security toolbar impossible à supprimer Résolu/Fermé

Question

Bonjour,
j'ai une secutity toolbar qui s'est installée sur mon ordinateur
j'ai regardé les messages précédents, j'ai essayé tout ce qui était conseillé de faire
cette barre reste sur mon ordinateur, modifie mon fond d'écran et mon bureau et surtout autorise tout types de fenêtres 
merci de votre aide

g!rly · Answer

bonjour julie,

télécharges smitfraudfix :

En image :
http://siri.urz.free.fr/Fix/SmitfraudFix.php

tu doubles cliques sur smitfraudfix.cmd et tu choisi l option 1
cela vas générer un rapport.

Copie/colle le rapport sur le forum stp.

@+

julieforum · Answer

bonjour,
merci pour ta réponse
 voici mon rapport SmitFraudFix v2.250

Rapport fait à 16:29:43,87, 14/11/2007
Executé à partir de C:\Documents and Settings\Julie\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Picasa2\PicasaMediaDetector.exe
C:\Program Files\VoipBuster.com\VoipBuster\VoipBuster.exe
C:\Program Files\Insider\Insider.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\Delete_Me_Dummy_skuns.dat PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Julie


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Julie\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Julie\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Cisco Systems PCI Wireless LAN Adapter - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{F6306761-89FB-4DAD-88C0-0EA7171A6525}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{F6306761-89FB-4DAD-88C0-0EA7171A6525}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{F6306761-89FB-4DAD-88C0-0EA7171A6525}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

merci pour ton aide
julie

g!rly · Answer

de rien, 

de julie a julie le courrant devrait bien passer ;-)

Redémarre le PC en mode sans échec : tu tapotes sur la touche F8 de ton clavier (ou F5 ) dès le démarrage et tu choisis le mode sans échec)

- Ouvre le dossier "SmitfraudFix" et double clique sur "Smitfraudfix.cmd", choisit l 'option 2 et tu réponds oui à tout.

Enregistre le rapport puis Copie/colle le rapport sur le forum stp.

puis post un rapport hijack this stp :

Télécharge HijackThis version francaise ici : 

-> http://pchelpbordeaux.free.fr/logiciels.html

Tutoriel d´installation (images) :

-> http://pchelpbordeaux.free.fr/tuto.html

Tutoriel d´utilisation (video) :

-> http://pageperso.aol.fr/balltrap34/demohijack.htm

Post le rapport généré ici stp...

@+

julieforum · Answer

oui ça devrait bien se passer entre julie

voici le rapport 
SmitFraudFix v2.250

Rapport fait à 16:43:00,87, 14/11/2007
Executé à partir de C:\Documents and Settings\Julie\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts



»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found. 

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\WINDOWS\system32\Delete_Me_Dummy_skuns.dat supprimé

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{F6306761-89FB-4DAD-88C0-0EA7171A6525}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{F6306761-89FB-4DAD-88C0-0EA7171A6525}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{F6306761-89FB-4DAD-88C0-0EA7171A6525}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
 
Nettoyage terminé. 
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin


et le rapport hijacjthis
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:45:10, on 14/11/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Program Files\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O3 - Toolbar: Security Toolbar - {11A69AE4-FBED-4832-A2BF-45AF82825583} - C:\WINDOWS\System32\kaywndmy.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [doom 3d] doom3d.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NI.UGA6P_0001_N122M2210] "C:\DOCUME~1\Julie\LOCALS~1\Temp\mofugclq.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [b89925b5] rundll32.exe "C:\WINDOWS\System32\cgwfrjrt.dll",b
O4 - HKLM\..\RunServices: [doom 3d] doom3d.exe
O4 - HKCU\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe
O4 - HKCU\..\Run: [VoipBuster] "C:\Program Files\VoipBuster.com\VoipBuster\VoipBuster.exe" -nosplash -minimized
O4 - HKCU\..\Run: [Veoh] "C:\Program Files\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
O4 - HKCU\..\Run: [AdobeUpdater] C:\Program Files\Fichiers communs\Adobe\Updater5\AdobeUpdater.exe
O4 - HKCU\..\Run: [Insider] C:\Program Files\Insider\Insider.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/pr02/resources/MSNPUpld.cab
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - https://www.eset.com/
O16 - DPF: {5F8469B4-B055-49DD-83F7-62B522420ECC} (Facebook Photo Uploader Control) - http://upload.facebook.com/controls/FacebookPhotoUploader.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: DomainService - Unknown owner - C:\WINDOWS\System32\lcivskhp.exe (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

g!rly · Answer

c´est plus corcé que je ne l´avais imaginé, il y a d´autres infections...

Télécharge VundoFix.exe (par Atribune) sur ton Bureau.
http://www.atribune.org/ccount/click.php?id=4
* Double-clique VundoFix.exe afin de le lancer
* Clique sur le bouton Scan for Vundo
* Lorsque le scan est complété, clique sur le bouton Remove Vundo
* Une invite te demandera si tu veux supprimer les fichiers, clique YES
* Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
* Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK
* Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse

Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".

et repost un log hijackthis ,

julieforum · Answer

Bonjour,
J'ai fait comme tu m'as dit et le Vundoscan a duré plus de 12h. Résultat la barre security n'est plus présente, première victoire, mais mon ordi est toujours infecté par je ne sais quoi.

Voici les rapports 


Scan started at 17:11:32 14/11/2007

Listing files found while scanning....

C:\windows\system32\evjaijhc.dll
C:\WINDOWS\system32\jkklmnn.dll
C:\WINDOWS\system32\kaywndmy.dll
C:\windows\system32\vdckxege.dll

Beginning removal...

 Attempting to delete C:\windows\system32\evjaijhc.dll
C:\windows\system32\evjaijhc.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\jkklmnn.dll
C:\WINDOWS\system32\jkklmnn.dll Could not be deleted.

 Attempting to delete C:\WINDOWS\system32\kaywndmy.dll
C:\WINDOWS\system32\kaywndmy.dll Has been deleted!

 Attempting to delete C:\windows\system32\vdckxege.dll
C:\windows\system32\vdckxege.dll Has been deleted!

Performing Repairs to the registry.
Done!

VundoFix V6.6.1

Checking Java version...

Scan started at 16:03:46 15/11/2007

Listing files found while scanning....

No infected files were found.


Beginning removal...


puis le rapport hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:36:56, on 15/11/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Picasa2\PicasaMediaDetector.exe
C:\Program Files\VoipBuster.com\VoipBuster\VoipBuster.exe
C:\Program Files\Insider\Insider.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Program Files\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O3 - Toolbar: (no name) - {11A69AE4-FBED-4832-A2BF-45AF82825583} - (no file)
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [doom 3d] doom3d.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NI.UGA6P_0001_N122M2210] "C:\DOCUME~1\Julie\LOCALS~1\Temp\mofugclq.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [b89925b5] rundll32.exe "C:\WINDOWS\System32\snfloxuc.dll",b
O4 - HKLM\..\RunServices: [doom 3d] doom3d.exe
O4 - HKCU\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe
O4 - HKCU\..\Run: [VoipBuster] "C:\Program Files\VoipBuster.com\VoipBuster\VoipBuster.exe" -nosplash -minimized
O4 - HKCU\..\Run: [Veoh] "C:\Program Files\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
O4 - HKCU\..\Run: [AdobeUpdater] C:\Program Files\Fichiers communs\Adobe\Updater5\AdobeUpdater.exe
O4 - HKCU\..\Run: [Insider] C:\Program Files\Insider\Insider.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/pr02/resources/MSNPUpld.cab
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - https://www.eset.com/
O16 - DPF: {5F8469B4-B055-49DD-83F7-62B522420ECC} (Facebook Photo Uploader Control) - http://upload.facebook.com/controls/FacebookPhotoUploader.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: DomainService - Unknown owner - C:\WINDOWS\System32\lcivskhp.exe (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

g!rly · Answer

salut julie,

12 heures!!! o_Ö ?

Télécharge VirtumundoBegone sur le bureau:
http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe

Double clique ensuite sur VirtumundoBeGone.exe et suis les instructions.
Une fois terminé, redémarre et poste le rapport VBG.TXT créé sur le bureau dans ta prochaine réponse avec un nouveau rapport HijackThis.
Ne t'inquiète pas si tu vois un message Ecran bleu "Erreur fatale", c'est normal et attendu 

puis 

Télécharge combofix.exe (par sUBs) sur ton Bureau.

-> http://download.bleepingcomputer.com/sUBs/ComboFix.exe      

-> Double clique combofix.exe.
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse. 

