PC infecté par virus garde

Résolu
Fanou34 -  
 Fanou34 -
Bonjour,
Je pense que mon PC est infecté par virus garde, j'ai des fenêtres de pub intempestives, notamment des fenêtres d'alertes sécurité de virus garde, mon antivrus s'est désactivé et impossible de le réactiver, la page d'accueil d'IE a changé.
J'ai esssayé de suivre plusieurs tutoriaux mais (je suis novice en informatique) sans résultats.
J'ai éxécuté Ashampoo qui ne trouve as d'objet caché.

Toute aide (détaillée^^) sera la bienvenue

Voici le rapport Hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:56:40, on 17/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\WINDOWS\system32\xyaigkke.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Microsoft IntelliPoint\point32.exe
C:\WINDOWS\Fonts\svchost.exe
C:\WINDOWS\mrofinu1188.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Microsoft IntelliType Pro\type32.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Words\Words.exe
C:\Program Files\Ashampoo\Ashampoo AntiSpyWare 2\AntiSpyWareService.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Opera\Opera.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\FANETT~1.UNI\LOCALS~1\Temp\Rar$EX00.388\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.files-ftp.com/~unicorni/phpBB2/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.accoona.com/search?q=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file)
O3 - Toolbar: Security Toolbar - {11A69AE4-FBED-4832-A2BF-45AF82825583} - C:\WINDOWS\system32\wdvxcyzq.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [zbddsidbqi] c:\windows\system32\zbddsidbqi.exe zbddsidbqi
O4 - HKLM\..\Run: [type32] "C:\Program Files\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [Host Process] C:\WINDOWS\Fonts\svchost.exe
O4 - HKLM\..\Run: [runner1] C:\WINDOWS\mrofinu1188.exe 61A847B5BBF72813339330466188719AB689201522886B092CBD44BD8689220221DD3257
O4 - HKLM\..\Run: [4c5b09aa] rundll32.exe "C:\WINDOWS\system32\ulxgjhbs.dll",b
O4 - HKLM\..\Run: [NI.UGA6P_0001_N122M2210] "C:\DOCUME~1\FANETT~1.UNI\LOCALS~1\Temp\qrjatydi.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [AntiSpyWare2Guard] C:\Program Files\Ashampoo\Ashampoo AntiSpyWare 2\AntiSpyWare2Guard.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\PROGRA~1\MSNMES~1\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WinAble] C:\Program Files\WinAble\winable.exe
O4 - HKCU\..\Run: [Words] C:\Program Files\Words\Words.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Program Files\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Program Files\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.files-ftp.com/~unicorni/phpBB2/index.php
O16 - DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} (AdSignerLCContrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP.cab
O20 - AppInit_DLLs: C:\WINDOWS\system32\__c001836B.dat
O23 - Service: Ashampoo AntiSpyWare 2 Service (AASW2_Service) - Unknown owner - C:\Program Files\Ashampoo\Ashampoo AntiSpyWare 2\AntiSpyWareService.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: DomainService - - C:\WINDOWS\system32\xyaigkke.exe
O23 - Service: Pml Driver HPZ12 - Unknown owner - C:\WINDOWS\system32\HPZipm12.exe (file missing)
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
O24 - Desktop Component 0: (no name) - C:\Program Files\NetMeeting\rteleki.html

--
End of file - 6611 bytes

Merci d'avance!

Bonjour,
Configuration: Windows XP
Opera 9.21

32 réponses

  • 1
  • 2
  1. chrifleur Messages postés 1099 Statut Contributeur 18
     
    bonjour
    Clique sur ce lien :
    http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
    Clique sur navilog1.zip pour télécharger navilog1
    Choisis Enregistrer

    et enregistre-le sur ton bureau.

    Ensuite double clique sur navilog1.exe pour lancer l'installation.
    Une fois l'installation terminée, le fix s'exécutera automatiquement.
    (Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).

    Laisse-toi guider. Au menu principal, choisis 1 et valides.
    (ne fais pas le choix 2,3 ou 4 sans notre avis/accord)

    Patiente jusqu'au message :
    *** Analyse Termine le ..... ***
    Appuie sur une touche comme demandé, le bloc note va s'ouvrir.
    Copie-colle l'intégralité dans une réponse. Referme le bloc note.
    Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

    poste le rapport obtenu
    0
  2. Fanou34
     
    Merci de ta réponse rapide.

    Voici le rapport demandé:

    Search Navipromo version 3.3.6 commencé le 17/11/2007 à 12:20:16,49

    !!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
    !!! Postez ce rapport sur le forum pour le faire analyser !!!
    !!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

    Outil exécuté depuis C:\Program Files\navilog1
    Mise à jour le 14.11.2007 à 18h00 par IL-MAFIOSO

    Microsoft Windows XP [version 5.1.2600]
    Internet Explorer : 6.0.2900.2180

    *** Recherche Programmes installés ***

    *** Recherche dossiers dans C:\WINDOWS ***

    *** Recherche dossiers dans C:\Program Files ***

    *** Recherche dossiers dans C:\Documents and Settings\All Users.WINDOWS\Application Data ***

    *** Recherche dossiers dans C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\Application Data ***

    ...\Application Data\MessengerSkinner trouvé !

    *** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1.WIN\MENUDM~1\PROGRA~1 ***

    *** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
    pour + d'infos : http://www.gmer.net

    Aucun fichier trouvé dans :

    - C:\WINDOWS\system32
    - C:\DOCUME~1\FANETT~1.UNI\LOCALS~1\APPLIC~1

    *** Recherche avec GenericNaviSearch ***
    !!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
    !!! A vérifier impérativement avant toute suppression manuelle !!!

    * Recherche dans C:\WINDOWS\system32 *

    * Recherche dans C:\DOCUME~1\FANETT~1.UNI\LOCALS~1\APPLIC~1 *

    *** Recherche fichiers ***

    C:\WINDOWS\pack.epk trouvé !
    C:\WINDOWS\system32\nvs2.inf trouvé !

    *** Recherche clés spécifiques dans le Registre ***

    HKEY_CURRENT_USER\Software\Lanconfig trouvé !

    *** Module de Recherche complémentaire ***
    (Recherche fichiers spécifiques)

    1)Recherche fichiers connus:
    C:\WINDOWS\system32\vutss.bak1 trouvé ! infection Vundo possible non traitée par cet outil !

    2)Recherche Heuristique :

    C:\WINDOWS\system32\zbddsidbqi.dat trouvé !
    C:\WINDOWS\system32\zbddsidbqi_nav.dat trouvé !

    3)Recherche Certificats :

    Certificat Egroup trouvé !

    *** Analyse terminée le 17/11/2007 à 12:21:10,24 ***
    0
  3. chrifleur Messages postés 1099 Statut Contributeur 18
     
    on continue
    Double clique sur le raccourci Navilog1 présent sur le bureau et laisse-toi guider.
    Au menu principal, choisis 2 et valide.

    Le fix va t'informer qu'il va alors redémarrer ton PC
    Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts
    Appuie sur une touche comme demandé.
    (si ton Pc ne redémarre pas automatiquement, fais le toi même)
    Au redémarrage de ton PC, choisis ta session habituelle.

    Patiente jusqu'au message :
    *** Nettoyage Termine le ..... ***
    Le bloc note va s'ouvrir.
    Sauvegarde le rapport de manière à le retrouver
    Referme le bloc note. Ton bureau va réapparaître

    PS:Si ton bureau ne réapparaît pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
    Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter"
    Tape explorer et valide. Cela te fera apparaître ton bureau.
    Démarrer > Panneau de configuration > Options Internet
    Clique sur l'onglet Contenu puis onglet Certificats et si tu trouves ceci, en particulier dans éditeurs approuvés :

    electronic-group - egroup - Montorgueil - VIP - "Sunny Day Design Ltd"

    > Supprime-les

    Télécharge VundoFix.exe (par Atribune) sur ton Bureau
    http://www.atribune.org/ccount/click.php?id=4
    clic double sur VundoFix.exe afin de le lancer
    clic sur le bouton Scan for Vundo
    Lorsque le scan est complété, clic sur le bouton Remove Vundo
    Une invite te demandera si tu veux supprimer les fichiers, clic YES
    Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
    Tu verras une invite qui t'annonce que ton PC va redémarrer;
    clic OK
    Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci haut, à partir de "clic sur le bouton Scan for Vundo".
    Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis et le rapport navilog1 dans ta prochaine réponse
    0
  4. Fanou34
     
    Erf^^

    Voici les 3 rapports:

    Clean Navipromo version 3.3.6 commencé le 17/11/2007 à 12:26:46,06

    Outil exécuté depuis C:\Program Files\navilog1
    Mise à jour le 14.11.2007 à 18h00 par IL-MAFIOSO

    Microsoft Windows XP [version 5.1.2600]
    Internet Explorer : 6.0.2900.2180

    Mode suppression automatique

    *** fsbl1.txt non trouvé ***
    (Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)

    *** Suppression avec sauvegardes résultats GenericNaviSearch ***

    * Suppression dans C:\WINDOWS\System32 *

    * Suppression dans C:\DOCUME~1\FANETT~1.UNI\LOCALS~1\APPLIC~1 *

    *** Suppression dossiers dans C:\WINDOWS ***

    *** Suppression dossiers dans C:\Program Files ***

    *** Suppression dossiers dans C:\Documents and Settings\All Users.WINDOWS\Application Data ***

    *** Suppression dossiers dans C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\Application Data ***

    ...\Application Data\MessengerSkinner ...suppression...
    ...\Application Data\MessengerSkinner supprimé !

    *** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1.WIN\MENUDM~1\PROGRA~1 ***

    *** Suppression fichiers ***

    C:\WINDOWS\pack.epk supprimé !
    C:\WINDOWS\system32\nvs2.inf supprimé !

    *** Suppression fichiers temporaires ***

    Nettoyage contenu C:\WINDOWS\Temp effectué !
    Nettoyage contenu C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\Local Settings\Temp effectué !

    *** Traitement Recherche complémentaire ***
    (Recherche fichiers spécifiques)

    1)Recherche fichiers connus:

    C:\WINDOWS\system32\vutss.bak1 trouvé ! infection Vundo possible non traitée par cet outil !

    2)Recherche, création sauvegardes et suppression Heuristique :

    C:\WINDOWS\System32\zbddsidbqi.dat trouvé !
    Copie C:\WINDOWS\system32\zbddsidbqi.dat réalisé avec succès !
    C:\WINDOWS\system32\zbddsidbqi.dat supprimé !

    C:\WINDOWS\System32\zbddsidbqi_nav.dat trouvé !
    Copie C:\WINDOWS\system32\zbddsidbqi_nav.dat réalisé avec succès !
    C:\WINDOWS\system32\zbddsidbqi_nav.dat supprimé !

    C:\WINDOWS\System32\zbddsidbqi_navps.dat trouvé !
    Copie C:\WINDOWS\system32\zbddsidbqi_navps.dat réalisé avec succès !
    C:\WINDOWS\system32\zbddsidbqi_navps.dat supprimé !

    *** Sauvegarde du Registre vers dossier Backupnavi ***

    sauvegarde du Registre réalisé avec succès !

    *** Nettoyage Registre ***

    Nettoyage Registre Ok

    *** Certificats ***

    Certificat Egroup supprimé !

    *** Nettoyage terminé le 17/11/2007 à 12:31:01,34 ***

    VundoFix V6.6.2

    Checking Java version...

    Java version is 1.5.0.5
    Old versions of java are exploitable and should be removed.

    Java version is 1.5.0.6
    Old versions of java are exploitable and should be removed.

    Scan started at 12:36:55 17/11/2007

    Listing files found while scanning....

    C:\windows\system32\__c001836B.dat
    C:\windows\system32\__c001AE84.dat
    C:\windows\system32\ccdvnfsb.dll
    C:\windows\system32\fjjlrpnu.dll
    C:\windows\system32\gfnuyhin.dll
    C:\windows\system32\lddjlchj.dll
    C:\windows\system32\sstuv.dll
    C:\windows\system32\uyhwvrgn.dll
    C:\windows\system32\vutss.bak1
    C:\windows\system32\vutss.ini
    C:\windows\system32\wdvxcyzq.dll
    C:\windows\system32\wdvxcyzq.dllbox
    C:\windows\system32\wtxmrrvw.dll
    C:\windows\system32\wvtufotn.dll
    C:\windows\system32\yayxwvv.dll

    Beginning removal...

    Attempting to delete C:\windows\system32\__c001836B.dat
    C:\windows\system32\__c001836B.dat Has been deleted!

