoft Hardware\Mouse\point32.exe
F:\WINDOWS\SOUNDMAN.EXE
F:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
F:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
F:\Program Files\QuickTime\qttask.exe
F:\WINDOWS\System32\ctfmon.exe
F:\Program Files\Messenger\msmsgs.exe
F:\Program Files\Philips Intelligent Agent\Philips Intelligent Agent.exe
F:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
F:\Program Files\Skype\Phone\Skype.exe
F:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
F:\Program Files\MSI\3D!Turbo Experience\3D!Turbo.exe
F:\WINDOWS\system32\spoolsv.exe
F:\WINDOWS\system32
otepad.exe
F:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
F:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
F:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
F:\WINDOWS\System32\drivers\CDAC11BA.EXE
F:\WINDOWS\System32
vsvc32.exe
F:\WINDOWS\System32\svchost.exe
F:\Program Files\Skype\Plugin Manager\skypePM.exe
F:\Program Files\Alwil Software\Avast4\ashWebSv.exe
F:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
F:\WINDOWS\system32\ZoneLabs\vsmon.exe
F:\WINDOWS\System32\wuauclt.exe
F:\Program Files\Mozilla Firefox\firefox.exe
F:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - F:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - F:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - F:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - F:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - F:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NVCLOCK] Rundll32 nvclock.dll,fnNvclock
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "F:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "F:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [QuickTime Task] "F:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ndflnips] F:\gwrdgmhb.bat
O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "F:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Philips Intelligent Agent] "F:\Program Files\Philips Intelligent Agent\Philips Intelligent Agent.exe" /SILENT
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "F:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Skype] "F:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] F:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: 3D!Turbo Experience.lnk = F:\Program Files\MSI\3D!Turbo Experience\3D!Turbo.exe
O4 - Global Startup: Accélérateur de démarrage AutoCAD.lnk = F:\Program Files\Fichiers communs\Autodesk Shared\acstart16.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://F:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Ajouter à la Liste à Imprimer - res://F:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://F:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://F:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://F:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - F:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - F:\WINDOWS\bdoscandel.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - F:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Unknown owner - F:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - F:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - F:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - F:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - F:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: avast! Antivirus - ALWIL Software - F:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - F:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - F:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - F:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - F:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: NBService - Nero AG - F:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - F:\WINDOWS\System32
vsvc32.exe
O23 - Service: Remote Procedure Call (RPC) Monitoring (Rpcmon) - Unknown owner - F:\WINDOWS\System32\Rpcmon.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - F:\WINDOWS\system32\ZoneLabs\vsmon.exe

philae83 · Answer

bonsoir

Bonjour, c'est fait mais lors du redémarage, spybot a de nouveau signalé une modif qtwkpbfqs et une autre avec ndflnips.bat, je les ai refusées. 

tout dépend ce que spybot te dit il faut bien lire ce qui est écrit avant de refuser ou d'accepter
si il te demande l'autorisation pour supprimer et que tu refuses, on n'arrive jamais à rien comprends tu ?

donc tu vas désactiver le résident de spybot dans ton systray (à côté de l'horloge) pour le moment

tu relances hijackthis puis tu coches puis tu cliques sur fix checked

O4 - HKLM\..\Run: [ndflnips] F:\gwrdgmhb.bat 

ensuite

* Copie les lignes de la citation suivante, d'un trait : 

Files to Delete:
F:\gwrdgmhb.bat 

--> Clic droit / "copier"
Maintenant crée un nouveau document texte : clic droit de souris sur le bureau, "Nouveau" > "Document Texte".

* Ouvre-le et colle dedans ce que tu viens de copier précédemment
* Enregistre ce fichier sur ton bureau (nom : mad.txt)
double-clique sur le fichier "avenger.exe"
* Clique sur "Ok"
* Sélectionne "Load Script from File" et clique sur l'icône en forme de dossier.
* Sélectionne le fichier mad.txt qui est sur ton bureau
* Clique sur le feu vert pour lancer le script
* Clique sur "Oui"
* Accepte de redémarrer ton pc

après le redémarrage :

* Ouvre le fichier C:\avenger.txt et copie/colle son contenu ici.
ainsi qu'un nouveau Log HijackThis



ensuite petite question je vois ce processus
F:\WINDOWS\System32\wuauclt.exe 
c'est les mises à jour automatique de windows. Comment se fait il qu'elles sont activées alors que ton XP n'est pas à jour ?

Roro 81 · Answer

Re bonsoir

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\kgylpqwa

*******************

Script file located at: \??\F:\Program Files\wcfsxwbk.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at F:\Avenger

*******************

Beginning to process script file:

File F:\gwrdgmhb.bat not found!
Deletion of file F:\gwrdgmhb.bat failed!