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

@+

julieforum · Answer

la barre est revenue mais pas d'erreur fatale suite à VirtumondoBeGone voici les rapports [11/15/2007, 16:55:38] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\Julie\Bureau\VirtumundoBeGone.exe" ) [11/15/2007, 16:55:59] - Detected System Information: [11/15/2007, 16:55:59] - Windows Version: 5.1.2600, Service Pack 1 [11/15/2007, 16:55:59] - Current Username: Julie (Admin) [11/15/2007, 16:55:59] - Windows is in NORMAL mode. [11/15/2007, 16:56:00] - Searching for Browser Helper Objects: [11/15/2007, 16:56:00] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Aide pour le lien d'Adobe PDF Reader) [11/15/2007, 16:56:00] - BHO 2: {22BF413B-C6D2-4d91-82A9-A0F997BA588C} (Skype add-on (mastermind)) [11/15/2007, 16:56:00] - BHO 3: {4388D3AF-40EF-4B1B-873F-32D4CF14323F} () [11/15/2007, 16:56:00] - WARNING: BHO has no default name. Checking for Winlogon reference. [11/15/2007, 16:56:00] - Checking for HKLM\...\Winlogon\Notify\iiihg [11/15/2007, 16:56:00] - Key not found: HKLM\...\Winlogon\Notify\iiihg, continuing. [11/15/2007, 16:56:00] - BHO 4: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class) [11/15/2007, 16:56:00] - BHO 5: {AA58ED58-01DD-4d91-8333-CF10577473F7} (Google Toolbar Helper) [11/15/2007, 16:56:00] - BHO 6: {f7ee146d-7dda-4d57-9461-a285aac8f93a} () [11/15/2007, 16:56:00] - WARNING: BHO has no default name. Checking for Winlogon reference. [11/15/2007, 16:56:00] - Checking for HKLM\...\Winlogon\Notify\erytrjwy [11/15/2007, 16:56:00] - Key not found: HKLM\...\Winlogon\Notify\erytrjwy, continuing. [11/15/2007, 16:56:00] - Finished Searching Browser Helper Objects [11/15/2007, 16:56:00] - Finishing up... [11/15/2007, 16:56:00] - Nothing found! Exiting... puis celui de combofix ComboFix 07-11-08.1 - Julie 2007-11-15 17:00:23.1 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.1.1252.1.1036.18.50 [GMT 1:00] Running from: C:\Documents and Settings\Julie\Bureau\ComboFix.exe * Created a new restore point . Incapable d'obtenir les privilèges Système (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Documents and Settings\All Users\Menu Démarrer\Live Safety Center.lnk C:\Documents and Settings\All Users\Menu Démarrer\Online Security Guide.lnk C:\Documents and Settings\Julie\Bureau\internet.lnk C:\Documents and Settings\Julie\Bureau\Live Safety Center.lnk C:\Documents and Settings\Julie\Bureau\Online Security Guide.lnk C:\Documents and Settings\Julie\Favoris\Online Security Guide.lnk C:\Program Files\BestsellerAntivirus C:\Program Files\Fichiers communs\Yazzle1549OinUninstaller.exe C:\Program Files\inetget2 C:\Program Files\Insider C:\Program Files\Insider\Insider.exe C:\Program Files\Temporary C:\WINDOWS\~tmp1117.exe C:\WINDOWS\~tmp4561.exe C:\WINDOWS\~tmp9838.exe C:\WINDOWS\b122.exe C:\WINDOWS\b128.exe C:\WINDOWS\b147.exe C:\WINDOWS\cookies.ini C:\WINDOWS\system32\ghiii.bak1 C:\WINDOWS\system32\ghiii.bak2 C:\WINDOWS\system32\ghiii.ini C:\WINDOWS\System32\iiihg.dll C:\WINDOWS\system32\jkklmnn.dll C:\WINDOWS\system32\kaywndmy.dllbox C:\WINDOWS\system32\kkdsrngk.exe C:\WINDOWS\system32\ldcore.dll C:\WINDOWS\system32\ldinfo.ldr C:\WINDOWS\system32\msnav32.ax C:\WINDOWS\system32\winpfz32.sys C:\WINDOWS\system32\zxdnt3d.cfg . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\LEGACY_DOMAINSERVICE -------\DomainService ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-10-15 to 2007-11-15 )))))))))))))))))))))))))))))))))))) . 2007-11-15 17:00 145,984 --a------ C:\WINDOWS\system32\feobxpqc.dll 2007-11-15 17:00 145,984 --a------ C:\WINDOWS\system32\csyvoumr.dll 2007-11-15 16:58 51,200 --a------ C:\WINDOWS\NirCmd.exe 2007-11-15 16:34 81,984 --a------ C:\WINDOWS\system32\erytrjwy.dll 2007-11-15 16:31 85,056 --a------ C:\WINDOWS\system32\snfloxuc.dll 2007-11-15 16:18 71,232 --a------ C:\WINDOWS\system32 qdgwltx.exe 2007-11-14 17:11 d-------- C:\VundoFix Backups 2007-11-14 15:01 79,936 --a------ C:\WINDOWS\system32\phskqgjd.dll 2007-11-14 14:53 71,232 --a------ C:\WINDOWS\system32\qewngipd.exe 2007-11-10 17:49 79,936 --a------ C:\WINDOWS\system32\pyhnurow.dll 2007-11-10 17:46 71,232 --a------ C:\WINDOWS\system32\pbktwbwj.exe 2007-11-09 17:49 81,472 --a------ C:\WINDOWS\system32\fbhwftvp.dll 2007-11-09 17:44 71,232 --a------ C:\WINDOWS\system32 nobecpd.exe 2007-11-08 13:44 d-------- C:\Documents and Settings\Julie\logs 2007-11-08 02:29 d-------- C:\Program Files\Symantec 2007-11-08 02:29 d-------- C:\Program Files\Fichiers communs\Symantec Shared 2007-11-08 02:29 d-------- C:\Documents and Settings\All Users\Application Data\Symantec 2007-11-08 02:29 1,060,864 --a------ C:\WINDOWS\system32\MFC71.DLL 2007-11-08 02:29 503,808 --a------ C:\WINDOWS\system32\MSVCP71.DLL 2007-11-08 02:29 348,160 --a------ C:\WINDOWS\system32\MSVCR71.DLL 2007-11-07 14:27 d-------- C:\WINDOWS\system32\DRVSTORE 2007-11-07 14:27 d--h----- C:\WINDOWS\PIF 2007-11-07 14:27 d-------- C:\Documents and Settings\Julie\Application Data\Grisoft 2007-11-07 14:27 d-------- C:\Documents and Settings\All Users\Application Data\Kaspersky Lab Setup Files 2007-11-07 14:27 d-------- C:\Documents and Settings\All Users\Application Data\Grisoft 2007-11-07 05:34 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe 2007-11-07 05:34 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe 2007-11-07 05:34 53,248 --a------ C:\WINDOWS\system32\Process.exe 2007-11-07 05:34 51,200 --a------ C:\WINDOWS\system32\dumphive.exe 2007-11-07 05:34 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe 2007-11-07 05:34 3,468 --a------ C:\WINDOWS\system32 mp.reg 2007-11-07 05:25 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys 2007-11-07 04:54 d-------- C:\Program Files\Trend Micro 2007-11-07 02:12 79,936 --a------ C:\WINDOWS\system32\drnfvrvs.dll 2007-11-07 02:09 86,080 --a------ C:\WINDOWS\system32\kkjcclro.dll 2007-11-06 17:04 d-------- C:\WINDOWS\pss 2007-11-06 16:50 d-------- C:\Documents and Settings\Julie\Application Data\Leadertech 2007-11-06 14:03 196,682 --a------ C:\WINDOWS\system32 winlldq.exe 2007-11-06 14:02 d-------- C:\Program Files\SpyGuardPro 2007-11-06 14:02 89,088 --a------ C:\WINDOWS\system32\atl71.dll 2007-11-06 14:02 24,064 --a------ C:\WINDOWS\system32\msxml3a.dll 2007-10-21 00:43 d-------- C:\Documents and Settings\Julie\Application Data\Apple Computer 2007-10-21 00:42 d-------- C:\Program Files\iTunes 2007-10-21 00:42 d-------- C:\Program Files\iPod 2007-10-21 00:40 d-------- C:\Program Files\QuickTime 2007-10-21 00:40 d-------- C:\Documents and Settings\All Users\Application Data\Apple Computer 2007-10-21 00:39 d-------- C:\Program Files\Apple Software Update 2007-10-21 00:39 d-------- C:\Documents and Settings\All Users\Application Data\Apple 2007-10-17 00:13 d-------- C:\Program Files\InstallShield Installation Information 2007-10-17 00:12 d-------- C:\Program Files\Veoh Networks . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2007-11-14 15:41 332 ----a-w C:\WINDOWS\system32\drivers\fwdrv.err 2007-11-07 13:27 --------- d-----w C:\Program Files\eMule 2007-11-07 13:27 --------- d-----w C:\Documents and Settings\All Users\Application Data\Kodak 2007-11-07 13:26 --------- d-----w C:\Program Files\Fichiers communs\Adobe 2007-11-06 15:58 --------- d-----w C:\Program Files\Kodak 2007-11-06 15:09 --------- d-----w C:\Documents and Settings\Julie\Application Data\Skype 2007-11-01 18:07 --------- d-----w C:\Program Files\Picasa2 2007-10-25 17:05 94,416 ----a-w C:\WINDOWS\system32\drivers\aswmon2.sys 2007-10-25 17:05 93,264 ----a-w C:\WINDOWS\system32\drivers\aswmon.sys 2007-10-25 17:03 23,152 ----a-w C:\WINDOWS\system32\drivers\aswRdr.sys 2007-10-25 17:01 42,912 ----a-w C:\WINDOWS\system32\drivers\aswTdi.sys 2007-10-25 16:58 26,624 ----a-w C:\WINDOWS\system32\drivers\aavmker4.sys 2007-10-25 16:24 815,480 ----a-w C:\WINDOWS\system32\aswBoot.exe 2007-10-25 16:14 95,608 ----a-w C:\WINDOWS\system32\AVASTSS.scr 2007-10-12 01:03 --------- d-----w C:\Documents and Settings\Julie\Application Data\Move Networks 2007-09-23 18:39 --------- d-----w C:\Documents and Settings\Julie\Application Data\VoipBuster 2007-09-23 18:33 --------- d-----w C:\Program Files\VoipBuster.com 2007-09-20 14:53 --------- d-----w C:\Program Files\Fichiers communs\Skype 2007-09-16 11:57 --------- d-----w C:\Program Files\Google 2007-05-28 09:00 19,016 ----a-w C:\Documents and Settings\Julie\Application Data\GDIPFONTCACHEV1.DAT . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A95B2816-1D7E-4561-A202-68C0DE02353A}] 2007-11-15 17:00 145984 --a------ C:\WINDOWS\system32\csyvoumr.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{f7ee146d-7dda-4d57-9461-a285aac8f93a}] 2007-11-15 16:34 81984 --a------ C:\WINDOWS\System32\erytrjwy.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] "{11A69AE4-FBED-4832-A2BF-45AF82825583}"= C:\WINDOWS\system32\csyvoumr.dll [2007-11-15 17:00 145984] [HKEY_CLASSES_ROOT\CLSID\{11A69AE4-FBED-4832-A2BF-45AF82825583}] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] "{11A69AE4-FBED-4832-A2BF-45AF82825583}"= C:\WINDOWS\system32\csyvoumr.dll [2007-11-15 17:00 145984] [HKEY_CLASSES_ROOT\CLSID\{11A69AE4-FBED-4832-A2BF-45AF82825583}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-10-25 17:20] "WinampAgent"="C:\Program Files\Winamp\winampa.exe" [2006-06-21 18:14] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 09:50] "AGRSMMSG"="AGRSMMSG.exe" [2003-06-27 07:53 C:\WINDOWS\AGRSMMSG.exe] "Adobe Photo Downloader"="C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe" [] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 02:43] "doom 3d"="doom3d.exe" [] "Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 02:06] "QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-06-29 05:24] "iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2007-09-26 13:42] "!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 10:25] "b89925b5"="C:\WINDOWS\System32\snfloxuc.dll" [2007-11-15 16:31] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Picasa Media Detector"="C:\Program Files\Picasa2\PicasaMediaDetector.exe" [2007-10-23 22:18] "VoipBuster"="C:\Program Files\VoipBuster.com\VoipBuster\VoipBuster.exe" [2007-06-21 11:26] "Veoh"="C:\Program Files\Veoh Networks\Veoh\VeohClient.exe" [2007-10-17 00:29] "AdobeUpdater"="C:\Program Files\Fichiers communs\Adobe\Updater5\AdobeUpdater.exe" [2007-03-01 09:37] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion unservices] "doom 3d"=doom3d.exe [HKEY_USERS\.default\software\microsoft\windows\currentversion un] "Picasa Media Detector"=C:\Program Files\Picasa2\PicasaMediaDetector.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system] "DisableRegistryTools"=0 (0x0) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon otify\csyvoumr] csyvoumr.dll 2007-11-15 17:00 145984 C:\WINDOWS\system32\csyvoumr.dll [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] "Authentication Packages"= msv1_0 C:\WINDOWS\System32\iiihg.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^Julie^Menu Démarrer^Programmes^Démarrage^TA_Start.lnk] path=C:\Documents and Settings\Julie\Menu Démarrer\Programmes\Démarrage\TA_Start.lnk backup=C:\WINDOWS\pss\TA_Start.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^Julie^Menu Démarrer^Programmes^Démarrage^Think-Adz.lnk] path=C:\Documents and Settings\Julie\Menu Démarrer\Programmes\Démarrage\Think-Adz.lnk backup=C:\WINDOWS\pss\Think-Adz.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\b89925b5] rundll32.exe "C:\WINDOWS\System32\kkjcclro.dll",b [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BitTorrent] "C:\Program Files\BitTorrent\bittorrent.exe" --force_start_minimized [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ExploreUpdSched] C:\WINDOWS\System32 winlldq.exe CHD001 [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg unner1] C:\WINDOWS\mrofinu77.exe 61A847B5BBF72815358B2B27128065E9C084320161C4661227A755E9C2933154389A [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinAble] C:\Program Files\WinAble\winable.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\{92-25-51-1A-ZN}] C:\windows\system32\kkdsrngk.exe CHD001 R1 fwdrv;Firewall Driver;C:\WINDOWS\System32\drivers\fwdrv.sys R1 khips;Kerio HIPS Driver;C:\WINDOWS\System32\drivers\khips.sys R3 PCX504;Cisco Systems Wireless LAN Adapter Driver;C:\WINDOWS\System32\DRIVERS\PCX504.sys S3 PCASp50;PCASp50 NDIS Protocol Driver;C:\WINDOWS\System32\Drivers\PCASp50.sys . Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es' "2007-11-03 15:45:10 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job" - C:\Program Files\Apple Software Update\SoftwareUpdate.exe . ************************************************************************** catchme 0.3.1250 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-11-15 17:10:53 Windows 5.1.2600 Service Pack 1 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** . Completion time: 2007-11-15 17:18:45 - machine was rebooted . --- E O F --- j'ai plein de bulles qui apparaissent et me demandent de telecharger un anti spyware encore merci