    Attempting to delete C:\windows\system32\__c001AE84.dat
    C:\windows\system32\__c001AE84.dat Could not be deleted.

    Attempting to delete C:\windows\system32\ccdvnfsb.dll
    C:\windows\system32\ccdvnfsb.dll Has been deleted!

    Attempting to delete C:\windows\system32\fjjlrpnu.dll
    C:\windows\system32\fjjlrpnu.dll Has been deleted!

    Attempting to delete C:\windows\system32\gfnuyhin.dll
    C:\windows\system32\gfnuyhin.dll Has been deleted!

    Attempting to delete C:\windows\system32\lddjlchj.dll
    C:\windows\system32\lddjlchj.dll Has been deleted!

    Attempting to delete C:\windows\system32\sstuv.dll
    C:\windows\system32\sstuv.dll Could not be deleted.

    Attempting to delete C:\windows\system32\uyhwvrgn.dll
    C:\windows\system32\uyhwvrgn.dll Has been deleted!

    Attempting to delete C:\windows\system32\vutss.bak1
    C:\windows\system32\vutss.bak1 Has been deleted!

    Attempting to delete C:\windows\system32\vutss.ini
    C:\windows\system32\vutss.ini Has been deleted!

    Attempting to delete C:\windows\system32\wdvxcyzq.dll
    C:\windows\system32\wdvxcyzq.dll Has been deleted!

    Attempting to delete C:\windows\system32\wdvxcyzq.dllbox
    C:\windows\system32\wdvxcyzq.dllbox Has been deleted!

    Attempting to delete C:\windows\system32\wtxmrrvw.dll
    C:\windows\system32\wtxmrrvw.dll Has been deleted!

    Attempting to delete C:\windows\system32\wvtufotn.dll
    C:\windows\system32\wvtufotn.dll Has been deleted!

    Attempting to delete C:\windows\system32\yayxwvv.dll
    C:\windows\system32\yayxwvv.dll Has been deleted!

    Performing Repairs to the registry.
    Done!

    Beginning removal...

    Attempting to delete C:\windows\system32\__c001AE84.dat
    C:\windows\system32\__c001AE84.dat Could not be deleted.

    Attempting to delete C:\windows\system32\sstuv.dll
    C:\windows\system32\sstuv.dll Has been deleted!

    Attempting to delete C:\windows\system32\vutss.ini
    C:\windows\system32\vutss.ini Has been deleted!

    Performing Repairs to the registry.
    Done!

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 12:57:58, on 17/11/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Ashampoo\Ashampoo AntiSpyWare 2\AntiSpyWareService.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\drivers\CDAC11BA.EXE
    C:\Program Files\Symantec AntiVirus\DefWatch.exe
    C:\WINDOWS\system32\xyaigkke.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Symantec AntiVirus\Rtvscan.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\WINDOWS\System32\alg.exe
    C:\PROGRA~1\SYMANT~1\VPTray.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\Program Files\Microsoft IntelliType Pro\type32.exe
    C:\Program Files\Microsoft IntelliPoint\point32.exe
    C:\WINDOWS\Fonts\svchost.exe
    C:\WINDOWS\mrofinu1188.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\PROGRA~1\MSNMES~1\msnmsgr.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Words\Words.exe
    C:\Program Files\MSN Messenger\usnsvc.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\WINDOWS\system32\wbem\wmiprvse.exe
    C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
    C:\Program Files\WinRAR\WinRAR.exe
    C:\DOCUME~1\FANETT~1.UNI\LOCALS~1\Temp\Rar$EX00.103\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.files-ftp.com/~unicorni/phpBB2/index.php
    R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.accoona.com/search?q=%s
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: (no name) - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file)
    O2 - BHO: (no name) - {05DE02EC-57BB-42C0-84EC-2D7259972833} - C:\WINDOWS\system32\sstuv.dll (file missing)
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: {41caa737-fc01-b3c9-1654-1ccb3a63bdc3} - {3cdb36a3-bcc1-4561-9c3b-10cf737aac14} - C:\WINDOWS\system32\efnnnvxh.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: (no name) - {BBB05D9E-0297-404D-A6BF-D8F2876B84A6} - C:\WINDOWS\system32\ddcccyw.dll
    O2 - BHO: (no name) - {E5694970-00EA-43E8-BD3D-611A5FE9C8EA} - C:\Program Files\Windows NT\meqo4444.dll
    O2 - BHO: (no name) - {F8743085-2AC1-4000-9850-C8E32764AC02} - C:\Program Files\Windows NT\meqo83122.dll
    O3 - Toolbar: (no name) - {11A69AE4-FBED-4832-A2BF-45AF82825583} - (no file)
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
    O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd2.exe"
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
    O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
    O4 - HKLM\..\Run: [type32] "C:\Program Files\Microsoft IntelliType Pro\type32.exe"
    O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"
    O4 - HKLM\..\Run: [Host Process] C:\WINDOWS\Fonts\svchost.exe
    O4 - HKLM\..\Run: [runner1] C:\WINDOWS\mrofinu1188.exe 61A847B5BBF72813339330466188719AB689201522886B092CBD44BD8689220221DD3257
    O4 - HKLM\..\Run: [NI.UGA6P_0001_N122M2210] "C:\DOCUME~1\FANETT~1.UNI\LOCALS~1\Temp\qrjatydi.exe"
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [AntiSpyWare2Guard] C:\Program Files\Ashampoo\Ashampoo AntiSpyWare 2\AntiSpyWare2Guard.exe
    O4 - HKLM\..\Run: [4c5b09aa] rundll32.exe "C:\WINDOWS\system32\xqxngktg.dll",b
    O4 - HKCU\..\Run: [msnmsgr] "C:\PROGRA~1\MSNMES~1\msnmsgr.exe" /background
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [WinAble] C:\Program Files\WinAble\winable.exe
    O4 - HKCU\..\Run: [Words] C:\Program Files\Words\Words.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Program Files\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
    O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Program Files\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O14 - IERESET.INF: START_PAGE_URL=http://www.files-ftp.com/~unicorni/phpBB2/index.php
    O16 - DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} (AdSignerLCContrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP.cab
    O20 - AppInit_DLLs: C:\WINDOWS\system32\__c001AE84.dat
    O20 - Winlogon Notify: ddcccyw - C:\WINDOWS\SYSTEM32\ddcccyw.dll
    O23 - Service: Ashampoo AntiSpyWare 2 Service (AASW2_Service) - Unknown owner - C:\Program Files\Ashampoo\Ashampoo AntiSpyWare 2\AntiSpyWareService.exe
    O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
    O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
    O23 - Service: DomainService - - C:\WINDOWS\system32\xyaigkke.exe
    O23 - Service: Pml Driver HPZ12 - Unknown owner - C:\WINDOWS\system32\HPZipm12.exe (file missing)
    O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
    O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
    O24 - Desktop Component 0: (no name) - C:\Program Files\NetMeeting\rteleki.html
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. chrifleur Messages postés 1099 Statut Contributeur 18
     
    oups il y a encore pas mal de monde dans ce PC...
    on continue
    vundo est souvent récalcitrant
    il en reste donc tu fais ceci en suivant bien les consignes
    Relance Vundofix

    * Ne clique pas sur "Scan for a vundo"
    * Clique droit au milieu de la fenêtre
    * Clique sur Add more files ?
    * Copie/colle les fichiers ci-dessous ( un par case) :

    C:\WINDOWS\system32\efnnnvxh.dll
    C:\WINDOWS\system32\ddcccyw.dll
    C:\Program Files\Windows NT\meqo4444.dll
    C:\Program Files\Windows NT\meqo83122.dll
    C:\WINDOWS\system32\xqxngktg.dll
    C:\WINDOWS\SYSTEM32\ddcccyw.dll

    * Clique sur Add files
    * Ensuite clique sur Close Windows
    * Enfin, clique sur Remove Vundo ( les fichiers précédents doivent apparaître dans la fenêtre principale)
    * Si l'outils demande un redémarrage, accepte
    · Poste le rapport Vundofix, ainsi qu'un nouveau log hijackthis
    ensuite tu fais ceci

    Télécharge combofix.exe (par sUBs) sur ton Bureau
    http://download.bleepingcomputer.com/sUBs/ComboFix.exe
    désactive ton antivirus, antispyware, et Spybot (résident) durant l'utilisation de ComboFix . Merci. Tu réactives ensuite.
    Double clique combofix.exe.
    Tape sur la touche Y (Yes) pour démarrer le scan.
    Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse
    NOTE : Le rapport se trouve également ici : C:\Combofix.txt

    poste les rapports de Vundofix et combofix ainsi qu'un rapport hijack this
    0
  7. Fanou34
     
    Les voilà:

    VundoFix V6.6.2

    Checking Java version...

    Java version is 1.5.0.5
    Old versions of java are exploitable and should be removed.

    Java version is 1.5.0.6
    Old versions of java are exploitable and should be removed.

    Scan started at 12:36:55 17/11/2007

    Listing files found while scanning....

    C:\windows\system32\__c001836B.dat
    C:\windows\system32\__c001AE84.dat
    C:\windows\system32\ccdvnfsb.dll
    C:\windows\system32\fjjlrpnu.dll
    C:\windows\system32\gfnuyhin.dll
    C:\windows\system32\lddjlchj.dll
    C:\windows\system32\sstuv.dll
    C:\windows\system32\uyhwvrgn.dll
    C:\windows\system32\vutss.bak1
    C:\windows\system32\vutss.ini
    C:\windows\system32\wdvxcyzq.dll
    C:\windows\system32\wdvxcyzq.dllbox
    C:\windows\system32\wtxmrrvw.dll
    C:\windows\system32\wvtufotn.dll
    C:\windows\system32\yayxwvv.dll

    Beginning removal...

    Attempting to delete C:\windows\system32\__c001836B.dat
    C:\windows\system32\__c001836B.dat Has been deleted!

    Attempting to delete C:\windows\system32\__c001AE84.dat
    C:\windows\system32\__c001AE84.dat Could not be deleted.

    Attempting to delete C:\windows\system32\ccdvnfsb.dll
    C:\windows\system32\ccdvnfsb.dll Has been deleted!

    Attempting to delete C:\windows\system32\fjjlrpnu.dll
    C:\windows\system32\fjjlrpnu.dll Has been deleted!

    Attempting to delete C:\windows\system32\gfnuyhin.dll
    C:\windows\system32\gfnuyhin.dll Has been deleted!

    Attempting to delete C:\windows\system32\lddjlchj.dll
    C:\windows\system32\lddjlchj.dll Has been deleted!

    Attempting to delete C:\windows\system32\sstuv.dll
    C:\windows\system32\sstuv.dll Could not be deleted.

    Attempting to delete C:\windows\system32\uyhwvrgn.dll
    C:\windows\system32\uyhwvrgn.dll Has been deleted!

    Attempting to delete C:\windows\system32\vutss.bak1
    C:\windows\system32\vutss.bak1 Has been deleted!

    Attempting to delete C:\windows\system32\vutss.ini
    C:\windows\system32\vutss.ini Has been deleted!

    Attempting to delete C:\windows\system32\wdvxcyzq.dll
    C:\windows\system32\wdvxcyzq.dll Has been deleted!

    Attempting to delete C:\windows\system32\wdvxcyzq.dllbox
    C:\windows\system32\wdvxcyzq.dllbox Has been deleted!

    Attempting to delete C:\windows\system32\wtxmrrvw.dll
    C:\windows\system32\wtxmrrvw.dll Has been deleted!

    Attempting to delete C:\windows\system32\wvtufotn.dll
    C:\windows\system32\wvtufotn.dll Has been deleted!

    Attempting to delete C:\windows\system32\yayxwvv.dll
    C:\windows\system32\yayxwvv.dll Has been deleted!

    Performing Repairs to the registry.
    Done!

    Beginning removal...

    Attempting to delete C:\windows\system32\__c001AE84.dat
    C:\windows\system32\__c001AE84.dat Could not be deleted.

    Attempting to delete C:\windows\system32\sstuv.dll
    C:\windows\system32\sstuv.dll Has been deleted!

    Attempting to delete C:\windows\system32\vutss.ini
    C:\windows\system32\vutss.ini Has been deleted!

    Performing Repairs to the registry.
    Done!

    Beginning removal...

    Attempting to delete C:\Program Files\Windows NT\meqo4444.dll
    C:\Program Files\Windows NT\meqo4444.dll Has been deleted!