Could not process line:
F:\gwrdgmhb.bat
Status: 0xc0000034

Completed script processing.

*******************

Finished!  Terminate.

_____________________

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:35:44, on 30/10/2007
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Boot mode: Normal

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\Explorer.EXE
F:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
F:\Program Files\Alwil Software\Avast4\ashServ.exe
F:\Program Files\Microsoft Hardware\Mouse\point32.exe
F:\WINDOWS\SOUNDMAN.EXE
F:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
F:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
F:\Program Files\QuickTime\qttask.exe
F:\WINDOWS\System32\ctfmon.exe
F:\Program Files\Messenger\msmsgs.exe
F:\Program Files\Philips Intelligent Agent\Philips Intelligent Agent.exe
F:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
F:\Program Files\Skype\Phone\Skype.exe
F:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
F:\Program Files\MSI\3D!Turbo Experience\3D!Turbo.exe
F:\WINDOWS\system32\spoolsv.exe
F:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
F:\WINDOWS\system32
otepad.exe
F:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
F:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
F:\WINDOWS\System32\drivers\CDAC11BA.EXE
F:\WINDOWS\System32
vsvc32.exe
F:\WINDOWS\System32\svchost.exe
F:\Program Files\Skype\Plugin Manager\skypePM.exe
F:\Program Files\Alwil Software\Avast4\ashWebSv.exe
F:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
F:\WINDOWS\System32\ZoneLabs\vsmon.exe
F:\WINDOWS\System32\wuauclt.exe
F:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
F:\Program Files\Mozilla Firefox\firefox.exe
F:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - F:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - F:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - F:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - F:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - F:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NVCLOCK] Rundll32 nvclock.dll,fnNvclock
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "F:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "F:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [QuickTime Task] "F:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "F:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Philips Intelligent Agent] "F:\Program Files\Philips Intelligent Agent\Philips Intelligent Agent.exe" /SILENT
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "F:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Skype] "F:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] F:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: 3D!Turbo Experience.lnk = F:\Program Files\MSI\3D!Turbo Experience\3D!Turbo.exe
O4 - Global Startup: Accélérateur de démarrage AutoCAD.lnk = F:\Program Files\Fichiers communs\Autodesk Shared\acstart16.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://F:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Ajouter à la Liste à Imprimer - res://F:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://F:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://F:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://F:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - F:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - F:\WINDOWS\bdoscandel.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - F:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Unknown owner - F:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - F:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - F:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - F:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - F:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: avast! Antivirus - ALWIL Software - F:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - F:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - F:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - F:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - F:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: NBService - Nero AG - F:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - F:\WINDOWS\System32
vsvc32.exe
O23 - Service: Remote Procedure Call (RPC) Monitoring (Rpcmon) - Unknown owner - F:\WINDOWS\System32\Rpcmon.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - F:\WINDOWS\system32\ZoneLabs\vsmon.exe

philae83 · Answer

pour tes rapports c'est ok. Tout est rentré dans l'ordre maintenant je pense

pour les màj, le pack 2 correspond au SP2 et je te conseille vivement de mettre à jour rapidement, ton système est très vulnérable.

ensuite si tu n'as plus de soucis

    *  Lance OTmoveIT.
    * Clique sur CleanUp! (le programme va télécharger un fichier texte qui servira a nettoyer les programmes que l'on a téléchargé).
      NOTE : Normalement, ton firewall (parefeu) devrait te demander si OTmoveIT peut accéder a internet, Autorise le.
    * Une liste apparait dans la partie gauche d'OTmoveIT.
    * Un message apparait pour confirmer le nettoyage. Confirme.


puis

IMPORTANT

* démarrer-----------panneau de configuration------------système----------
onglet Restauration système-----------coche la case (Désactiver la restauration système)--------------
redémarre l'ordinateur
réactive la ensuite

* Pour améliorer la sécurité de ton PC prend quelques instants pour lire

CECI

Roro 81 · Answer

Bonsoir,
Il semble donc que je suis au bout de mes peines (au moins pour quelques temps). J'ai donc suivi tes derniers conseils et je viens consulter le site que tu m'as indiqué. C'est super et je comprends mieux quelques uns de mes ennuis.
Je vais essayer d'affiner tout ça et d'être un peu plus vigilant.
Encore mille fois merci pour ce coup de main efficace. J'espère ne pas avoir a t'embêter à nouveau mais cela a été un plaisir de converser avec toi.
Cordialement.

philae83 · Answer

bonsoir

j'espère qu'au moins cette infection va te faire prendre conscience des risques d'internet.
et j'espère que ce lien pourra t'aider.
tu peux aussi consulter ceci (sans prétention)

bon we prolongé (peut être)

Rrsxpfjcm.exe

25 réponses

Votre réponse

Newsletters