g!rly · Answer

re,

Télécharge BTFix de Bibi26
http://cluster1.easy-hebergement.net/
Dézippe l'archive sur ton Bureau.
Ouvre le dossier BTFix.
Double clique sur BTFix.exe.
Clique sur Rechercher.
Un rapport va apparaître, copie/colle-le dans ta prochaine réponse.

julieforum · Answer

voici le rapport, je comprend pas bien pourquoi il ne trouve rien

BTFix 1.060 (par bibi26) - 15/11/2007 17:34:09 - Analyse
Lancé depuis C:\Documents and Settings\Julie\Bureau\BTFix\BTFix\BTFix.exe

---> Fichiers/Dossiers trouvés


---> Analyse terminée

g!rly · Answer

ok

Fais un clic droit sur ce lien :
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).

Laisse-toi guider. Au menu principal, choisis 1 et valides.
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)

Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le blocnote va s'ouvrir.
Copie-colle l'intégralité dans une réponse. Referme le blocnote.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

julieforum · Answer

voici le rapport

Search Navipromo version 3.3.6 commencé le 15/11/2007 à 17:39:42,87

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files
avilog1
Mise à jour le 14.11.2007 à 18h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2800.1106 


*** Recherche Programmes installés ***




*** Recherche dossiers dans C:\WINDOWS ***



*** Recherche dossiers dans C:\Program Files ***



*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




*** Recherche dossiers dans C:\Documents and Settings\Julie\Application Data ***


*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun fichier trouvé dans :

- C:\WINDOWS\system32
- C:\DOCUME~1\JULIE\LOCALS~1\APPLIC~1



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans C:\WINDOWS\system32 *

* Recherche dans C:\DOCUME~1\JULIE\LOCALS~1\APPLIC~1 *



*** Recherche fichiers *** 




*** Recherche clés spécifiques dans le Registre ***


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:

2)Recherche Heuristique :



3)Recherche Certificats :

Certificat Egroup absent !


*** Analyse terminée le 15/11/2007 à 17:40:27,98 ***

g!rly · Answer

bon

peux tu reposter un hijack this stp

julieforum · Answer

voila

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:47:14, on 15/11/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Picasa2\PicasaMediaDetector.exe
C:\Program Files\VoipBuster.com\VoipBuster\VoipBuster.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (file missing)
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {A95B2816-1D7E-4561-A202-68C0DE02353A} - C:\WINDOWS\system32\csyvoumr.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: {a39f8caa-582a-1649-75d4-add7d641ee7f} - {f7ee146d-7dda-4d57-9461-a285aac8f93a} - C:\WINDOWS\System32\erytrjwy.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Program Files\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O3 - Toolbar: Security Toolbar - {11A69AE4-FBED-4832-A2BF-45AF82825583} - C:\WINDOWS\system32\csyvoumr.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [doom 3d] doom3d.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [b89925b5] rundll32.exe "C:\WINDOWS\System32\snfloxuc.dll",b
O4 - HKLM\..\RunServices: [doom 3d] doom3d.exe
O4 - HKCU\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe
O4 - HKCU\..\Run: [VoipBuster] "C:\Program Files\VoipBuster.com\VoipBuster\VoipBuster.exe" -nosplash -minimized
O4 - HKCU\..\Run: [Veoh] "C:\Program Files\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
O4 - HKCU\..\Run: [AdobeUpdater] C:\Program Files\Fichiers communs\Adobe\Updater5\AdobeUpdater.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/pr02/resources/MSNPUpld.cab
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - https://www.eset.com/
O16 - DPF: {5F8469B4-B055-49DD-83F7-62B522420ECC} (Facebook Photo Uploader Control) - http://upload.facebook.com/controls/FacebookPhotoUploader.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: csyvoumr - C:\WINDOWS\SYSTEM32\csyvoumr.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

g!rly · Answer

re,

tu peux supprimer navilog et btfix

Télécharge OTMoveIt http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe (de Old_Timer) sur ton Bureau.
double-click sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.

    Citation :
    
C:\WINDOWS\System32\snfloxuc.dll
C:\WINDOWS\system32\doom3d.exe

Click sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
click sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.
Ps : il te sera peut-être demander de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.
http://img137.imageshack.us/img137/3558/refaitjk8.th.jpg

* Relance Vundofix
* Ne clique pas sur "Scan for a vundo"
* Clique droit au milieu de la fenêtre
* Clique sur Add more files ?
* Copie/colle les fichiers ci-dessous ( un par case) :

C:\WINDOWS\System32\csyvoumr.dll
C:\WINDOWS\System32\erytrjwy.dll


* Clique sur Add files
* Ensuite clique sur Close Windows
* Enfin, clique sur Remove Vundo ( les fichiers précédents doivent apparaitre dans la fenêtre principale)
* Si l'outils demande un redémarrage, accepte
* Poste le rapport Vundofix

post  les deux rapports stp

avec un nouveau hijack this

julieforum · Answer

voici les 3 rapports

DllUnregisterServer procedure not found in C:\WINDOWS\System32\snfloxuc.dll
C:\WINDOWS\System32\snfloxuc.dll NOT unregistered.
C:\WINDOWS\System32\snfloxuc.dll moved successfully.
File/Folder C:\WINDOWS\system32\doom3d.exe not found.
 
Created on 11/15/2007 17:57:32



VundoFix V6.6.1

Checking Java version...

Scan started at 16:03:46 15/11/2007

Listing files found while scanning....

No infected files were found.


Beginning removal...

Beginning removal...

 Attempting to delete C:\WINDOWS\System32\csyvoumr.dll 
C:\WINDOWS\System32\csyvoumr.dll  Has been deleted!

 Attempting to delete C:\WINDOWS\System32\erytrjwy.dll 
C:\WINDOWS\System32\erytrjwy.dll  Has been deleted!

Performing Repairs to the registry.
Done!