    Attempting to delete C:\Program Files\Windows NT\meqo83122.dll
    C:\Program Files\Windows NT\meqo83122.dll Has been deleted!

    Attempting to delete C:\WINDOWS\SYSTEM32\ddcccyw.dll
    C:\WINDOWS\SYSTEM32\ddcccyw.dll Could not be deleted.

    Attempting to delete C:\WINDOWS\system32\ddcccyw.dll
    C:\WINDOWS\system32\ddcccyw.dll Could not be deleted.

    Attempting to delete C:\WINDOWS\system32\efnnnvxh.dll
    C:\WINDOWS\system32\efnnnvxh.dll Has been deleted!

    Attempting to delete C:\WINDOWS\system32\xqxngktg.dll
    C:\WINDOWS\system32\xqxngktg.dll Has been deleted!

    Performing Repairs to the registry.
    Done!

    Beginning removal...

    Attempting to delete C:\WINDOWS\SYSTEM32\ddcccyw.dll
    C:\WINDOWS\SYSTEM32\ddcccyw.dll Could not be deleted.

    Attempting to delete C:\WINDOWS\system32\ddcccyw.dll
    C:\WINDOWS\system32\ddcccyw.dll Could not be deleted.

    Performing Repairs to the registry.
    Done!

    ComboFix 07-11-08.1 - Fanette 2007-11-17 15:11:03.1 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.95 [GMT 1:00]
    Running from: C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\Bureau\ComboFix.exe
    * Created a new restore point
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\Documents and Settings\All Users.WINDOWS\Menu Démarrer\Live Safety Center.lnk
    C:\Documents and Settings\All Users.WINDOWS\Menu Démarrer\Online Security Guide.lnk
    C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\Bureau\Live Safety Center.lnk
    C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\Bureau\Online Security Guide.lnk
    C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\Favoris\Online Security Guide.lnk
    C:\Program Files\inetget2
    C:\Program Files\NetMeeting\rteleki.html
    C:\Program Files\Temporary
    C:\Program Files\WinAble
    C:\Program Files\Words
    C:\Program Files\Words\list.txt
    C:\Program Files\Words\UnInstall.exe
    C:\Program Files\Words\Words.exe
    C:\Temp\1cb
    C:\Temp\1cb\syscheck.log
    C:\WINDOWS\b143.exe
    C:\WINDOWS\cookies.ini
    C:\WINDOWS\mrofinu1188.exe
    C:\WINDOWS\system32\__c001AE84.dat
    C:\WINDOWS\system32\b3
    C:\WINDOWS\system32\b3\dnslook11.exe
    C:\WINDOWS\system32\cbaay.dll
    C:\WINDOWS\system32\cmmolmiy.dll
    C:\WINDOWS\system32\ctflmwoc.dll
    C:\WINDOWS\system32\dkwpsttl.dll
    C:\WINDOWS\system32\f1
    C:\WINDOWS\system32\f1\bemwdll3.exe
    C:\WINDOWS\system32\k4
    C:\WINDOWS\system32\k4\mper83122.exe
    C:\WINDOWS\system32\nsdharqy.dll
    C:\WINDOWS\system32\pac.txt
    C:\WINDOWS\system32\tnixvsiy.dll
    C:\WINDOWS\system32\vutss.bak1
    C:\WINDOWS\system32\wxblolnc.dll
    C:\WINDOWS\system32\yaabc.ini
    C:\WINDOWS\system32\yaabc.ini2
    C:\WINDOWS\tk58.exe
    C:\WINDOWS\TTC-4444.exe

    .
    ((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

    .
    -------\LEGACY_CMDSERVICE
    -------\LEGACY_DOMAINSERVICE
    -------\LEGACY_NETWORK_MONITOR
    -------\DomainService

    ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-10-17 to 2007-11-17 ))))))))))))))))))))))))))))))))))))
    .

    2007-11-17 15:08 51,200 --a------ C:\WINDOWS\NirCmd.exe
    2007-11-17 15:05 71,232 --a------ C:\WINDOWS\system32\kwwcukvv.exe
    2007-11-17 12:36 <REP> d-------- C:\VundoFix Backups
    2007-11-17 12:33 120 --a------ C:\n.bat
    2007-11-17 12:32 36,352 --------- C:\WINDOWS\system32\ddcccyw.dll
    2007-11-17 12:10 71,232 --a------ C:\WINDOWS\system32\utugdrqf.exe
    2007-11-17 11:43 <REP> d-------- C:\Program Files\Ashampoo
    2007-11-17 11:23 <REP> d-------- C:\Program Files\Navilog1
    2007-11-16 17:22 36,352 --a------ C:\WINDOWS\system32\efcdccd.dll
    2007-11-15 23:37 95,608 --a------ C:\WINDOWS\system32\AvastSS.scr
    2007-11-15 23:37 42,912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
    2007-11-15 23:37 26,624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
    2007-11-15 23:37 23,152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
    2007-11-15 23:36 <REP> d-------- C:\Program Files\Alwil Software
    2007-11-15 23:36 801,144 --a------ C:\WINDOWS\system32\aswBoot.exe
    2007-11-15 23:36 94,416 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
    2007-11-15 23:36 92,848 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
    2007-11-15 23:23 147,456 --a------ C:\WINDOWS\system32\vbzip10.dll
    2007-11-15 23:22 79,936 --a------ C:\WINDOWS\system32\wvfwhqsq.dll
    2007-11-15 23:19 71,232 --a------ C:\WINDOWS\system32\xyaigkke.exe
    2007-11-15 13:19 <REP> d--hs---- C:\WINDOWS\VW5pY29ybmlz
    2007-11-15 13:19 248,321 --a------ C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\z.dat
    2007-11-15 13:19 40,960 --a------ C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\f.exe
    2007-11-15 13:19 36,352 --a------ C:\WINDOWS\system32\gebaywt.dll
    2007-11-15 13:19 35,840 --a------ C:\WINDOWS\mrofinu1000106.exe
    2007-11-15 13:19 26,943 --a------ C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\x.dat
    2007-11-15 13:18 <REP> d-------- C:\WINDOWS\system32\rMa18yy
    2007-11-15 13:18 <REP> d-------- C:\temp\abW9
    2007-11-13 07:27 88,128 --------- C:\WINDOWS\system32\hphqrveo.dll
    2007-11-12 13:14 <REP> d-------- C:\Program Files\Lavasoft
    2007-11-12 13:14 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
    2007-11-12 13:14 <REP> d-------- C:\Documents and Settings\All Users.WINDOWS\Application Data\Lavasoft
    2007-11-12 12:58 81,472 --a------ C:\WINDOWS\system32\gsqeqxpn.dll
    2007-11-12 12:46 71,232 --a------ C:\WINDOWS\system32\ilpmhxkd.exe
    2007-11-12 12:00 89,664 --------- C:\WINDOWS\system32\vrtvtnud.dll
    2007-11-12 11:54 81,472 --a------ C:\WINDOWS\system32\yrurgpjq.dll
    2007-11-12 11:48 71,232 --a------ C:\WINDOWS\system32\gxwsupxq.exe
    2007-11-11 17:07 <REP> d-------- C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\Application Data\Tor
    2007-11-11 15:10 88,128 --------- C:\WINDOWS\system32\estyygxs.dll
    2007-11-11 15:07 79,936 --a------ C:\WINDOWS\system32\kxtvkntv.dll
    2007-11-11 14:59 172,032 --a------ C:\winlogon.exe
    2007-11-11 14:59 0 --a------ C:\z.dat
    2007-11-11 14:59 0 --a------ C:\x.dat
    2007-10-27 12:47 <REP> d-------- C:\Program Files\eMule

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2007-11-17 14:16 --------- d-----w C:\Program Files\Symantec AntiVirus
    2007-11-17 14:09 --------- d-----w C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\Application Data\LimeWire
    2007-11-16 16:38 --------- d-----w C:\Program Files\Microsoft IntelliType Pro
    2007-11-13 11:29 --------- d-----w C:\Program Files\LimeWire
    2007-11-11 16:07 --------- d-----w C:\Program Files\Incomplete
    2007-11-11 14:03 278,542 ----a-w C:\WINDOWS\Fonts\Setup.exe
    2007-11-11 13:58 278,541 --sh--w C:\WINDOWS\Fonts\svchost.exe
    2007-09-21 11:03 --------- d-----w C:\Program Files\Fichiers communs\InstallShield
    2007-09-21 11:03 --------- d-----w C:\Program Files\DivX
    2007-09-21 11:02 --------- d--h--w C:\Program Files\InstallShield Installation Information
    2007-09-21 11:01 --------- d-----w C:\Program Files\PartyGaming.Net
    2007-09-17 11:49 --------- d-----w C:\Program Files\sesam
    2006-06-04 19:09 278,528 ----a-w C:\Program Files\Fichiers communs\FDEUnInstaller.exe
    2003-04-22 19:02 135,168 ----a-w C:\Program Files\AVIPreview.exe
    2005-07-29 15:24:26 472 --sha-r C:\WINDOWS\VW5pY29ybmlz\pqcDsZ6VvA5W.vbs
    .

    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{05DE02EC-57BB-42C0-84EC-2D7259972833}]
    C:\WINDOWS\system32\sstuv.dll

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{3cdb36a3-bcc1-4561-9c3b-10cf737aac14}]
    C:\WINDOWS\system32\efnnnvxh.dll

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{BBB05D9E-0297-404D-A6BF-D8F2876B84A6}]
    2007-11-17 12:32 36352 --------- C:\WINDOWS\system32\ddcccyw.dll

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E5694970-00EA-43E8-BD3D-611A5FE9C8EA}]
    C:\Program Files\Windows NT\meqo4444.dll

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F8743085-2AC1-4000-9850-C8E32764AC02}]
    C:\Program Files\Windows NT\meqo83122.dll

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50]
    "vptray"="C:\PROGRA~1\SYMANT~1\VPTray.exe" [2004-03-31 14:46]
    "HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd2.exe" []
    "SunJavaUpdateSched"="C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe" []
    "BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-03 23:55 C:\WINDOWS\system32\bthprops.cpl]
    "type32"="C:\Program Files\Microsoft IntelliType Pro\type32.exe" [2004-06-03 09:51]
    "IntelliPoint"="C:\Program Files\Microsoft IntelliPoint\point32.exe" [2004-06-03 09:50]
    "Host Process"="C:\WINDOWS\Fonts\svchost.exe" [2007-11-11 14:58]
    "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-09-06 12:06]
    "AntiSpyWare2Guard"="C:\Program Files\Ashampoo\Ashampoo AntiSpyWare 2\AntiSpyWare2Guard.exe" [2007-08-14 09:29]
    "4c5b09aa"="C:\WINDOWS\system32\xqxngktg.dll" []
    "runner1"="C:\WINDOWS\mrofinu1188.exe" [2007-11-17 15:19]

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "msnmsgr"="C:\PROGRA~1\MSNMES~1\msnmsgr.exe" [2007-01-19 11:55]
    "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:54]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    "{BBB05D9E-0297-404D-A6BF-D8F2876B84A6}"= C:\WINDOWS\system32\ddcccyw.dll [2007-11-17 12:32 36352]

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
    "Authentication Packages"= msv1_0 C:\WINDOWS\system32\cbaay.dll

    R2 AASW2_Service;Ashampoo AntiSpyWare 2 Service;C:\Program Files\Ashampoo\Ashampoo AntiSpyWare 2\AntiSpyWareService.exe

    .
    **************************************************************************

    catchme 0.3.1250 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2007-11-17 15:18:06
    Windows 5.1.2600 Service Pack 2 NTFS

    scanning hidden processes ...

    scanning hidden autostart entries ...

    scanning hidden files ...

    scan completed successfully
    hidden files: 0

    **************************************************************************
    .
    Completion time: 2007-11-17 15:21:08 - machine was rebooted
    .
    --- E O F ---