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:10:52, on 15/11/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Picasa2\PicasaMediaDetector.exe
C:\Program Files\VoipBuster.com\VoipBuster\VoipBuster.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\internet explorer\iexplore.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (file missing)
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: {a39f8caa-582a-1649-75d4-add7d641ee7f} - {f7ee146d-7dda-4d57-9461-a285aac8f93a} - C:\WINDOWS\System32\erytrjwy.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Program Files\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O3 - Toolbar: (no name) - {11A69AE4-FBED-4832-A2BF-45AF82825583} - (no file)
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [doom 3d] doom3d.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [b89925b5] rundll32.exe "C:\WINDOWS\System32\snfloxuc.dll",b
O4 - HKLM\..\RunServices: [doom 3d] doom3d.exe
O4 - HKCU\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe
O4 - HKCU\..\Run: [VoipBuster] "C:\Program Files\VoipBuster.com\VoipBuster\VoipBuster.exe" -nosplash -minimized
O4 - HKCU\..\Run: [Veoh] "C:\Program Files\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
O4 - HKCU\..\Run: [AdobeUpdater] C:\Program Files\Fichiers communs\Adobe\Updater5\AdobeUpdater.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/pr02/resources/MSNPUpld.cab
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - https://www.eset.com/
O16 - DPF: {5F8469B4-B055-49DD-83F7-62B522420ECC} (Facebook Photo Uploader Control) - http://upload.facebook.com/controls/FacebookPhotoUploader.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

g!rly · Answer

peux tu refaire combofix

> Double clique combofix.exe.
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

julieforum · Answer

voici le rapport, apparemment plus de security toolbar ni de fenetres intempestives, ça a l'air d'être bon dis moi ce que tu en penses en voyant le rapport merci ComboFix 07-11-08.1 - Julie 2007-11-15 18:58:28.2 - NTFSx86 Running from: C:\Documents and Settings\Julie\Bureau\ComboFix.exe . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Documents and Settings\All Users\Menu Démarrer\Live Safety Center.lnk C:\Documents and Settings\All Users\Menu Démarrer\Online Security Guide.lnk C:\Documents and Settings\Julie\Bureau\Live Safety Center.lnk C:\Documents and Settings\Julie\Bureau\Online Security Guide.lnk C:\Documents and Settings\Julie\Favoris\Online Security Guide.lnk C:\WINDOWS\system32\csyvoumr.dllbox . ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-10-15 to 2007-11-15 )))))))))))))))))))))))))))))))))))) . 2007-11-15 17:00 145,984 --a------ C:\WINDOWS\system32\feobxpqc.dll 2007-11-15 16:58 51,200 --a------ C:\WINDOWS\NirCmd.exe 2007-11-15 16:18 71,232 --a------ C:\WINDOWS\system32 qdgwltx.exe 2007-11-14 17:11 d-------- C:\VundoFix Backups 2007-11-14 15:01 79,936 --a------ C:\WINDOWS\system32\phskqgjd.dll 2007-11-14 14:53 71,232 --a------ C:\WINDOWS\system32\qewngipd.exe 2007-11-10 17:49 79,936 --a------ C:\WINDOWS\system32\pyhnurow.dll 2007-11-10 17:46 71,232 --a------ C:\WINDOWS\system32\pbktwbwj.exe 2007-11-09 17:49 81,472 --a------ C:\WINDOWS\system32\fbhwftvp.dll 2007-11-09 17:44 71,232 --a------ C:\WINDOWS\system32 nobecpd.exe 2007-11-08 13:44 d-------- C:\Documents and Settings\Julie\logs 2007-11-08 02:29 d-------- C:\Program Files\Symantec 2007-11-08 02:29 d-------- C:\Program Files\Fichiers communs\Symantec Shared 2007-11-08 02:29 d-------- C:\Documents and Settings\All Users\Application Data\Symantec 2007-11-08 02:29 1,060,864 --a------ C:\WINDOWS\system32\MFC71.DLL 2007-11-08 02:29 503,808 --a------ C:\WINDOWS\system32\MSVCP71.DLL 2007-11-08 02:29 348,160 --a------ C:\WINDOWS\system32\MSVCR71.DLL 2007-11-07 14:27 d-------- C:\WINDOWS\system32\DRVSTORE 2007-11-07 14:27 d--h----- C:\WINDOWS\PIF 2007-11-07 14:27 d-------- C:\Documents and Settings\Julie\Application Data\Grisoft 2007-11-07 14:27 d-------- C:\Documents and Settings\All Users\Application Data\Kaspersky Lab Setup Files 2007-11-07 14:27 d-------- C:\Documents and Settings\All Users\Application Data\Grisoft 2007-11-07 05:34 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe 2007-11-07 05:34 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe 2007-11-07 05:34 51,200 --a------ C:\WINDOWS\system32\dumphive.exe 2007-11-07 05:34 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe 2007-11-07 05:34 3,468 --a------ C:\WINDOWS\system32 mp.reg 2007-11-07 05:25 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys 2007-11-07 04:54 d-------- C:\Program Files\Trend Micro 2007-11-07 02:12 79,936 --a------ C:\WINDOWS\system32\drnfvrvs.dll 2007-11-07 02:09 86,080 --a------ C:\WINDOWS\system32\kkjcclro.dll 2007-11-06 17:04 d-------- C:\WINDOWS\pss 2007-11-06 16:50 d-------- C:\Documents and Settings\Julie\Application Data\Leadertech 2007-11-06 14:03 196,682 --a------ C:\WINDOWS\system32 winlldq.exe 2007-11-06 14:02 d-------- C:\Program Files\SpyGuardPro 2007-11-06 14:02 89,088 --a------ C:\WINDOWS\system32\atl71.dll 2007-11-06 14:02 24,064 --a------ C:\WINDOWS\system32\msxml3a.dll 2007-10-21 00:43 d-------- C:\Documents and Settings\Julie\Application Data\Apple Computer 2007-10-21 00:42 d-------- C:\Program Files\iTunes 2007-10-21 00:42 d-------- C:\Program Files\iPod 2007-10-21 00:40 d-------- C:\Program Files\QuickTime 2007-10-21 00:40 d-------- C:\Documents and Settings\All Users\Application Data\Apple Computer 2007-10-21 00:39 d-------- C:\Program Files\Apple Software Update 2007-10-21 00:39 d-------- C:\Documents and Settings\All Users\Application Data\Apple 2007-10-17 00:13 d-------- C:\Program Files\InstallShield Installation Information 2007-10-17 00:12 d-------- C:\Program Files\Veoh Networks . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2007-11-14 15:41 332 ----a-w C:\WINDOWS\system32\drivers\fwdrv.err 2007-11-07 13:27 --------- d-----w C:\Program Files\eMule 2007-11-07 13:27 --------- d-----w C:\Documents and Settings\All Users\Application Data\Kodak 2007-11-07 13:26 --------- d-----w C:\Program Files\Fichiers communs\Adobe 2007-11-06 15:58 --------- d-----w C:\Program Files\Kodak 2007-11-06 15:09 --------- d-----w C:\Documents and Settings\Julie\Application Data\Skype 2007-11-01 18:07 --------- d-----w C:\Program Files\Picasa2 2007-10-25 17:05 94,416 ----a-w C:\WINDOWS\system32\drivers\aswmon2.sys 2007-10-25 17:05 93,264 ----a-w C:\WINDOWS\system32\drivers\aswmon.sys 2007-10-25 17:03 23,152 ----a-w C:\WINDOWS\system32\drivers\aswRdr.sys 2007-10-25 17:01 42,912 ----a-w C:\WINDOWS\system32\drivers\aswTdi.sys 2007-10-25 16:58 26,624 ----a-w C:\WINDOWS\system32\drivers\aavmker4.sys 2007-10-12 01:03 --------- d-----w C:\Documents and Settings\Julie\Application Data\Move Networks 2007-09-23 18:39 --------- d-----w C:\Documents and Settings\Julie\Application Data\VoipBuster 2007-09-23 18:33 --------- d-----w C:\Program Files\VoipBuster.com 2007-09-20 14:53 --------- d-----w C:\Program Files\Fichiers communs\Skype 2007-09-16 11:57 --------- d-----w C:\Program Files\Google 2007-05-28 09:00 19,016 ----a-w C:\Documents and Settings\Julie\Application Data\GDIPFONTCACHEV1.DAT . ((((((((((((((((((((((((((((( snapshot@2007-11-15_17.16.18.66 ))))))))))))))))))))))))))))))))))))))))) . - 2007-10-29 12:20:18 40,326 ----a-w C:\WINDOWS\system32\perfc009.dat + 2007-11-15 16:21:09 40,326 ----a-w C:\WINDOWS\system32\perfc009.dat - 2007-10-29 12:20:18 49,054 ----a-w C:\WINDOWS\system32\perfc00C.dat + 2007-11-15 16:21:10 49,054 ----a-w C:\WINDOWS\system32\perfc00C.dat - 2007-10-29 12:20:18 311,938 ----a-w C:\WINDOWS\system32\perfh009.dat + 2007-11-15 16:21:10 311,938 ----a-w C:\WINDOWS\system32\perfh009.dat - 2007-10-29 12:20:18 368,314 ----a-w C:\WINDOWS\system32\perfh00C.dat + 2007-11-15 16:21:10 368,314 ----a-w C:\WINDOWS\system32\perfh00C.dat + 2007-11-15 18:04:19 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_77c.dat . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{f7ee146d-7dda-4d57-9461-a285aac8f93a}] C:\WINDOWS\System32\erytrjwy.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-10-25 17:20] "WinampAgent"="C:\Program Files\Winamp\winampa.exe" [2006-06-21 18:14] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 09:50] "AGRSMMSG"="AGRSMMSG.exe" [2003-06-27 07:53 C:\WINDOWS\AGRSMMSG.exe] "Adobe Photo Downloader"="C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe" [] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 02:43] "doom 3d"="doom3d.exe" [] "Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 02:06] "QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-06-29 05:24] "iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2007-09-26 13:42] "!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 10:25] "b89925b5"="C:\WINDOWS\System32\snfloxuc.dll" [] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Picasa Media Detector"="C:\Program Files\Picasa2\PicasaMediaDetector.exe" [2007-10-23 22:18] "VoipBuster"="C:\Program Files\VoipBuster.com\VoipBuster\VoipBuster.exe" [2007-06-21 11:26] "Veoh"="C:\Program Files\Veoh Networks\Veoh\VeohClient.exe" [2007-10-17 00:29] "AdobeUpdater"="C:\Program Files\Fichiers communs\Adobe\Updater5\AdobeUpdater.exe" [2007-03-01 09:37] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion unservices] "doom 3d"=doom3d.exe [HKEY_USERS\.default\software\microsoft\windows\currentversion un] "Picasa Media Detector"=C:\Program Files\Picasa2\PicasaMediaDetector.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^Julie^Menu Démarrer^Programmes^Démarrage^TA_Start.lnk] path=C:\Documents and Settings\Julie\Menu Démarrer\Programmes\Démarrage\TA_Start.lnk backup=C:\WINDOWS\pss\TA_Start.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^Julie^Menu Démarrer^Programmes^Démarrage^Think-Adz.lnk] path=C:\Documents and Settings\Julie\Menu Démarrer\Programmes\Démarrage\Think-Adz.lnk backup=C:\WINDOWS\pss\Think-Adz.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\b89925b5] rundll32.exe "C:\WINDOWS\System32\kkjcclro.dll",b [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BitTorrent] "C:\Program Files\BitTorrent\bittorrent.exe" --force_start_minimized [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ExploreUpdSched] C:\WINDOWS\System32 winlldq.exe CHD001 [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg unner1] C:\WINDOWS\mrofinu77.exe 61A847B5BBF72815358B2B27128065E9C084320161C4661227A755E9C2933154389A [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinAble] C:\Program Files\WinAble\winable.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\{92-25-51-1A-ZN}] C:\windows\system32\kkdsrngk.exe CHD001 R1 fwdrv;Firewall Driver;C:\WINDOWS\System32\drivers\fwdrv.sys R1 khips;Kerio HIPS Driver;C:\WINDOWS\System32\drivers\khips.sys R3 PCX504;Cisco Systems Wireless LAN Adapter Driver;C:\WINDOWS\System32\DRIVERS\PCX504.sys S3 PCASp50;PCASp50 NDIS Protocol Driver;C:\WINDOWS\System32\Drivers\PCASp50.sys . Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es' "2007-11-03 15:45:10 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job" - C:\Program Files\Apple Software Update\SoftwareUpdate.exe . ************************************************************************** catchme 0.3.1250 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-11-15 19:04:55 Windows 5.1.2600 Service Pack 1 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... ************************************************************************** . Completion time: 2007-11-15 19:10:50 - machine was rebooted C:\ComboFix2.txt ... 2007-11-15 17:18 . --- E O F ---

g!rly · Answer

re,

Fix.reg

Ouvre le bloc-notes (click droit sur le bureau > dans l´arborescence choisie nouveau et nouveau fichier texte) et fais un copier coller de ce qui est en citation ci-dessous (copie tout d'un trait-sans les barres) :
_______________________________________________________________________________________________________________
REGEDIT4

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{f7ee146d-7dda-4d57-9461-a285aac8f93a}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"doom 3d"=-
"b89925b5"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices]
"doom 3d"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\b89925b5]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\runner1]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\{92-25-51-1A-ZN}]
_______________________________________________________________________________________________________________

Puis click sur "fichier"/"enregistrer sous" :
dans : sur le bureau
Nom du fichier : fix.reg
Type de fichier : "tous les fichiers"
clique sur "enregistrer"

ca doit ressembler a ca une fois enrregistré :

http://img520.imageshack.us/img520/4251/screenshot005ps2.png

quitte internet et double clique sur fix.reg => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"
Si c'est bien le cas, clique sur "oui"

puis 

double-click sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.

    Citation :
    
C:\WINDOWS\System32\kkjcclro.dll
C:\WINDOWS\System32\rwinlldq.exe
C:\WINDOWS\mrofinu77.exe
C:\windows\system32\kkdsrngk.exe

Click sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
click sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.
Ps : il te sera peut-être demander de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.
http://img137.imageshack.us/img137/3558/refaitjk8.th.jpg

post  le rapport d´ot_move it et repost un nouveau combofix stp

julieforum · Answer

voici les deux rapports merci DllUnregisterServer procedure not found in C:\WINDOWS\System32\kkjcclro.dll C:\WINDOWS\System32\kkjcclro.dll NOT unregistered. C:\WINDOWS\System32\kkjcclro.dll moved successfully. C:\WINDOWS\System32 winlldq.exe moved successfully. File/Folder C:\WINDOWS\mrofinu77.exe not found. File/Folder C:\windows\system32\kkdsrngk.exe not found. Created on 11/15/2007 19:48:16 ComboFix 07-11-08.1 - Julie 2007-11-15 19:52:37.3 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.1.1252.1.1036.18.18 [GMT 1:00]Running from: C:\Documents and Settings\Julie\Bureau\ComboFix.exe . ((((((((((((((((((((((((((((( Fichiers créés 2007-10-15 to 2007-11-15 )))))))))))))))))))))))))))))))))))) . 2007-11-15 17:00 145,984 --a------ C:\WINDOWS\system32\feobxpqc.dll 2007-11-15 16:58 51,200 --a------ C:\WINDOWS\NirCmd.exe 2007-11-15 16:18 71,232 --a------ C:\WINDOWS\system32 qdgwltx.exe 2007-11-14 17:11 d-------- C:\VundoFix Backups 2007-11-14 15:01 79,936 --a------ C:\WINDOWS\system32\phskqgjd.dll 2007-11-14 14:53 71,232 --a------ C:\WINDOWS\system32\qewngipd.exe 2007-11-10 17:49 79,936 --a------ C:\WINDOWS\system32\pyhnurow.dll 2007-11-10 17:46 71,232 --a------ C:\WINDOWS\system32\pbktwbwj.exe 2007-11-09 17:49 81,472 --a------ C:\WINDOWS\system32\fbhwftvp.dll 2007-11-09 17:44 71,232 --a------ C:\WINDOWS\system32 nobecpd.exe 2007-11-08 13:44 d-------- C:\Documents and Settings\Julie\logs 2007-11-08 02:29 d-------- C:\Program Files\Symantec 2007-11-08 02:29 d-------- C:\Program Files\Fichiers communs\Symantec Shared 2007-11-08 02:29 d-------- C:\Documents and Settings\All Users\Application Data\Symantec 2007-11-08 02:29 1,060,864 --a------ C:\WINDOWS\system32\MFC71.DLL 2007-11-08 02:29 503,808 --a------ C:\WINDOWS\system32\MSVCP71.DLL 2007-11-08 02:29 348,160 --a------ C:\WINDOWS\system32\MSVCR71.DLL 2007-11-07 14:27 d-------- C:\WINDOWS\system32\DRVSTORE 2007-11-07 14:27 d--h----- C:\WINDOWS\PIF 2007-11-07 14:27 d-------- C:\Documents and Settings\Julie\Application Data\Grisoft 2007-11-07 14:27 d-------- C:\Documents and Settings\All Users\Application Data\Kaspersky Lab Setup Files 2007-11-07 14:27 d-------- C:\Documents and Settings\All Users\Application Data\Grisoft 2007-11-07 05:34 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe 2007-11-07 05:34 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe 2007-11-07 05:34 51,200 --a------ C:\WINDOWS\system32\dumphive.exe 2007-11-07 05:34 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe 2007-11-07 05:34 3,468 --a------ C:\WINDOWS\system32 mp.reg 2007-11-07 05:25 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys 2007-11-07 04:54 d-------- C:\Program Files\Trend Micro 2007-11-07 02:12 79,936 --a------ C:\WINDOWS\system32\drnfvrvs.dll 2007-11-06 17:04 d-------- C:\WINDOWS\pss 2007-11-06 16:50 d-------- C:\Documents and Settings\Julie\Application Data\Leadertech 2007-11-06 14:02 d-------- C:\Program Files\SpyGuardPro 2007-11-06 14:02 89,088 --a------ C:\WINDOWS\system32\atl71.dll 2007-11-06 14:02 24,064 --a------ C:\WINDOWS\system32\msxml3a.dll 2007-10-21 00:43 d-------- C:\Documents and Settings\Julie\Application Data\Apple Computer 2007-10-21 00:42 d-------- C:\Program Files\iTunes 2007-10-21 00:42 d-------- C:\Program Files\iPod 2007-10-21 00:40 d-------- C:\Program Files\QuickTime 2007-10-21 00:40 d-------- C:\Documents and Settings\All Users\Application Data\Apple Computer 2007-10-21 00:39 d-------- C:\Program Files\Apple Software Update 2007-10-21 00:39 d-------- C:\Documents and Settings\All Users\Application Data\Apple 2007-10-17 00:13 d-------- C:\Program Files\InstallShield Installation Information 2007-10-17 00:12 d-------- C:\Program Files\Veoh Networks . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2007-11-15 18:49 --------- d-----w C:\Documents and Settings\Julie\Application Data\Skype 2007-11-14 15:41 332 ----a-w C:\WINDOWS\system32\drivers\fwdrv.err 2007-11-07 13:27 --------- d-----w C:\Program Files\eMule 2007-11-07 13:27 --------- d-----w C:\Documents and Settings\All Users\Application Data\Kodak 2007-11-07 13:26 --------- d-----w C:\Program Files\Fichiers communs\Adobe 2007-11-06 15:58 --------- d-----w C:\Program Files\Kodak 2007-11-01 18:07 --------- d-----w C:\Program Files\Picasa2 2007-10-25 17:05 94,416 ----a-w C:\WINDOWS\system32\drivers\aswmon2.sys 2007-10-25 17:05 93,264 ----a-w C:\WINDOWS\system32\drivers\aswmon.sys 2007-10-25 17:03 23,152 ----a-w C:\WINDOWS\system32\drivers\aswRdr.sys 2007-10-25 17:01 42,912 ----a-w C:\WINDOWS\system32\drivers\aswTdi.sys 2007-10-25 16:58 26,624 ----a-w C:\WINDOWS\system32\drivers\aavmker4.sys 2007-10-25 16:24 815,480 ----a-w C:\WINDOWS\system32\aswBoot.exe 2007-10-25 16:14 95,608 ----a-w C:\WINDOWS\system32\AVASTSS.scr 2007-10-12 01:03 --------- d-----w C:\Documents and Settings\Julie\Application Data\Move Networks 2007-09-23 18:39 --------- d-----w C:\Documents and Settings\Julie\Application Data\VoipBuster 2007-09-23 18:33 --------- d-----w C:\Program Files\VoipBuster.com 2007-09-20 14:53 --------- d-----w C:\Program Files\Fichiers communs\Skype 2007-09-16 11:57 --------- d-----w C:\Program Files\Google 2007-05-28 09:00 19,016 ----a-w C:\Documents and Settings\Julie\Application Data\GDIPFONTCACHEV1.DAT . ((((((((((((((((((((((((((((( snapshot@2007-11-15_17.16.18.66 ))))))))))))))))))))))))))))))))))))))))) . - 2007-10-29 12:20:18 40,326 ----a-w C:\WINDOWS\system32\perfc009.dat + 2007-11-15 16:21:09 40,326 ----a-w C:\WINDOWS\system32\perfc009.dat - 2007-10-29 12:20:18 49,054 ----a-w C:\WINDOWS\system32\perfc00C.dat + 2007-11-15 16:21:10 49,054 ----a-w C:\WINDOWS\system32\perfc00C.dat - 2007-10-29 12:20:18 311,938 ----a-w C:\WINDOWS\system32\perfh009.dat + 2007-11-15 16:21:10 311,938 ----a-w C:\WINDOWS\system32\perfh009.dat - 2007-10-29 12:20:18 368,314 ----a-w C:\WINDOWS\system32\perfh00C.dat + 2007-11-15 16:21:10 368,314 ----a-w C:\WINDOWS\system32\perfh00C.dat + 2007-11-15 18:04:19 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_77c.dat . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{f7ee146d-7dda-4d57-9461-a285aac8f93a}] C:\WINDOWS\System32\erytrjwy.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-10-25 17:20] "WinampAgent"="C:\Program Files\Winamp\winampa.exe" [2006-06-21 18:14] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 09:50] "AGRSMMSG"="AGRSMMSG.exe" [2003-06-27 07:53 C:\WINDOWS\AGRSMMSG.exe] "Adobe Photo Downloader"="C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe" [] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 02:43] "Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 02:06] "QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-06-29 05:24] "iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2007-09-26 13:42] "!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 10:25] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Picasa Media Detector"="C:\Program Files\Picasa2\PicasaMediaDetector.exe" [2007-10-23 22:18] "VoipBuster"="C:\Program Files\VoipBuster.com\VoipBuster\VoipBuster.exe" [2007-06-21 11:26] "Veoh"="C:\Program Files\Veoh Networks\Veoh\VeohClient.exe" [2007-10-17 00:29] "AdobeUpdater"="C:\Program Files\Fichiers communs\Adobe\Updater5\AdobeUpdater.exe" [2007-03-01 09:37] [HKEY_USERS\.default\software\microsoft\windows\currentversion un] "Picasa Media Detector"=C:\Program Files\Picasa2\PicasaMediaDetector.exe C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\ Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 08:01:04] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^Julie^Menu Démarrer^Programmes^Démarrage^TA_Start.lnk] path=C:\Documents and Settings\Julie\Menu Démarrer\Programmes\Démarrage\TA_Start.lnk backup=C:\WINDOWS\pss\TA_Start.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^Julie^Menu Démarrer^Programmes^Démarrage^Think-Adz.lnk] path=C:\Documents and Settings\Julie\Menu Démarrer\Programmes\Démarrage\Think-Adz.lnk backup=C:\WINDOWS\pss\Think-Adz.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BitTorrent] "C:\Program Files\BitTorrent\bittorrent.exe" --force_start_minimized [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ExploreUpdSched] C:\WINDOWS\System32 winlldq.exe CHD001 [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinAble] C:\Program Files\WinAble\winable.exe R1 fwdrv;Firewall Driver;C:\WINDOWS\System32\drivers\fwdrv.sys R1 khips;Kerio HIPS Driver;C:\WINDOWS\System32\drivers\khips.sys R3 PCX504;Cisco Systems Wireless LAN Adapter Driver;C:\WINDOWS\System32\DRIVERS\PCX504.sys S3 PCASp50;PCASp50 NDIS Protocol Driver;C:\WINDOWS\System32\Drivers\PCASp50.sys . Contenu du dossier 'Scheduled Tasks/Tâches planifiées' "2007-11-03 15:45:10 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job" - C:\Program Files\Apple Software Update\SoftwareUpdate.exe . ************************************************************************** catchme 0.3.1250 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-11-15 19:57:05 Windows 5.1.2600 Service Pack 1 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** . Completion time: 2007-11-15 19:59:12 C:\ComboFix2.txt ... 2007-11-15 19:10 C:\ComboFix3.txt ... 2007-11-15 17:18 . --- E O F ---