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 15:22, on 17/11/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Ashampoo\Ashampoo AntiSpyWare 2\AntiSpyWareService.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\drivers\CDAC11BA.EXE
    C:\Program Files\Symantec AntiVirus\DefWatch.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Symantec AntiVirus\Rtvscan.exe
    C:\PROGRA~1\SYMANT~1\VPTray.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\Program Files\Microsoft IntelliType Pro\type32.exe
    C:\Program Files\Microsoft IntelliPoint\point32.exe
    C:\WINDOWS\Fonts\svchost.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Program Files\Ashampoo\Ashampoo AntiSpyWare 2\AntiSpyWare2Guard.exe
    C:\PROGRA~1\MSNMES~1\msnmsgr.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\WINDOWS\System32\alg.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\MSN Messenger\usnsvc.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\WINDOWS\17PHolmes1188.exe
    C:\WINDOWS\system32\wbem\wmiprvse.exe
    C:\WINDOWS\system32\wbem\wmiprvse.exe
    C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
    C:\Program Files\WinRAR\WinRAR.exe
    C:\DOCUME~1\FANETT~1.UNI\LOCALS~1\Temp\Rar$EX00.148\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.files-ftp.com/~unicorni/phpBB2/index.php
    R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.accoona.com/search?q=%s
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: (no name) - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file)
    O2 - BHO: (no name) - {05DE02EC-57BB-42C0-84EC-2D7259972833} - C:\WINDOWS\system32\sstuv.dll (file missing)
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: {41caa737-fc01-b3c9-1654-1ccb3a63bdc3} - {3cdb36a3-bcc1-4561-9c3b-10cf737aac14} - C:\WINDOWS\system32\efnnnvxh.dll (file missing)
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: (no name) - {BBB05D9E-0297-404D-A6BF-D8F2876B84A6} - C:\WINDOWS\system32\ddcccyw.dll
    O2 - BHO: (no name) - {E5694970-00EA-43E8-BD3D-611A5FE9C8EA} - C:\Program Files\Windows NT\meqo4444.dll (file missing)
    O2 - BHO: (no name) - {F8743085-2AC1-4000-9850-C8E32764AC02} - C:\Program Files\Windows NT\meqo83122.dll (file missing)
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
    O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd2.exe"
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
    O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
    O4 - HKLM\..\Run: [type32] "C:\Program Files\Microsoft IntelliType Pro\type32.exe"
    O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"
    O4 - HKLM\..\Run: [Host Process] C:\WINDOWS\Fonts\svchost.exe
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [AntiSpyWare2Guard] C:\Program Files\Ashampoo\Ashampoo AntiSpyWare 2\AntiSpyWare2Guard.exe
    O4 - HKLM\..\Run: [4c5b09aa] rundll32.exe "C:\WINDOWS\system32\xqxngktg.dll",b
    O4 - HKCU\..\Run: [msnmsgr] "C:\PROGRA~1\MSNMES~1\msnmsgr.exe" /background
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Program Files\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
    O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Program Files\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O14 - IERESET.INF: START_PAGE_URL=http://www.files-ftp.com/~unicorni/phpBB2/index.php
    O16 - DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} (AdSignerLCContrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP.cab
    O23 - Service: Ashampoo AntiSpyWare 2 Service (AASW2_Service) - Unknown owner - C:\Program Files\Ashampoo\Ashampoo AntiSpyWare 2\AntiSpyWareService.exe
    O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
    O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
    O23 - Service: Pml Driver HPZ12 - Unknown owner - C:\WINDOWS\system32\HPZipm12.exe (file missing)
    O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
    O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
    0
  8. chrifleur Messages postés 1099 Statut Contributeur 18
     
    je te prépare la suite
    0
  9. Fanou34
     
    OK!
    Merci du temps que tu me consacres.
    0
  10. chrifleur Messages postés 1099 Statut Contributeur 18
     
    désolée de t'avoir fai attendre, j'ai eu des invités

    Copie (Ctrl+C) le texte ci-dessous :
    Folder::
    C:\temp\abW9 
    C:\WINDOWS\system32\rMa18yy
    C:\Program Files\PartyGaming.Net
    
    File::
    C:\WINDOWS\system32\kwwcukvv.exe
    C:\n.bat
    C:\WINDOWS\system32\ddcccyw.dll
    C:\WINDOWS\system32\utugdrqf.exe 
    C:\WINDOWS\system32\efcdccd.dll 
    C:\WINDOWS\system32\wvfwhqsq.dll 
    C:\WINDOWS\system32\vbzip10.dll 
    C:\WINDOWS\system32\xyaigkke.exe
    C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\z.dat
    C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\f.exe
    C:\WINDOWS\system32\gebaywt.dll 
    C:\WINDOWS\mrofinu1000106.exe 
    C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\x.dat
    C:\WINDOWS\system32\hphqrveo.dll 
    C:\WINDOWS\system32\gsqeqxpn.dll
    C:\WINDOWS\system32\ilpmhxkd.exe 
    C:\WINDOWS\system32\vrtvtnud.dll 
    C:\WINDOWS\system32\gxwsupxq.exe
    C:\WINDOWS\system32\yrurgpjq.dll 
    C:\WINDOWS\system32\estyygxs.dll 
    C:\WINDOWS\system32\kxtvkntv.dll 
    C:\z.dat
    C:\x.dat 
    C:\WINDOWS\Fonts\svchost.exe
    C:\WINDOWS\Fonts\Setup.exe 
    C:\WINDOWS\system32\sstuv.dll
    C:\WINDOWS\system32\efnnnvxh.dll
    C:\WINDOWS\system32\ddcccyw.dll
    C:\Program Files\Windows NT\meqo4444.dll
    C:\Program Files\Windows NT\meqo83122.dll
    
    Registry::
    [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{05DE02EC-57BB-42C0-84EC-2D7259972833}]
    [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{3cdb36a3-bcc1-4561-9c3b-10cf737aac14}]
    [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{BBB05D9E-0297-404D-A6BF-D8F2876B84A6}]
    [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E5694970-00EA-43E8-BD3D-611A5FE9C8EA}]
    [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F8743085-2AC1-4000-9850-C8E32764AC02}]
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "4c5b09aa"="-
    "runner1"="- 

    Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte précedemment copié.

    Sauvegarde ce fichier sous le nom de CFScript.txt

    http://img.photobucket.com/albums/v666/sUBs/CFScript.gif

    Comme l'image le montre, fait glisser CFScript.txt sur Combofix.exe

    Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

    Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

    Ne touche à rien tant que le scan n'est pas terminé.

    Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

    Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

    Télécharge SDFix sur ton bureau
    http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

    clic double sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau.
    Redémarre ton ordinateur en mode sans échec
    Comment aller en Mode sans échec lettre C
    https://forum.pcastuces.com/sujet.asp?f=25&s=3902
    1) Redémarre ton ordi
    2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip"
    3) Tu verras un écran avec options de démarrage apparaître
    4) Choisi la première option : Sans Échec, et valide avec "Entrée"
    5) Choisi ton compte régulier, et non Administrateur

    Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et clic double sur RunThis.bat
    Appuie sur Y pour commencer le nettoyage.
    Il va supprimer les services et les entrées du Registre infectés puis te demandera d'appuyer sur une touche pour redémarrer.
    Appuie sur une touche pour redémarrer le PC.
    Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
    Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
    Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
    Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
    Enfin, poste le contenu du fichier Report.txt dans ta prochaine réponse sur le forum,

    0
  11. Fanou34
     
    Ne t'excuses pas pour le temps, c'est déjà très sympa de m'aider! Et je t'en remercie.

    J'ai eu beaucoup de mal à acceder au mode sans echec mais j'ai réussi.

    Voici le rapport:

    SDFix: Version 1.114

    Run by Fanette on 18/11/2007 at 12:28

    Microsoft Windows XP [version 5.1.2600]

    Running From: C:\DOCUME~1\FANETT~1.UNI\Bureau\SDFix\SDFix

    Safe Mode:
    Checking Services:

    Restoring Windows Registry Values
    Restoring Windows Default Hosts File

    Rebooting...

    Normal Mode:
    Checking Files:

    Trojan Files Found:

    C:\WINDOWS\mrofinu1188.exe.tmp - Deleted
    C:\winlogon.exe - Deleted

    Folder C:\WINDOWS\Fonts\' - Removed

    Removing Temp Files...

    ADS Check:

    C:\WINDOWS
    No streams found.

    C:\WINDOWS\system32
    No streams found.

    C:\WINDOWS\system32\svchost.exe
    No streams found.

    C:\WINDOWS\system32\ntoskrnl.exe
    No streams found.

    Final Check:

    catchme 0.3.1262.1 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2007-11-18 12:37:31
    Windows 5.1.2600 Service Pack 2 NTFS

    scanning hidden processes ...

    scanning hidden services & system hive ...

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\000d3c205d04]
    "0012d2c6f789"=hex:c5,96,1e,ec,1b,be,00,17,62,1a,0b,57,6a,19,b3,96
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\000d3c205d04]
    "0012d2c6f789"=hex:c5,96,1e,ec,1b,be,00,17,62,1a,0b,57,6a,19,b3,96

    scanning hidden registry entries ...

    scanning hidden files ...

    C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\Local Settings\Application Data\Microsoft\Messenger\texierfanette@hotmail.com\SharingMetadata\babous34@hotmail.fr\DFSR\Staging\CS{D2504A6D-EE15-5175-DA63-0273EB1D4995}\01\14-{D2504A6D-EE15-5175-DA63-0273EB1D4995}-v1-{9ED5870D-0D51-4518-8CCC-130B27D26476}-v14-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS 8 bytes hidden from API
    C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\Local Settings\Application Data\Microsoft\Messenger\texierfanette@hotmail.com\SharingMetadata\babous34@hotmail.fr\DFSR\Staging\CS{D2504A6D-EE15-5175-DA63-0273EB1D4995}\15\15-{9ED5870D-0D51-4518-8CCC-130B27D26476}-v15-{9ED5870D-0D51-4518-8CCC-130B27D26476}-v15-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.1 11064 bytes hidden from API
    C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\Local Settings\Application Data\Microsoft\Messenger\texierfanette@hotmail.com\SharingMetadata\babous34@hotmail.fr\DFSR\Staging\CS{D2504A6D-EE15-5175-DA63-0273EB1D4995}\15\15-{9ED5870D-0D51-4518-8CCC-130B27D26476}-v15-{9ED5870D-0D51-4518-8CCC-130B27D26476}-v15-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS 1248 bytes hidden from API
    C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\Local Settings\Application Data\Microsoft\Messenger\texierfanette@hotmail.com\SharingMetadata\babous34@hotmail.fr\DFSR\Staging\CS{D2504A6D-EE15-5175-DA63-0273EB1D4995}\16\16-{9ED5870D-0D51-4518-8CCC-130B27D26476}-v16-{9ED5870D-0D51-4518-8CCC-130B27D26476}-v16-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.1 15708 bytes hidden from API
    C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\Local Settings\Application Data\Microsoft\Messenger\texierfanette@hotmail.com\SharingMetadata\babous34@hotmail.fr\DFSR\Staging\CS{D2504A6D-EE15-5175-DA63-0273EB1D4995}\16\16-{9ED5870D-0D51-4518-8CCC-130B27D26476}-v16-{9ED5870D-0D51-4518-8CCC-130B27D26476}-v16-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS 1760 bytes hidden from API
    C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\Local Settings\Application Data\Microsoft\Messenger\texierfanette@hotmail.com\SharingMetadata\franz34c@hotmail.com\DFSR\Staging\CS{A5B0DADD-C0E0-9292-8938-847E6AB16CB6}\01\10-{A5B0DADD-C0E0-9292-8938-847E6AB16CB6}-v1-{9ED5870D-0D51-4518-8CCC-130B27D26476}-v10-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS 8 bytes hidden from API
    C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\Local Settings\Application Data\Microsoft\Messenger\texierfanette@hotmail.com\SharingMetadata\franz34c@hotmail.com\DFSR\Staging\CS{A5B0DADD-C0E0-9292-8938-847E6AB16CB6}\20\20-{0C99A7BF-7976-42E4-9AFD-1B7276D9D553}-v20-{0C99A7BF-7976-42E4-9AFD-1B7276D9D553}-v20-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS 256 bytes hidden from API
    C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\Local Settings\Application Data\Microsoft\Messenger\texierfanette@hotmail.com\SharingMetadata\franz34c@hotmail.com\DFSR\Staging\CS{A5B0DADD-C0E0-9292-8938-847E6AB16CB6}\21\21-{0C99A7BF-7976-42E4-9AFD-1B7276D9D553}-v21-{0C99A7BF-7976-42E4-9AFD-1B7276D9D553}-v21-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS 256 bytes hidden from API
    C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\Local Settings\Application Data\Microsoft\Messenger\texierfanette@hotmail.com\SharingMetadata\franz34c@hotmail.com\DFSR\Staging\CS{A5B0DADD-C0E0-9292-8938-847E6AB16CB6}\22\22-{0C99A7BF-7976-42E4-9AFD-1B7276D9D553}-v22-{0C99A7BF-7976-42E4-9AFD-1B7276D9D553}-v22-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS 240 bytes hidden from API
    C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\Local Settings\Application Data\Microsoft\Messenger\texierfanette@hotmail.com\SharingMetadata\nicopulp@msn.com\DFSR\Staging\CS{51F27798-C247-5838-78DD-96A1817E2F25}\01\12-{51F27798-C247-5838-78DD-96A1817E2F25}-v1-{9ED5870D-0D51-4518-8CCC-130B27D26476}-v12-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS 8 bytes hidden from API
    C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\Local Settings\Application Data\Microsoft\Messenger\texierfanette@hotmail.com\SharingMetadata\nicopulp@msn.com\DFSR\Staging\CS{51F27798-C247-5838-78DD-96A1817E2F25}\13\13-{9ED5870D-0D51-4518-8CCC-130B27D26476}-v13-{9ED5870D-0D51-4518-8CCC-130B27D26476}-v13-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.1 18948 bytes hidden from API
    C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\Local Settings\Application Data\Microsoft\Messenger\texierfanette@hotmail.com\SharingMetadata\nicopulp@msn.com\DFSR\Staging\CS{51F27798-C247-5838-78DD-96A1817E2F25}\13\13-{9ED5870D-0D51-4518-8CCC-130B27D26476}-v13-{9ED5870D-0D51-4518-8CCC-130B27D26476}-v13-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.2 1398 bytes hidden from API
    C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\Local Settings\Application Data\Microsoft\Messenger\texierfanette@hotmail.com\SharingMetadata\nicopulp@msn.com\DFSR\Staging\CS{51F27798-C247-5838-78DD-96A1817E2F25}\13\13-{9ED5870D-0D51-4518-8CCC-130B27D26476}-v13-{9ED5870D-0D51-4518-8CCC-130B27D26476}-v13-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS 2080 bytes hidden from API

    scan completed successfully
    hidden processes: 0
    hidden services: 0
    hidden files: 13