g!rly · Answer

re,

Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :
________________________________
File::
C:\WINDOWS\System32\erytrjwy.dll
C:\WINDOWS\System32\rwinlldq.exe

Folder::
C:\Program Files\WinAble\winable.exe

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{f7ee146d-7dda-4d57-9461-a285aac8f93a}]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ExploreUpdSched]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinAble]
_______________________________

Enregistre ce fichier sous le nom CFscript

Fait un glisser/déposer de ce fichier CFscrïpt sur le fichier ComboFix.exe comme sur la capture

http://img.photobucket.com/albums/v666/sUBs/CFscript.gif

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Une fois le scan achevé, un rapport va s'afficher: poste son contenu  : ComboFix.txt

si tu arrive pas demande moi 

@+

julieforum · Answer

voici le rapport merci ComboFix 07-11-08.1 - Julie 2007-11-15 20:43:58.4 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.1.1252.1.1036.18.54 [GMT 1:00] Running from: C:\Documents and Settings\Julie\Bureau\ComboFix.exe Command switches used :: C:\Documents and Settings\Julie\Bureau\CFscript.txt * Created a new restore point FILE C:\WINDOWS\System32\erytrjwy.dll C:\WINDOWS\System32 winlldq.exe . ((((((((((((((((((((((((((((( Fichiers créés 2007-10-15 to 2007-11-15 )))))))))))))))))))))))))))))))))))) . 2007-11-15 17:00 145,984 --a------ C:\WINDOWS\system32\feobxpqc.dll 2007-11-15 16:58 51,200 --a------ C:\WINDOWS\NirCmd.exe 2007-11-15 16:18 71,232 --a------ C:\WINDOWS\system32 qdgwltx.exe 2007-11-14 17:11 d-------- C:\VundoFix Backups 2007-11-14 15:01 79,936 --a------ C:\WINDOWS\system32\phskqgjd.dll 2007-11-14 14:53 71,232 --a------ C:\WINDOWS\system32\qewngipd.exe 2007-11-10 17:49 79,936 --a------ C:\WINDOWS\system32\pyhnurow.dll 2007-11-10 17:46 71,232 --a------ C:\WINDOWS\system32\pbktwbwj.exe 2007-11-09 17:49 81,472 --a------ C:\WINDOWS\system32\fbhwftvp.dll 2007-11-09 17:44 71,232 --a------ C:\WINDOWS\system32 nobecpd.exe 2007-11-08 13:44 d-------- C:\Documents and Settings\Julie\logs 2007-11-08 02:29 d-------- C:\Program Files\Symantec 2007-11-08 02:29 d-------- C:\Program Files\Fichiers communs\Symantec Shared 2007-11-08 02:29 d-------- C:\Documents and Settings\All Users\Application Data\Symantec 2007-11-08 02:29 1,060,864 --a------ C:\WINDOWS\system32\MFC71.DLL 2007-11-08 02:29 503,808 --a------ C:\WINDOWS\system32\MSVCP71.DLL 2007-11-08 02:29 348,160 --a------ C:\WINDOWS\system32\MSVCR71.DLL 2007-11-07 14:27 d-------- C:\WINDOWS\system32\DRVSTORE 2007-11-07 14:27 d--h----- C:\WINDOWS\PIF 2007-11-07 14:27 d-------- C:\Documents and Settings\Julie\Application Data\Grisoft 2007-11-07 14:27 d-------- C:\Documents and Settings\All Users\Application Data\Kaspersky Lab Setup Files 2007-11-07 14:27 d-------- C:\Documents and Settings\All Users\Application Data\Grisoft 2007-11-07 05:34 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe 2007-11-07 05:34 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe 2007-11-07 05:34 51,200 --a------ C:\WINDOWS\system32\dumphive.exe 2007-11-07 05:34 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe 2007-11-07 05:34 3,468 --a------ C:\WINDOWS\system32 mp.reg 2007-11-07 05:25 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys 2007-11-07 04:54 d-------- C:\Program Files\Trend Micro 2007-11-07 02:12 79,936 --a------ C:\WINDOWS\system32\drnfvrvs.dll 2007-11-06 17:04 d-------- C:\WINDOWS\pss 2007-11-06 16:50 d-------- C:\Documents and Settings\Julie\Application Data\Leadertech 2007-11-06 14:02 d-------- C:\Program Files\SpyGuardPro 2007-11-06 14:02 89,088 --a------ C:\WINDOWS\system32\atl71.dll 2007-11-06 14:02 24,064 --a------ C:\WINDOWS\system32\msxml3a.dll 2007-10-21 00:43 d-------- C:\Documents and Settings\Julie\Application Data\Apple Computer 2007-10-21 00:42 d-------- C:\Program Files\iTunes 2007-10-21 00:42 d-------- C:\Program Files\iPod 2007-10-21 00:40 d-------- C:\Program Files\QuickTime 2007-10-21 00:40 d-------- C:\Documents and Settings\All Users\Application Data\Apple Computer 2007-10-21 00:39 d-------- C:\Program Files\Apple Software Update 2007-10-21 00:39 d-------- C:\Documents and Settings\All Users\Application Data\Apple 2007-10-17 00:13 d-------- C:\Program Files\InstallShield Installation Information 2007-10-17 00:12 d-------- C:\Program Files\Veoh Networks . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2007-11-15 19:41 --------- d-----w C:\Documents and Settings\Julie\Application Data\Skype 2007-11-14 15:41 332 ----a-w C:\WINDOWS\system32\drivers\fwdrv.err 2007-11-07 13:27 --------- d-----w C:\Program Files\eMule 2007-11-07 13:27 --------- d-----w C:\Documents and Settings\All Users\Application Data\Kodak 2007-11-07 13:26 --------- d-----w C:\Program Files\Fichiers communs\Adobe 2007-11-06 15:58 --------- d-----w C:\Program Files\Kodak 2007-11-01 18:07 --------- d-----w C:\Program Files\Picasa2 2007-10-25 17:05 94,416 ----a-w C:\WINDOWS\system32\drivers\aswmon2.sys 2007-10-25 17:05 93,264 ----a-w C:\WINDOWS\system32\drivers\aswmon.sys 2007-10-25 17:03 23,152 ----a-w C:\WINDOWS\system32\drivers\aswRdr.sys 2007-10-25 17:01 42,912 ----a-w C:\WINDOWS\system32\drivers\aswTdi.sys 2007-10-25 16:58 26,624 ----a-w C:\WINDOWS\system32\drivers\aavmker4.sys 2007-10-25 16:24 815,480 ----a-w C:\WINDOWS\system32\aswBoot.exe 2007-10-25 16:14 95,608 ----a-w C:\WINDOWS\system32\AVASTSS.scr 2007-10-12 01:03 --------- d-----w C:\Documents and Settings\Julie\Application Data\Move Networks 2007-09-23 18:39 --------- d-----w C:\Documents and Settings\Julie\Application Data\VoipBuster 2007-09-23 18:33 --------- d-----w C:\Program Files\VoipBuster.com 2007-09-20 14:53 --------- d-----w C:\Program Files\Fichiers communs\Skype 2007-09-16 11:57 --------- d-----w C:\Program Files\Google 2007-05-28 09:00 19,016 ----a-w C:\Documents and Settings\Julie\Application Data\GDIPFONTCACHEV1.DAT . ((((((((((((((((((((((((((((( snapshot@2007-11-15_17.16.18.66 ))))))))))))))))))))))))))))))))))))))))) . - 2007-10-29 12:20:18 40,326 ----a-w C:\WINDOWS\system32\perfc009.dat + 2007-11-15 16:21:09 40,326 ----a-w C:\WINDOWS\system32\perfc009.dat - 2007-10-29 12:20:18 49,054 ----a-w C:\WINDOWS\system32\perfc00C.dat + 2007-11-15 16:21:10 49,054 ----a-w C:\WINDOWS\system32\perfc00C.dat - 2007-10-29 12:20:18 311,938 ----a-w C:\WINDOWS\system32\perfh009.dat + 2007-11-15 16:21:10 311,938 ----a-w C:\WINDOWS\system32\perfh009.dat - 2007-10-29 12:20:18 368,314 ----a-w C:\WINDOWS\system32\perfh00C.dat + 2007-11-15 16:21:10 368,314 ----a-w C:\WINDOWS\system32\perfh00C.dat + 2007-11-15 18:04:19 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_77c.dat . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-10-25 17:20] "WinampAgent"="C:\Program Files\Winamp\winampa.exe" [2006-06-21 18:14] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 09:50] "AGRSMMSG"="AGRSMMSG.exe" [2003-06-27 07:53 C:\WINDOWS\AGRSMMSG.exe] "Adobe Photo Downloader"="C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe" [] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 02:43] "Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 02:06] "QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-06-29 05:24] "iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2007-09-26 13:42] "!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 10:25] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Picasa Media Detector"="C:\Program Files\Picasa2\PicasaMediaDetector.exe" [2007-10-23 22:18] "VoipBuster"="C:\Program Files\VoipBuster.com\VoipBuster\VoipBuster.exe" [2007-06-21 11:26] "Veoh"="C:\Program Files\Veoh Networks\Veoh\VeohClient.exe" [2007-10-17 00:29] "AdobeUpdater"="C:\Program Files\Fichiers communs\Adobe\Updater5\AdobeUpdater.exe" [2007-03-01 09:37] [HKEY_USERS\.default\software\microsoft\windows\currentversion un] "Picasa Media Detector"=C:\Program Files\Picasa2\PicasaMediaDetector.exe C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\ Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 08:01:04] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^Julie^Menu Démarrer^Programmes^Démarrage^TA_Start.lnk] path=C:\Documents and Settings\Julie\Menu Démarrer\Programmes\Démarrage\TA_Start.lnk backup=C:\WINDOWS\pss\TA_Start.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^Julie^Menu Démarrer^Programmes^Démarrage^Think-Adz.lnk] path=C:\Documents and Settings\Julie\Menu Démarrer\Programmes\Démarrage\Think-Adz.lnk backup=C:\WINDOWS\pss\Think-Adz.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BitTorrent] "C:\Program Files\BitTorrent\bittorrent.exe" --force_start_minimized R1 fwdrv;Firewall Driver;C:\WINDOWS\System32\drivers\fwdrv.sys R1 khips;Kerio HIPS Driver;C:\WINDOWS\System32\drivers\khips.sys R3 PCX504;Cisco Systems Wireless LAN Adapter Driver;C:\WINDOWS\System32\DRIVERS\PCX504.sys S3 PCASp50;PCASp50 NDIS Protocol Driver;C:\WINDOWS\System32\Drivers\PCASp50.sys . Contenu du dossier 'Scheduled Tasks/Tâches planifiées' "2007-11-03 15:45:10 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job" - C:\Program Files\Apple Software Update\SoftwareUpdate.exe . ************************************************************************** catchme 0.3.1250 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-11-15 20:48:23 Windows 5.1.2600 Service Pack 1 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** . Completion time: 2007-11-15 20:50:22 C:\ComboFix2.txt ... 2007-11-15 19:59 C:\ComboFix3.txt ... 2007-11-15 19:10 . --- E O F ---

g!rly · Answer

ok c´est mieux

repost un hijack this stp

julieforum · Answer

ok voici le rapport

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:05:29, on 15/11/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Picasa2\PicasaMediaDetector.exe
C:\Program Files\VoipBuster.com\VoipBuster\VoipBuster.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (file missing)
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Program Files\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe
O4 - HKCU\..\Run: [VoipBuster] "C:\Program Files\VoipBuster.com\VoipBuster\VoipBuster.exe" -nosplash -minimized
O4 - HKCU\..\Run: [Veoh] "C:\Program Files\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
O4 - HKCU\..\Run: [AdobeUpdater] C:\Program Files\Fichiers communs\Adobe\Updater5\AdobeUpdater.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/pr02/resources/MSNPUpld.cab
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - https://www.eset.com/
O16 - DPF: {5F8469B4-B055-49DD-83F7-62B522420ECC} (Facebook Photo Uploader Control) - http://upload.facebook.com/controls/FacebookPhotoUploader.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

g!rly · Answer

ok c´est propre,

mais j´ai peur que tu soit infecté par brontok ;-( C:\WINDOWS\PIF )

on va voir ca : le scan est un peu long mais vaut mieux etre sur...

A.V.G :

-> Télécharger AVG Anti-Spyware (ewido)

   http://www.commentcamarche.net/telecharger/telecharger 218 avg anti spyware

-> L´installer.

-> lancer AVG Anti-Spyware et clicker sur le bouton Mise à jour. Patienter...
   
   p.s : si les mises a jours ne se font pas, elles sont telechargable ici :

   http://downloads.ewido.net/avgas-signatures-full-current.exe

-> Sur la page "analyse":

   choisir d´abord l'onglet "paramètres".
   
   sous « Comment réagir » clicker sur « Actions recommandées » et dans le menu déroulant, choisir « Supprimer ».

-> Lancer le scan, (c´est long...).

-> A la fin du scan copier Et coller le rapport ici. 

-> Une aide en image au cas ou :

   Tutoriel d´installation et de parametrages :

   http://www.kachouri.com/tuto/tuto-161-avg-anti-spyware-75-pour-votre-securite.html   

@+

julieforum · Answer

voici le scan

---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

 + Créé à:	22:10:08 15/11/2007

 + Résultat de l'analyse:	