    Remaining Services:
    ------------------

    Authorized Application Key Export:

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
    "C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Messenger"

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

    Remaining Files:
    ---------------

    File Backups: - C:\DOCUME~1\FANETT~1.UNI\Bureau\SDFix\SDFix\backups\backups.zip

    Files with Hidden Attributes:

    Sun 18 Nov 2007 20,810 ..SH. --- "C:\WINDOWS\system32\jmnffjvc.dllbox"
    Thu 29 Mar 2007 4,348 A.SH. --- "C:\Documents and Settings\All Users.WINDOWS\DRM\DRMv1.bak"
    Mon 10 Jul 2006 71,168 ..SHR --- "C:\Program Files\Mio Technology\MioSync\Setup.exe"
    Sat 9 Jul 2005 16,384 A.SHR --- "C:\Program Files\Mio Technology\MioSync\_Setup.dll"
    Sun 15 Apr 2007 0 A.SH. --- "C:\Documents and Settings\All Users.WINDOWS\DRM\Cache\Indiv01.tmp"
    Sun 18 Nov 2007 4,286 A..H. --- "C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\Local Settings\Temp\ico3.tmp"
    Sun 18 Nov 2007 4,286 A..H. --- "C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\Local Settings\Temp\ico4.tmp"
    Sun 18 Nov 2007 4,286 A..H. --- "C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\Local Settings\Temp\ico5.tmp"
    Sun 18 Nov 2007 4,286 A..H. --- "C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\Local Settings\Temp\ico6.tmp"
    Sun 18 Nov 2007 4,286 A..H. --- "C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\Local Settings\Temp\ico7.tmp"

    Finished!
    0
  12. chrifleur Messages postés 1099 Statut Contributeur 18
     
    il me faudrait le rapport combofix stp
    0
  13. Fanou34
     
    Oupss:

    ComboFix 07-11-08.1 - Fanette 2007-11-17 11:46:03.3 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.152 [GMT 1:00]
    Running from: C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\Bureau\ComboFix.exe
    Command switches used :: C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\Bureau\CFScript.txt
    * Created a new restore point

    FILE
    C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\f.exe
    C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\x.dat
    C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\z.dat
    C:\n.bat
    C:\Program Files\Windows NT\meqo4444.dll
    C:\Program Files\Windows NT\meqo83122.dll
    C:\WINDOWS\Fonts\Setup.exe
    C:\WINDOWS\Fonts\svchost.exe
    C:\WINDOWS\mrofinu1000106.exe
    C:\WINDOWS\system32\ddcccyw.dll
    C:\WINDOWS\system32\efcdccd.dll
    C:\WINDOWS\system32\efnnnvxh.dll
    C:\WINDOWS\system32\estyygxs.dll
    C:\WINDOWS\system32\gebaywt.dll
    C:\WINDOWS\system32\gsqeqxpn.dll
    C:\WINDOWS\system32\gxwsupxq.exe
    C:\WINDOWS\system32\hphqrveo.dll
    C:\WINDOWS\system32\ilpmhxkd.exe
    C:\WINDOWS\system32\kwwcukvv.exe
    C:\WINDOWS\system32\kxtvkntv.dll
    C:\WINDOWS\system32\sstuv.dll
    C:\WINDOWS\system32\utugdrqf.exe
    C:\WINDOWS\system32\vbzip10.dll
    C:\WINDOWS\system32\vrtvtnud.dll
    C:\WINDOWS\system32\wvfwhqsq.dll
    C:\WINDOWS\system32\xyaigkke.exe
    C:\WINDOWS\system32\yrurgpjq.dll
    C:\x.dat
    C:\z.dat
    .

    Incapable d'obtenir les privilèges Système

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\Documents and Settings\All Users.WINDOWS\Menu Démarrer\Live Safety Center.lnk
    C:\Documents and Settings\All Users.WINDOWS\Menu Démarrer\Online Security Guide.lnk
    C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\Bureau\Live Safety Center.lnk
    C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\Bureau\Online Security Guide.lnk
    C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\f.exe
    C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\Favoris\Online Security Guide.lnk
    C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\x.dat
    C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\z.dat
    C:\n.bat
    C:\Program Files\PartyGaming.Net
    C:\Program Files\PartyGaming.Net\PartyPokerNet\Language\en_US\articles\67246.html
    C:\Program Files\PartyGaming.Net\PartyPokerNet\Language\en_US\articles\67248.html
    C:\Program Files\PartyGaming.Net\PartyPokerNet\Language\en_US\articles\67250.html
    C:\Program Files\PartyGaming.Net\PartyPokerNet\Notes.txt
    C:\Program Files\PartyGaming.Net\PartyPokerNet\Uninstall.exe
    C:\Program Files\PartyGaming.Net\PartyPokerNet\usertab.txt
    C:\Program Files\PartyGaming.Net\tmpUpgrade\upgradePGNet113-114man.exe
    C:\temp\abW9
    C:\temp\abW9\tPho.log
    C:\WINDOWS\Fonts\Setup.exe
    C:\WINDOWS\Fonts\svchost.exe
    C:\WINDOWS\mrofinu1000106.exe
    C:\WINDOWS\mrofinu1188.exe
    C:\WINDOWS\system32\__c00AAA44.dat
    C:\WINDOWS\system32\__c00E3FB3.dat
    C:\WINDOWS\system32\addgh.ini
    C:\WINDOWS\system32\addgh.ini2
    C:\WINDOWS\system32\ddcccyw.dll
    C:\WINDOWS\system32\efcdccd.dll
    C:\WINDOWS\system32\estyygxs.dll
    C:\WINDOWS\system32\gebaywt.dll
    C:\WINDOWS\system32\gsqeqxpn.dll
    C:\WINDOWS\system32\gxwsupxq.exe
    C:\WINDOWS\system32\hgdda.dll
    C:\WINDOWS\system32\hphqrveo.dll
    C:\WINDOWS\system32\ilpmhxkd.exe
    C:\WINDOWS\system32\jmnffjvc.dllbox
    C:\WINDOWS\system32\kwwcukvv.exe
    C:\WINDOWS\system32\kxtvkntv.dll
    C:\WINDOWS\system32\mmmicbtk.dll
    C:\WINDOWS\system32\rMa18yy
    C:\WINDOWS\system32\rMa18yy\rMa18yy2328.exe
    C:\WINDOWS\system32\utugdrqf.exe
    C:\WINDOWS\system32\vbzip10.dll
    C:\WINDOWS\system32\vrtvtnud.dll
    C:\WINDOWS\system32\wvfwhqsq.dll
    C:\WINDOWS\system32\wvnbejoh.dll
    C:\WINDOWS\system32\wxbeg.ini
    C:\WINDOWS\system32\wxbeg.ini2
    C:\WINDOWS\system32\xyaigkke.exe
    C:\WINDOWS\system32\yqjhfdsf.dll
    C:\WINDOWS\system32\yrurgpjq.dll
    C:\x.dat
    C:\z.dat

    .
    ((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

    .
    -------\LEGACY_DOMAINSERVICE
    -------\DomainService

    ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-10-17 to 2007-11-17 ))))))))))))))))))))))))))))))))))))
    .

    2007-11-18 11:35 79,424 --a------ C:\WINDOWS\system32\kdtbvnaf.dll
    2007-11-18 11:23 85,056 --a------ C:\WINDOWS\system32\yqbkbdwe.dll
    2007-11-18 11:16 71,232 --a------ C:\WINDOWS\system32\vyehffht.exe
    2007-11-18 10:52 36,352 --a------ C:\WINDOWS\system32\efcyvsr.dll
    2007-11-18 10:33 85,056 --------- C:\WINDOWS\system32\sgluorqn.dll
    2007-11-17 19:42 82,496 --a------ C:\WINDOWS\system32\lnyqrmrk.dll
    2007-11-17 19:36 145,984 --a------ C:\WINDOWS\system32\jmnffjvc.dll
    2007-11-17 19:36 145,984 --a------ C:\WINDOWS\system32\ifuoxqwq.dll
    2007-11-17 19:36 71,232 --a------ C:\WINDOWS\system32\xllwbjbe.exe
    2007-11-17 17:13 36,352 --a------ C:\WINDOWS\system32\awtronl.dll
    2007-11-17 16:40 71,232 --a------ C:\WINDOWS\system32\nckapctu.exe
    2007-11-17 16:40 36,352 --a------ C:\WINDOWS\system32\tuvwxvs.dll
    2007-11-17 15:39 36,352 --a------ C:\WINDOWS\system32\ddcbcaa.dll
    2007-11-17 15:08 51,200 --a------ C:\WINDOWS\NirCmd.exe
    2007-11-17 11:43 <REP> d-------- C:\Program Files\Ashampoo
    2007-11-17 11:23 <REP> d-------- C:\Program Files\Navilog1
    2007-11-15 23:37 95,608 --a------ C:\WINDOWS\system32\AvastSS.scr
    2007-11-15 23:37 42,912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
    2007-11-15 23:37 26,624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
    2007-11-15 23:37 23,152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
    2007-11-15 23:36 <REP> d-------- C:\Program Files\Alwil Software
    2007-11-15 23:36 815,480 --a------ C:\WINDOWS\system32\aswBoot.exe
    2007-11-15 23:36 94,416 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
    2007-11-15 23:36 93,264 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
    2007-11-15 13:19 <REP> d--hs---- C:\WINDOWS\VW5pY29ybmlz
    2007-11-12 13:14 <REP> d-------- C:\Program Files\Lavasoft
    2007-11-12 13:14 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
    2007-11-12 13:14 <REP> d-------- C:\Documents and Settings\All Users.WINDOWS\Application Data\Lavasoft
    2007-11-11 17:07 <REP> d-------- C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\Application Data\Tor
    2007-11-11 14:59 172,032 --a------ C:\winlogon.exe
    2007-10-27 12:47 <REP> d-------- C:\Program Files\eMule

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2007-11-18 10:40 --------- d-----w C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\Application Data\LimeWire
    2007-11-17 10:53 --------- d-----w C:\Program Files\Symantec AntiVirus
    2007-11-16 16:38 --------- d-----w C:\Program Files\Microsoft IntelliType Pro
    2007-11-13 11:29 --------- d-----w C:\Program Files\LimeWire
    2007-11-11 16:07 --------- d-----w C:\Program Files\Incomplete
    2007-09-21 11:03 --------- d-----w C:\Program Files\Fichiers communs\InstallShield
    2007-09-21 11:03 --------- d-----w C:\Program Files\DivX
    2007-09-21 11:02 --------- d--h--w C:\Program Files\InstallShield Installation Information
    2007-09-17 11:49 --------- d-----w C:\Program Files\sesam
    2006-06-04 19:09 278,528 ----a-w C:\Program Files\Fichiers communs\FDEUnInstaller.exe
    2003-04-22 19:02 135,168 ----a-w C:\Program Files\AVIPreview.exe
    2005-07-29 15:24:26 472 --sha-r C:\WINDOWS\VW5pY29ybmlz\pqcDsZ6VvA5W.vbs
    .

    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{78e5ebb8-84ec-4f7e-8a0e-f543eb4784f3}]
    2007-11-18 11:35 79424 --a------ C:\WINDOWS\system32\kdtbvnaf.dll

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A95B2816-1D7E-4561-A202-68C0DE02353A}]
    2007-11-17 19:36 145984 --a------ C:\WINDOWS\system32\jmnffjvc.dll

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D25FE5DA-9C34-4443-BFCB-DF47A37B800A}]
    C:\WINDOWS\system32\pmnki.dll

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
    "{11A69AE4-FBED-4832-A2BF-45AF82825583}"= C:\WINDOWS\system32\jmnffjvc.dll [2007-11-17 19:36 145984]

    [HKEY_CLASSES_ROOT\CLSID\{11A69AE4-FBED-4832-A2BF-45AF82825583}]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50]
    "vptray"="C:\PROGRA~1\SYMANT~1\VPTray.exe" [2004-03-31 14:46]
    "HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd2.exe" []
    "SunJavaUpdateSched"="C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe" []
    "BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-03 23:55 C:\WINDOWS\system32\bthprops.cpl]
    "type32"="C:\Program Files\Microsoft IntelliType Pro\type32.exe" [2004-06-03 09:51]
    "IntelliPoint"="C:\Program Files\Microsoft IntelliPoint\point32.exe" [2004-06-03 09:50]
    "Host Process"="C:\WINDOWS\Fonts\svchost.exe" []
    "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-10-25 17:20]
    "AntiSpyWare2Guard"="C:\Program Files\Ashampoo\Ashampoo AntiSpyWare 2\AntiSpyWare2Guard.exe" [2007-08-14 09:29]

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "msnmsgr"="C:\PROGRA~1\MSNMES~1\msnmsgr.exe" [2007-01-19 11:55]
    "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:54]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\jmnffjvc]
    jmnffjvc.dll 2007-11-17 19:36 145984 C:\WINDOWS\system32\jmnffjvc.dll

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
    "Authentication Packages"= msv1_0 C:\WINDOWS\system32\hgdda.dll

    R2 AASW2_Service;Ashampoo AntiSpyWare 2 Service;C:\Program Files\Ashampoo\Ashampoo AntiSpyWare 2\AntiSpyWareService.exe

    .
    **************************************************************************

    catchme 0.3.1250 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2007-11-17 11:54:00
    Windows 5.1.2600 Service Pack 2 NTFS

    scanning hidden processes ...

    scanning hidden autostart entries ...

    scanning hidden files ...

    scan completed successfully
    hidden files: 0

    **************************************************************************
    .
    Completion time: 2007-11-17 11:55:26 - machine was rebooted
    C:\ComboFix2.txt ... 2007-11-17 17:14
    .
    --- E O F ---
    0
  14. chrifleur Messages postés 1099 Statut Contributeur 18
     
    Copie (Ctrl+C) le texte ci-dessous :
    File::
    
    C:\WINDOWS\system32\kdtbvnaf.dll
    C:\WINDOWS\system32\yqbkbdwe.dll
    C:\WINDOWS\system32\efcyvsr.dll
    C:\WINDOWS\system32\sgluorqn.dll
    C:\WINDOWS\system32\lnyqrmrk.dll
    C:\WINDOWS\system32\jmnffjvc.dll
    C:\WINDOWS\system32\ifuoxqwq.dll
    C:\WINDOWS\system32\xllwbjbe.exe
    C:\WINDOWS\system32\awtronl.dll
    C:\WINDOWS\system32\nckapctu.exe
    C:\WINDOWS\system32\tuvwxvs.dll
    C:\WINDOWS\system32\ddcbcaa.dll
    C:\WINDOWS\system32\jmnffjvc.dllbox
    C:\WINDOWS\system32\pmnki.dll
    C:\WINDOWS\system32\hgdda.dll
    
    Registry::
    
    [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{78e5ebb8-84ec-4f7e-8a0e-f543eb4784f3}]
    [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A95B2816-1D7E-4561-A202-68C0DE02353A}]
    [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D25FE5DA-9C34-4443-BFCB-DF47A37B800A}]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
    "{11A69AE4-FBED-4832-A2BF-45AF82825583}"=-
    [-HKEY_CLASSES_ROOT\CLSID\{11A69AE4-FBED-4832-A2BF-45AF82825583}]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Host Process"=-
    [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\jmnffjvc]

    Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte précedemment copié.

    Sauvegarde ce fichier sous le nom de CFScript.txt

    http://img.photobucket.com/albums/v666/sUBs/CFScript.gif

    Comme l'image le montre, fait glisser CFScript.txt sur Combofix.exe

    Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

    Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

    Ne touche à rien tant que le scan n'est pas terminé.

    Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

    Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

    télécharge antivir
    https://www.pcastuces.com/logitheque/antivir.htm

    désactive avast

    installe antivir et mets le à jour
    tuto pour le paramétrer
    http://mr.dodo.perso.cegetel.net/tuto21.htm

    redémarre en mode sans échec

    1) Redémarre ton ordi
    2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip"
    3) Tu verras un écran avec options de démarrage apparaître
    4) Choisis la première option : Sans Échec, et valide avec "Entrée"
    5) Choisis ton compte habituel, et non Administrateur

    lance antivir et scanne ton poste de travail

    poste le rapport obtenu, le rapport combofix et un rapport hijack this

    si antivir te convient...supprime avast moins performant et moins réactif face aux nouvelles infections...
    https://forum.pcastuces.com/sujet.asp?f=25&s=33867
    0
  15. Fanou34
     
    ComboFix 07-11-08.1 - Fanette 2007-11-17 14:48:54.5 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.241 [GMT 1:00]
    Running from: C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\Bureau\ComboFix.exe
    Command switches used :: C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\Bureau\CFScript.txt
    * Created a new restore point

    FILE
    C:\WINDOWS\system32\awtronl.dll
    C:\WINDOWS\system32\ddcbcaa.dll
    C:\WINDOWS\system32\efcyvsr.dll
    C:\WINDOWS\system32\hgdda.dll
    C:\WINDOWS\system32\ifuoxqwq.dll
    C:\WINDOWS\system32\jmnffjvc.dll
    C:\WINDOWS\system32\jmnffjvc.dllbox
    C:\WINDOWS\system32\kdtbvnaf.dll
    C:\WINDOWS\system32\lnyqrmrk.dll
    C:\WINDOWS\system32\nckapctu.exe
    C:\WINDOWS\system32\pmnki.dll
    C:\WINDOWS\system32\sgluorqn.dll
    C:\WINDOWS\system32\tuvwxvs.dll
    C:\WINDOWS\system32\xllwbjbe.exe
    C:\WINDOWS\system32\yqbkbdwe.dll
    .

    Incapable d'obtenir les privilèges Système

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\Documents and Settings\All Users.WINDOWS\Menu Démarrer\Live Safety Center.lnk
    C:\Documents and Settings\All Users.WINDOWS\Menu Démarrer\Online Security Guide.lnk
    C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\Bureau\Live Safety Center.lnk
    C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\Bureau\Online Security Guide.lnk
    C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\Favoris\Online Security Guide.lnk
    C:\WINDOWS\system32\awtronl.dll
    C:\WINDOWS\system32\ddcbcaa.dll
    C:\WINDOWS\system32\efcyvsr.dll
    C:\WINDOWS\system32\ifuoxqwq.dll
    C:\WINDOWS\system32\jmnffjvc.dll
    C:\WINDOWS\system32\jmnffjvc.dllbox
    C:\WINDOWS\system32\lnyqrmrk.dll
    C:\WINDOWS\system32\nckapctu.exe
    C:\WINDOWS\system32\sgluorqn.dll
    C:\WINDOWS\system32\tuvwxvs.dll
    C:\WINDOWS\system32\xllwbjbe.exe
    C:\WINDOWS\system32\yqbkbdwe.dll

    .
    ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-10-17 to 2007-11-17 ))))))))))))))))))))))))))))))))))))
    .

    2007-11-18 14:33 <REP> d-------- C:\Program Files\Avira
    2007-11-18 14:33 <REP> d-------- C:\Documents and Settings\All Users.WINDOWS\Application Data\Avira
    2007-11-18 12:27 <REP> d-------- C:\WINDOWS\ERUNT
    2007-11-18 11:35 79,424 --a------ C:\WINDOWS\system32\kdtbvnaf.VIR
    2007-11-18 11:16 71,232 --a------ C:\WINDOWS\system32\vyehffht.exe
    2007-11-17 15:08 51,200 --a------ C:\WINDOWS\NirCmd.exe
    2007-11-17 11:43 <REP> d-------- C:\Program Files\Ashampoo
    2007-11-17 11:23 <REP> d-------- C:\Program Files\Navilog1
    2007-11-15 23:37 95,608 --a------ C:\WINDOWS\system32\AvastSS.scr
    2007-11-15 23:37 42,912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
    2007-11-15 23:37 26,624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
    2007-11-15 23:37 23,152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
    2007-11-15 23:36 <REP> d-------- C:\Program Files\Alwil Software
    2007-11-15 23:36 815,480 --a------ C:\WINDOWS\system32\aswBoot.exe
    2007-11-15 23:36 94,416 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
    2007-11-15 23:36 93,264 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
    2007-11-15 13:19 <REP> d--hs---- C:\WINDOWS\VW5pY29ybmlz
    2007-11-12 13:14 <REP> d-------- C:\Program Files\Lavasoft
    2007-11-12 13:14 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
    2007-11-12 13:14 <REP> d-------- C:\Documents and Settings\All Users.WINDOWS\Application Data\Lavasoft
    2007-11-11 17:07 <REP> d-------- C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\Application Data\Tor
    2007-10-27 12:47 <REP> d-------- C:\Program Files\eMule

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2007-11-18 10:40 --------- d-----w C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\Application Data\LimeWire
    2007-11-17 13:52 --------- d-----w C:\Program Files\Symantec AntiVirus
    2007-11-16 16:38 --------- d-----w C:\Program Files\Microsoft IntelliType Pro
    2007-11-13 11:29 --------- d-----w C:\Program Files\LimeWire
    2007-11-11 16:07 --------- d-----w C:\Program Files\Incomplete
    2007-09-21 11:03 --------- d-----w C:\Program Files\Fichiers communs\InstallShield
    2007-09-21 11:03 --------- d-----w C:\Program Files\DivX
    2007-09-21 11:02 --------- d--h--w C:\Program Files\InstallShield Installation Information
    2007-09-17 11:49 --------- d-----w C:\Program Files\sesam
    2007-08-21 06:17 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
    2006-06-04 19:09 278,528 ----a-w C:\Program Files\Fichiers communs\FDEUnInstaller.exe
    2003-04-22 19:02 135,168 ----a-w C:\Program Files\AVIPreview.exe
    2005-07-29 15:24:26 472 --sha-r C:\WINDOWS\VW5pY29ybmlz\pqcDsZ6VvA5W.vbs
    .