C:\System Volume Information\_restore{68F763BF-745A-43A9-878A-D83CCFA9BF92}\RP106\A0052529.exe -> Downloader.Agent.emo : Nettoyé.
C:\System Volume Information\_restore{68F763BF-745A-43A9-878A-D83CCFA9BF92}\RP102\A0047127.exe -> Downloader.Agent.erf : Nettoyé.
C:\System Volume Information\_restore{68F763BF-745A-43A9-878A-D83CCFA9BF92}\RP106\A0052514.exe -> Downloader.Agent.erf : Nettoyé.
C:\System Volume Information\_restore{68F763BF-745A-43A9-878A-D83CCFA9BF92}\RP110\A0057648.exe -> Downloader.Agent.erf : Nettoyé.
C:\qoobox\Quarantine\C\WINDOWS\b122.exe.vir -> Downloader.Agent.erf : Nettoyé.
C:\Documents and Settings\Julie\Cookies\julie@hotelscom.122.2o7[1].txt -> TrackingCookie.2o7 : Nettoyé.
C:\Documents and Settings\Julie\Cookies\julie@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Nettoyé.
C:\Documents and Settings\Julie\Cookies\julie@ads.adbrite[2].txt -> TrackingCookie.Adbrite : Nettoyé.
C:\Documents and Settings\Julie\Cookies\julie@rotator.dex.adjuggler[1].txt -> TrackingCookie.Adjuggler : Nettoyé.
C:\Documents and Settings\Julie\Cookies\julie@thunderbolt.adjuggler[2].txt -> TrackingCookie.Adjuggler : Nettoyé.
C:\Documents and Settings\Julie\Cookies\julie@adtech[1].txt -> TrackingCookie.Adtech : Nettoyé.
C:\Documents and Settings\Julie\Cookies\julie@advertising[1].txt -> TrackingCookie.Advertising : Nettoyé.
C:\Documents and Settings\Julie\Cookies\julie@atdmt[2].txt -> TrackingCookie.Atdmt : Nettoyé.
C:\Documents and Settings\Julie\Cookies\julie@bluestreak[1].txt -> TrackingCookie.Bluestreak : Nettoyé.
C:\Documents and Settings\Julie\Cookies\julie@www.burstbeacon[2].txt -> TrackingCookie.Burstbeacon : Nettoyé.
C:\Documents and Settings\Julie\Cookies\julie@burstnet[2].txt -> TrackingCookie.Burstnet : Nettoyé.
C:\Documents and Settings\Julie\Cookies\julie@doubleclick[1].txt -> TrackingCookie.Doubleclick : Nettoyé.
C:\Documents and Settings\Julie\Cookies\julie@enhance[1].txt -> TrackingCookie.Enhance : Nettoyé.
C:\Documents and Settings\Julie\Cookies\julie@fastclick[2].txt -> TrackingCookie.Fastclick : Nettoyé.
C:\Documents and Settings\Julie\Cookies\julie@findwhat[1].txt -> TrackingCookie.Findwhat : Nettoyé.
C:\Documents and Settings\Julie\Cookies\julie@goclick[2].txt -> TrackingCookie.Goclick : Nettoyé.
C:\Documents and Settings\Julie\Cookies\julie@ehg-triseptsoultions.hitbox[2].txt -> TrackingCookie.Hitbox : Nettoyé.
C:\Documents and Settings\Julie\Cookies\julie@hitbox[2].txt -> TrackingCookie.Hitbox : Nettoyé.
C:\Documents and Settings\Julie\Cookies\julie@ssl-hints.netflame[2].txt -> TrackingCookie.Netflame : Nettoyé.
C:\Documents and Settings\Julie\Cookies\julie@perf.overture[1].txt -> TrackingCookie.Overture : Nettoyé.
C:\Documents and Settings\Julie\Cookies\julie@realmedia[2].txt -> TrackingCookie.Realmedia : Nettoyé.
C:\Documents and Settings\Julie\Cookies\julie@revsci[1].txt -> TrackingCookie.Revsci : Nettoyé.
C:\Documents and Settings\Julie\Cookies\julie@bs.serving-sys[1].txt -> TrackingCookie.Serving-sys : Nettoyé.
C:\Documents and Settings\Julie\Cookies\julie@serving-sys[1].txt -> TrackingCookie.Serving-sys : Nettoyé.
C:\Documents and Settings\Julie\Cookies\julie@smartadserver[2].txt -> TrackingCookie.Smartadserver : Nettoyé.
C:\Documents and Settings\Julie\Cookies\julie@statcounter[1].txt -> TrackingCookie.Statcounter : Nettoyé.
C:\Documents and Settings\Julie\Cookies\julie@anad.tacoda[1].txt -> TrackingCookie.Tacoda : Nettoyé.
C:\Documents and Settings\Julie\Cookies\julie@tacoda[2].txt -> TrackingCookie.Tacoda : Nettoyé.
C:\Documents and Settings\Julie\Cookies\julie@login.tracking101[2].txt -> TrackingCookie.Tracking101 : Nettoyé.
C:\Documents and Settings\Julie\Cookies\julie@weborama[1].txt -> TrackingCookie.Weborama : Nettoyé.
C:\Documents and Settings\Julie\Cookies\julie@ad.yieldmanager[1].txt -> TrackingCookie.Yieldmanager : Nettoyé.
C:\System Volume Information\_restore{68F763BF-745A-43A9-878A-D83CCFA9BF92}\RP102\A0047128.exe -> Trojan.Agent.crf : Nettoyé.


Fin du rapport

merci

g!rly · Answer

bon y a pas de trace de brontok

fais ceci :

Désactive ta restauration système:
pour cela :
Click droit sur poste de travail, dans l´arborescence sur propriétés; 
dans la nouvelle fenettre click sur l´onglet restauration système;
coche la case désactiver la restauration systèm et applique.
puis redemarre le pc et click droit sur poste de travail, dans l´arborescence sur propriétés; 
dans la nouvelle fenettre click sur l´onglet restauration systèm
décoche la case désactiver la restauration systèm et applique

puis par precotion supprime ceci : C:\WINDOWS\PIF

si tu ne le trouve pas 

Affiche tous les fichiers et dossiers :
Pour cela :
Clique sur démarrer/panneau de configuration/option des dossiers/affichage

Cocher afficher les dossiers cacher

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

Décocher masquer les extensions dont le type est connu

Puis fais «Ok» pour valider les changements.

Et appliquer ! 

comment ce porte ton pc maintenant?

julieforum · Answer

ok j'ai fait tout ce que tu m'as dit
ça a l'air d'aller maintenant
je peux aller sur internet sans pb et je n'ai plus de toolbar et de fenetres intempestives
comment faire en sorte de ne pas rechoper de virus?
en tout cas merci mille fois
julie

g!rly · Answer

re,

EDIT : 

Ccleaner:

-> Télécharge Ccleaner (n'installe pas la barre d'outil Yahoo):

   http://www.commentcamarche.net/telecharger/telechargement 168 ccleaner

-> L´installer.

-> Une fois installé et lancé :

   Dans la colonne de gauche, click sur :

   ->"erreurs" :

      Coches toutes les cases dans les propriétés du nettoyeur de l´onglet "windows" et "applications", puis click en bas sur "chercher des erreurs" une fois terminé, clic sur "reparer les erreurs", tu auras un message pour sauvegarder ta base de registre, tu click "oui" puis tu recommence jusqu'à ce qu'il ne trouve plus rien.
      
      ps : les sauvegardes que tu auras faites, pourront etre supprimées ulterieurement si tout va bien.

   ->"nettoyeur"
   
      quitte ton navigateur avant de le lancer, décoche la derniere case (Avancé si elle est cochée) puis click sur "lancer le nettoyage" qunand il aura terminé le scan click en bas a droite sur "lancer le nettoyage" et accepte par oui.

-> Tutoriel en image :

   https://www.vulgarisation-informatique.com/nettoyer-windows-ccleaner.php


-> Pour ceux qui voudraient aller plus loin en compagnie de jesses (fonctions avancés) :

   http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm 

et :

telecharge et instal regcleaner:

http://www.01net.com/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/4894.html

tutorial :

http://www.softastuces.com/tuto/maint/regcleaner/

cela ne fera pas de mal...

pour eviter ce genre de probleme :

je te sens intentionnée alors je te mets la totale, enfin ce que j´ai d´installé sur mon pc

je voie que tu as kerio = +1 ;-)

par contre avast laisse a desirer > tu peux en juger par toi meme ici : http://forum.malekal.com/ftopic3528.php

alors tu comprendra que je veuille te le faire troquer contre antivir : ->https://www.malekal.com/avira-free-security-antivirus-gratuit/

desinstale avast et remplace le par antivir...

puis instale toute une panoplie d´anti spyware residents :

spywareblaster :

http://www.brightfort.com/spywareblaster.html

c´est un resident, il suffit de le mettre a jour de temps en temps car la version gratuite ne le fait pas toute seul , une fois installé et mis a jour tu mets toutes les protections sur "enable"

telecharge aussi cet anti spyware il a aussi un resident le teatimer :

spybot :

http://www.commentcamarche.net/telecharger/telecharger 122 spybot

http://www.safer-networking.org/fr/faq/33.html

spyware gard :

https://www.zebulon.fr/dossiers/securite/47-spywareguard.html

tous les trois sont complementaires, alors si tu veux; tu peux tous les installer...

dernieres choses :

appuie simultanement sur la touche windows a droit de la barre d´espace (drapeau windows) et sur "e" ->une fois dans le post de travail click sur le disk c > program files >java ouvre le fichier java et click sur le fichier jre 1.6.0_01 pour l´ouvrir puis ouvre le fichier bin et dedans tu recherche ceci : jucheck.exe tu double click dessus et effectue la mise a jour de java> tu veux la version 1.6.0_03
une fois la mise a jour effectuée tu va dans ajoute/suppression de program et tu supprime toutes les autres update de java, il ne doit te rester que celle que tu viens de faire : 1.6.0_03 

-> mise a jour windows par le site de microsoft... car pour le moment tu surf avec internet explorer 6.0 = failles de securité importantes > tu veux internet 7.0 + les autres mises a jour, ca se passe ici > windowsupdate.microsoft.com/

puis tu pourrais surfer avec firefox tout en gardant internet explorer pour les mises jour windows car impossible a effectuer avec firefox...

http://www.firefox.fr/ 

puis ne surf pas n´importe oú,  et ne telecharge pas n´importe quoid ( bittorrent)...

si tu as des questions quand au fonctionnement des differents logiciels que je propose, demande...

bonne fin de soirée ;-)

@+

julieforum · Answer

Bonjour Julie,
Desolée j'ai pas été très réactive mais je suis aux USA en ce moment donc avec le décalage horaire c'est pas évident.
J'ai fait tout ce que tu m'as dit et mon ordi va beaucoup mieux. Merci mille fois!
Je vais egalement suivre tes conseils pour les antivirus.
Merci beaucoup et bravo pour ton savoir et dévouement.
Julie

g!rly · Answer

bonjour julie,
oui je voie > le décalage...
cool les states, non? tu es dans quelle état? ville?
je suis moi meme a l´etranger, helsinki > sud de la finlande ;-) je suis finnoise...
je suis bien contente que mon savoir est pu te servir...
bon week end
@+
jul!e

julieforum · Answer

je suis à washington  dc depuis trois mois et je reste jusqu'en fevrier
c'est bien sympa et toujours interessant de découvrir un pays
c'est marrant parce que j'ai passé six mois à helsinki il y a deux ans, j'étais à Helsinki school of economics, j'avais adoré
en tout cas tu parles super bien français, comment ça se fait, tu as habité en france?
toi aussi passe un bon we 
a bientot 
julie

g!rly · Answer

salut julie,

washington dc! waahouu ;-) ca doit etre genial en effet...
et bien on a bien plus de points communs que notre seul prenom > moi aussi j´adore voyager...
t´as vu helsinki, c´est jolie ;-)
pour mon francais, oui je l´ai apris a l´ecole en france, j´ai passé pas mal de temps en france non loin de paris, puis dans paris meme avant de partir a londre, coppenhague et maintenant la finlande qui est mon pays natal...
@+

g!rly · Answer

--
mouvement de non entraide a suivre très prochainement...

Security toolbar impossible à supprimer

34 réponses

Discussions similaires