    ((((((((((((((((((((((((((((( snapshot@2007-11-17_11.54.46.33 )))))))))))))))))))))))))))))))))))))))))
    .
    + 2007-11-16 04:09:51 163,328 ----a-w C:\WINDOWS\ERUNT\SDFIX\ERDNT.EXE
    + 2007-11-18 11:27:54 5,615,616 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\[u]0[/u]0000001\ntuser.dat
    + 2007-11-18 11:27:54 102,400 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\[u]0[/u]0000002\UsrClass.dat
    + 2007-11-16 04:09:51 163,328 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\ERDNT.EXE
    + 2007-11-18 11:27:43 5,615,616 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\[u]0[/u]0000001\ntuser.dat
    + 2007-11-18 11:27:43 102,400 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\[u]0[/u]0000002\UsrClass.dat
    + 2007-08-09 12:04:11 40,768 ----a-w C:\WINDOWS\system32\drivers\avgntdd.sys
    + 2007-07-18 13:22:19 21,312 ----a-w C:\WINDOWS\system32\drivers\avgntmgr.sys
    + 2007-11-18 13:34:54 61,632 ----a-w C:\WINDOWS\system32\drivers\avipbb.sys
    + 2007-03-01 09:34:36 28,352 ----a-w C:\WINDOWS\system32\drivers\ssmdrv.sys
    - 2007-11-18 10:39:56 40,972 ----a-w C:\WINDOWS\system32\perfc009.dat
    + 2007-11-18 12:13:00 40,972 ----a-w C:\WINDOWS\system32\perfc009.dat
    - 2007-11-18 10:39:56 49,734 ----a-w C:\WINDOWS\system32\perfc00C.dat
    + 2007-11-18 12:13:00 49,734 ----a-w C:\WINDOWS\system32\perfc00C.dat
    - 2007-11-18 10:39:56 314,644 ----a-w C:\WINDOWS\system32\perfh009.dat
    + 2007-11-18 12:13:00 314,644 ----a-w C:\WINDOWS\system32\perfh009.dat
    - 2007-11-18 10:39:57 370,832 ----a-w C:\WINDOWS\system32\perfh00C.dat
    + 2007-11-18 12:13:00 370,832 ----a-w C:\WINDOWS\system32\perfh00C.dat
    + 2007-11-17 13:53:36 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_500.dat
    .
    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50]
    "vptray"="C:\PROGRA~1\SYMANT~1\VPTray.exe" [2004-03-31 14:46]
    "HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd2.exe" []
    "SunJavaUpdateSched"="C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe" []
    "BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-03 23:55 C:\WINDOWS\system32\bthprops.cpl]
    "type32"="C:\Program Files\Microsoft IntelliType Pro\type32.exe" [2004-06-03 09:51]
    "IntelliPoint"="C:\Program Files\Microsoft IntelliPoint\point32.exe" [2004-06-03 09:50]
    "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-10-25 17:20]
    "AntiSpyWare2Guard"="C:\Program Files\Ashampoo\Ashampoo AntiSpyWare 2\AntiSpyWare2Guard.exe" [2007-08-14 09:29]
    "avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-11-18 14:34]

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "msnmsgr"="C:\PROGRA~1\MSNMES~1\msnmsgr.exe" [2007-01-19 11:55]
    "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:54]

    R2 AASW2_Service;Ashampoo AntiSpyWare 2 Service;C:\Program Files\Ashampoo\Ashampoo AntiSpyWare 2\AntiSpyWareService.exe

    *Newly Created Service* - SSMDRV
    .
    **************************************************************************

    catchme 0.3.1250 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2007-11-17 14:54:26
    Windows 5.1.2600 Service Pack 2 NTFS

    scanning hidden processes ...

    scanning hidden autostart entries ...

    scanning hidden files ...

    scan completed successfully
    hidden files: 0

    **************************************************************************
    .
    Completion time: 2007-11-17 14:55:05 - machine was rebooted
    C:\ComboFix2.txt ... 2007-11-17 11:55
    C:\ComboFix3.txt ... 2007-11-17 17:14
    .
    --- E O F ---

    AntiVir PersonalEdition Classic
    Report file date: samedi 17 novembre 2007 15:06

    Scanning for 932510 virus strains and unwanted programs.

    Licensed to: Avira AntiVir PersonalEdition Classic
    Serial number: 0000149996-ADJIE-0001
    Platform: Windows XP
    Windows version: (Service Pack 2) [5.1.2600]
    Username: Fanette
    Computer name: UNICORNI-2D2FA9

    Version information:
    BUILD.DAT : 270 15603 Bytes 19/09/2007 13:32:00
    AVSCAN.EXE : 7.0.6.1 290856 Bytes 23/08/2007 13:16:29
    AVSCAN.DLL : 7.0.6.0 49192 Bytes 16/08/2007 12:23:51
    LUKE.DLL : 7.0.5.3 147496 Bytes 14/08/2007 15:32:47
    LUKERES.DLL : 7.0.6.1 10280 Bytes 21/08/2007 12:35:20
    ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 14:27:15
    ANTIVIR1.VDF : 7.0.0.0 1640448 Bytes 13/09/2007 14:26:55
    ANTIVIR2.VDF : 7.0.0.198 1206272 Bytes 11/11/2007 13:34:54
    ANTIVIR3.VDF : 7.0.0.226 98304 Bytes 16/11/2007 13:34:54
    AVEWIN32.DLL : 7.6.0.34 3125760 Bytes 18/11/2007 13:34:54
    AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 10:36:26
    AVPREF.DLL : 7.0.2.2 25640 Bytes 18/07/2007 07:39:17
    AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 13:16:24
    AVPACK32.DLL : 7.3.0.15 360488 Bytes 03/08/2007 08:46:00
    AVREG.DLL : 7.0.1.6 30760 Bytes 18/07/2007 07:17:06
    AVARKT.DLL : 1.0.0.20 278568 Bytes 28/08/2007 12:26:33
    AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18/07/2007 07:10:18
    NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 11:09:42
    RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07/08/2007 12:38:13
    RCTEXT.DLL : 7.0.62.0 86056 Bytes 21/08/2007 12:50:37
    SQLITE3.DLL : 3.3.17.1 339968 Bytes 23/07/2007 09:37:21

    Configuration settings for the scan:
    Jobname..........................: Local Drives
    Configuration file...............: c:\program files\avira\antivir personaledition classic\alldrives.avp
    Logging..........................: low
    Primary action...................: quarantine
    Secondary action.................: ignore
    Scan master boot sector..........: off
    Scan boot sector.................: on
    Boot sectors.....................: G:,
    Scan memory......................: on
    Process scan.....................: on
    Scan registry....................: on
    Search for rootkits..............: off
    Scan all files...................: Intelligent file selection
    Scan archives....................: on
    Recursion depth..................: 20
    Smart extensions.................: on
    Deviating archive types..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
    Macro heuristic..................: on
    File heuristic...................: medium

    Start of the scan: samedi 17 novembre 2007 15:06

    The scan of running processes will be started
    Scan process 'avscan.exe' - '1' Module(s) have been scanned
    Scan process 'avcenter.exe' - '1' Module(s) have been scanned
    Scan process 'avgnt.exe' - '1' Module(s) have been scanned
    Scan process 'explorer.exe' - '1' Module(s) have been scanned
    Scan process 'svchost.exe' - '1' Module(s) have been scanned
    Scan process 'aawservice.exe' - '1' Module(s) have been scanned
    Scan process 'svchost.exe' - '1' Module(s) have been scanned
    Scan process 'svchost.exe' - '1' Module(s) have been scanned
    Scan process 'lsass.exe' - '1' Module(s) have been scanned
    Scan process 'services.exe' - '1' Module(s) have been scanned
    Scan process 'winlogon.exe' - '1' Module(s) have been scanned
    Scan process 'csrss.exe' - '1' Module(s) have been scanned
    Scan process 'smss.exe' - '1' Module(s) have been scanned
    13 processes with 13 modules were scanned

    Start scanning boot sectors:
    Boot sector 'C:\'
    [NOTE] No virus was found!
    Boot sector 'D:\'
    [NOTE] No virus was found!
    Boot sector 'E:\'
    [NOTE] No virus was found!
    Boot sector 'A:\'
    [NOTE] In the drive 'A:\' no data medium is inserted!
    Boot sector 'H:\'
    [NOTE] In the drive 'H:\' no data medium is inserted!
    Boot sector 'I:\'
    [NOTE] No virus was found!

    Starting to scan the registry.
    The registry was scanned ( '28' files ).

    Starting the file scan:

    Begin scan in 'C:\' <Systeme>
    C:\pagefile.sys
    [WARNING] The file could not be opened!
    C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\Bureau\SDFix\SDFix\backups\backups.zip
    [0] Archive type: ZIP
    --> backups/mrofinu1188.exe.tmp
    [DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
    [INFO] The file was moved to '47a1f61e.qua'!
    C:\Program Files\Corel\Corel Paint Shop Pro X\replacer.exe
    [DETECTION] Is the Trojan horse TR/Crackpai.A.19
    [INFO] The file was moved to '47aef879.qua'!
    C:\Program Files\LimeWire\crack simcity 3000.zip
    [0] Archive type: ZIP
    --> setup.exe
    [DETECTION] Contains detection pattern of the dropper DR/TrafficSol.M.1
    [INFO] The file was moved to '479ffbc2.qua'!
    C:\qoobox\Quarantine\catchme2007-11-17_115349.14.zip
    [0] Archive type: ZIP
    --> __c00E3FB3.dat
    [DETECTION] Is the Trojan horse TR/Dldr.Agen.ZV.1.B
    [INFO] The file was moved to '47b2fd23.qua'!
    C:\qoobox\Quarantine\catchme2007-11-17_145342.73.zip
    [DETECTION] Is the Trojan horse TR/Vundo.CA
    [INFO] The file was moved to '47b2fd24.qua'!
    C:\qoobox\Quarantine\C\WINDOWS\mrofinu1000106.exe.vir
    [DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
    [INFO] The file was moved to '47adfd36.qua'!
    C:\qoobox\Quarantine\C\WINDOWS\mrofinu1188.exe.vir
    [DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
    [INFO] The file was moved to '46d3b7c7.qua'!
    C:\qoobox\Quarantine\C\WINDOWS\Fonts\Setup.exe.vir
    [DETECTION] Is the Trojan horse TR/Agent.VB.AQC
    [INFO] The file was moved to '47b2fd2a.qua'!
    C:\qoobox\Quarantine\C\WINDOWS\Fonts\svchost.exe.vir
    [DETECTION] Is the Trojan horse TR/Agent.VB.AQC
    [INFO] The file was moved to '47a1fd3b.qua'!
    C:\qoobox\Quarantine\C\WINDOWS\system32\awtronl.dll.vir
    [DETECTION] Is the Trojan horse TR/Drop.Agent.JC
    [INFO] The file was moved to '47b2fd3c.qua'!
    C:\qoobox\Quarantine\C\WINDOWS\system32\ddcbcaa.dll.vir
    [DETECTION] Is the Trojan horse TR/Drop.Agent.JC
    [INFO] The file was moved to '47a1fd2a.qua'!
    C:\qoobox\Quarantine\C\WINDOWS\system32\ddcccyw.dll.vir
    [DETECTION] Is the Trojan horse TR/Drop.Agent.JC
    [INFO] The file was moved to '46dead53.qua'!
    C:\qoobox\Quarantine\C\WINDOWS\system32\efcdccd.dll.vir
    [DETECTION] Is the Trojan horse TR/Drop.Agent.JC
    [INFO] The file was moved to '47a1fd2c.qua'!
    C:\qoobox\Quarantine\C\WINDOWS\system32\efcyvsr.dll.vir
    [DETECTION] Is the Trojan horse TR/Drop.Agent.JC
    [INFO] The file was moved to '46dead55.qua'!
    C:\qoobox\Quarantine\C\WINDOWS\system32\gebaywt.dll.vir
    [DETECTION] Is the Trojan horse TR/Drop.Agent.JC
    [INFO] The file was moved to '47a0fd2c.qua'!
    C:\qoobox\Quarantine\C\WINDOWS\system32\gsqeqxpn.dll.vir
    [DETECTION] Is the Trojan horse TR/Dldr.ConHook.Gen
    [INFO] The file was moved to '47affd3a.qua'!
    C:\qoobox\Quarantine\C\WINDOWS\system32\gxwsupxq.exe.vir
    [DETECTION] Is the Trojan horse TR/Fotomoto.F.1
    [INFO] The file was moved to '47b5fd3f.qua'!
    C:\qoobox\Quarantine\C\WINDOWS\system32\hgdda.dll.vir
    [DETECTION] Is the Trojan horse TR/Vundo.Gen
    [INFO] The file was moved to '47a2fd2f.qua'!
    C:\qoobox\Quarantine\C\WINDOWS\system32\hphqrveo.dll.vir
    [DETECTION] Is the Trojan horse TR/Vundo.AT
    [INFO] The file was moved to '47a6fd38.qua'!
    C:\qoobox\Quarantine\C\WINDOWS\system32\ifuoxqwq.dll.vir
    [DETECTION] Is the Trojan horse TR/Vundo.CA
    [INFO] The file was moved to '47b3fd2f.qua'!
    C:\qoobox\Quarantine\C\WINDOWS\system32\ilpmhxkd.exe.vir
    [DETECTION] Is the Trojan horse TR/Fotomoto.F.1
    [INFO] The file was moved to '47aefd35.qua'!
    C:\qoobox\Quarantine\C\WINDOWS\system32\jmnffjvc.dll.vir
    [DETECTION] Is the Trojan horse TR/Vundo.CA
    [INFO] The file was moved to '47acfd36.qua'!
    C:\qoobox\Quarantine\C\WINDOWS\system32\kwwcukvv.exe.vir
    [DETECTION] Is the Trojan horse TR/Fotomoto.F.1
    [INFO] The file was moved to '47b5fd40.qua'!
    C:\qoobox\Quarantine\C\WINDOWS\system32\kxtvkntv.dll.vir
    [DETECTION] Is the Trojan horse TR/Dldr.ConHook.Gen
    [INFO] The file was moved to '47b2fd42.qua'!
    C:\qoobox\Quarantine\C\WINDOWS\system32\lnyqrmrk.dll.vir
    [DETECTION] Is the Trojan horse TR/Dldr.ConHook.Gen
    [INFO] The file was moved to '47b7fd38.qua'!
    C:\qoobox\Quarantine\C\WINDOWS\system32\mmmicbtk.dll.vir
    [DETECTION] Is the Trojan horse TR/Dldr.Agen.ZV.1.B
    [INFO] The file was moved to '47abfd37.qua'!
    C:\qoobox\Quarantine\C\WINDOWS\system32\nckapctu.exe.vir
    [DETECTION] Is the Trojan horse TR/Fotomoto.F.1
    [INFO] The file was moved to '47a9fd2e.qua'!
    C:\qoobox\Quarantine\C\WINDOWS\system32\sgluorqn.dll.vir
    [DETECTION] Is the Trojan horse TR/Vundo.AU
    [INFO] The file was moved to '47aafd32.qua'!
    C:\qoobox\Quarantine\C\WINDOWS\system32\tuvwxvs.dll.vir
    [DETECTION] Is the Trojan horse TR/Drop.Agent.JC
    [INFO] The file was moved to '47b4fd40.qua'!
    C:\qoobox\Quarantine\C\WINDOWS\system32\utugdrqf.exe.vir
    [DETECTION] Is the Trojan horse TR/Fotomoto.F.1
    [INFO] The file was moved to '47b3fd40.qua'!
    C:\qoobox\Quarantine\C\WINDOWS\system32\vrtvtnud.dll.vir
    [DETECTION] Is the Trojan horse TR/Vundo.DQE
    [INFO] The file was moved to '47b2fd3e.qua'!
    C:\qoobox\Quarantine\C\WINDOWS\system32\wvfwhqsq.dll.vir
    [DETECTION] Is the Trojan horse TR/Dldr.ConHook.Gen
    [INFO] The file was moved to '47a4fd42.qua'!
    C:\qoobox\Quarantine\C\WINDOWS\system32\wvnbejoh.dll.vir
    [DETECTION] Is the Trojan horse TR/Dldr.Agen.ZV.1.B
    [INFO] The file was moved to '47acfd43.qua'!
    C:\qoobox\Quarantine\C\WINDOWS\system32\xllwbjbe.exe.vir
    [DETECTION] Is the Trojan horse TR/Fotomoto.F.1
    [INFO] The file was moved to '47aafd39.qua'!
    C:\qoobox\Quarantine\C\WINDOWS\system32\xyaigkke.exe.vir
    [DETECTION] Is the Trojan horse TR/Fotomoto.F.1
    [INFO] The file was moved to '479ffd46.qua'!
    C:\qoobox\Quarantine\C\WINDOWS\system32\yqbkbdwe.dll.vir
    [DETECTION] Is the Trojan horse TR/Vundo.AU
    [INFO] The file was moved to '47a0fd3f.qua'!
    C:\qoobox\Quarantine\C\WINDOWS\system32\yqjhfdsf.dll.vir
    [DETECTION] Is the Trojan horse TR/Dldr.Agen.ZV.1.B
    [INFO] The file was moved to '47a8fd3f.qua'!
    C:\qoobox\Quarantine\C\WINDOWS\system32\yrurgpjq.dll.vir
    [DETECTION] Is the Trojan horse TR/Dldr.ConHook.Gen
    [INFO] The file was moved to '46ccad39.qua'!
    C:\qoobox\Quarantine\C\WINDOWS\system32\__c00AAA44.dat.vir
    [DETECTION] Is the Trojan horse TR/Dldr.Agen.ZV.1.B
    [INFO] The file was moved to '47a1fd2e.qua'!
    C:\qoobox\Quarantine\C\WINDOWS\system32\__c00E3FB3.dat.vir
    [DETECTION] Is the Trojan horse TR/Trash.Gen
    [INFO] The file was moved to '46dead57.qua'!
    C:\SSV\Supssv.bat
    [DETECTION] Contains suspicious code HEUR/Trojan.DIRKiller
    [INFO] The file was moved to '47aefd8c.qua'!
    C:\WINDOWS\system32\kdtbvnaf.VIR
    [DETECTION] Is the Trojan horse TR/Dldr.ConHook.Gen
    [INFO] The file was moved to '47b3000a.qua'!
    C:\WINDOWS\system32\vyehffht.exe
    [DETECTION] Is the Trojan horse TR/Fotomoto.F.1
    [INFO] The file was moved to '47a40050.qua'!
    Begin scan in 'D:\' <Documents>
    D:\Ma musique\telecharg\Adobe Photoshop CS3 Extended + Regkey + Activation.zip
    [0] Archive type: ZIP
    --> Setup.exe
    [DETECTION] Contains detection pattern of the worm WORM/Rbot.174080
    [INFO] The file was moved to '47ae02b3.qua'!
    D:\Ma musique\telecharg\SimCity 4 Deluxe Edition iSO.zip
    [0] Archive type: ZIP
    --> Setup.exe
    [DETECTION] Is the Trojan horse TR/Agent.VB.AQC
    [INFO] The file was moved to '47ac02bb.qua'!
    Begin scan in 'E:\'
    Begin scan in 'A:\'
    Search path A:\ could not be opened!
    Le périphérique n'est pas prêt.

    Begin scan in 'H:\'
    Search path H:\ could not be opened!
    Le périphérique n'est pas prêt.

    Begin scan in 'I:\' <PKBACK# 001>
    Begin scan in 'F:\'
    Search path F:\ could not be opened!
    Le périphérique n'est pas prêt.

    Begin scan in 'G:\'
    Search path G:\ could not be opened!
    Fonction incorrecte.

    End of the scan: samedi 17 novembre 2007 16:23
    Used time: 1:17:17 min

    The scan has been done completely.

    5962 Scanning directories
    396925 Files were scanned
    44 viruses and/or unwanted programs were found
    1 Files were classified as suspicious:
    0 files were deleted
    0 files were repaired
    45 files were moved to quarantine
    0 files were renamed
    1 Files cannot be scanned
    396881 Files not concerned
    1669 Archives were scanned
    1 Warnings
    0 Notes

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 16:48, on 18/11/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\PROGRA~1\SYMANT~1\VPTray.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\Program Files\Microsoft IntelliType Pro\type32.exe
    C:\Program Files\Microsoft IntelliPoint\point32.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    C:\PROGRA~1\MSNMES~1\msnmsgr.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Ashampoo\Ashampoo AntiSpyWare 2\AntiSpyWareService.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    C:\WINDOWS\system32\drivers\CDAC11BA.EXE
    C:\Program Files\Symantec AntiVirus\DefWatch.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Symantec AntiVirus\Rtvscan.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\MSN Messenger\usnsvc.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Program Files\WinRAR\WinRAR.exe
    C:\DOCUME~1\FANETT~1.UNI\LOCALS~1\Temp\Rar$EX00.502\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.files-ftp.com/~unicorni/phpBB2/index.php
    R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.accoona.com/search?q=%s
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: (no name) - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file)
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
    O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd2.exe"
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
    O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
    O4 - HKLM\..\Run: [type32] "C:\Program Files\Microsoft IntelliType Pro\type32.exe"
    O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [AntiSpyWare2Guard] C:\Program Files\Ashampoo\Ashampoo AntiSpyWare 2\AntiSpyWare2Guard.exe
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKCU\..\Run: [msnmsgr] "C:\PROGRA~1\MSNMES~1\msnmsgr.exe" /background
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Program Files\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
    O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Program Files\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O14 - IERESET.INF: START_PAGE_URL=http://www.files-ftp.com/~unicorni/phpBB2/index.php
    O16 - DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} (AdSignerLCContrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP.cab
    O23 - Service: Ashampoo AntiSpyWare 2 Service (AASW2_Service) - Unknown owner - C:\Program Files\Ashampoo\Ashampoo AntiSpyWare 2\AntiSpyWareService.exe
    O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
    O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
    O23 - Service: Pml Driver HPZ12 - Unknown owner - C:\WINDOWS\system32\HPZipm12.exe (file missing)
    O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
    O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
    0
  16. chrifleur Messages postés 1099 Statut Contributeur 18
     
    je crois qu'on y est arrivé!!
    comment se comporte le PC?
    je te conseille de supprimer avast et de conserver antivir, en tout cas, il faut choisir l'un ou l'autre car 2 antivirus sur un PC = source de conflit
    on va vérifier une ultime fois avec un scan en ligne
    supprime Combofix
    C:\qoobox
    tous les outils utilisés,
    les rapports obtenus (sauf si tu veux les conserver en souvenir lol!!! mdr !!!)
    et fais ceci
    faire un scan antivirus en ligne avec Internet explorer et accepter l'ActiveX
    poster le rapport ici ensuite
    https://www.bitdefender.fr/

    En bas, à gauche de la fenêtre, clique sur BitDefender SCAN ONLINE
    Dans la nouvelle fenêtre, clique sur j’accepte
    La fenêtre change encore, clique sur scanner
    Les signatures se chargent, etc.

    tuto en image
    http://pageperso.aol.fr/rginformatique/mapage/defender.htm
    0
  17. Fanou34
     
    Je viens de repasser sur IE et il se comporte bien, la toolbar qui s'était installée a disparu. Je n'ai plus de fenêtres intempestives. Génial. Merci!

    J'ai désinstallé Avast pour laisser Antivir. Par contre , mon ancien antivirus (symantec) est toujours désactivé et je n'arrive toujours ni à le réactiver ni à le désinstaller.

    Le scan en ligne est en cours.
    0
  18. chrifleur Messages postés 1099 Statut Contributeur 18
     
    oups...tu as symantec?
    tu l'as acheté? je te conseille de le supprimer, pour ne pas avoir de conflits
    si non voici l'utilitaire pour le désinstaller proprement
    https://www.pcastuces.com/newsletter/adj/1630.htm
    remets moi un rapport hiajck this ensuite pour que je vérifie que tout est parti
    n'oublie pas de supprimer le live update de norton par ajout suppression de programmes
    0
  19. Fanou34
     
    Non je ne l'ai pas acheté c'est l'ami qui a monté mon pc qui me l'a installé. Jusqu'ici il ne m'avait pas posé de problème.

    Par contre NRT me demande de desinstaller symùantec par l'ajout supresssion de programme avant de l'utiliser.
    Mais je ne peux pas le faire; la procédure de desinstallation se lance puis j'ai une fenetre qui s'ouvre:"Erreur irrécupérable lors de l'installation"
    0
  20. chrifleur Messages postés 1099 Statut Contributeur 18
     
    essaie en mode sans échec
    1) Redémarre ton ordi
    2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip"
    3) Tu verras un écran avec options de démarrage apparaître
    4) Choisis la première option : Sans Échec, et valide avec "Entrée"
    5) Choisis ton compte habituel, et non Administrateur

    0
  21. Fanou34
     
    Voilà les deux rapports:

    Mais la situation pour mon antivirus est toujours la même :(

    BitDefender Online Scanner - Rapport virus en temps réel
    Généré à: Sun, Nov 18, 2007 - 19:17:26
    ________________________________________
    Info d'analyse
    Fichiers scannés 249325
    Infectés Fichiers 4

    Virus Détectés
    Trojan.Downloader.WinFixer.AU 1
    Trojan.Downloader.Agent.BHU 1
    Win32.Worm.VB.DW 1
    Backdoor.Skinymes.Agent.A 1

    ________________________________________
    Ce sommaire du processus d'analyse sera utilisé par les laboratoires Antivirus BitDefender pour créer des statistiques agréguées sur l'activité des virus dans le monde.

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 19:19, on 18/11/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\PROGRA~1\SYMANT~1\VPTray.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\Program Files\Microsoft IntelliType Pro\type32.exe
    C:\Program Files\Microsoft IntelliPoint\point32.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    C:\PROGRA~1\MSNMES~1\msnmsgr.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Ashampoo\Ashampoo AntiSpyWare 2\AntiSpyWareService.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    C:\WINDOWS\system32\drivers\CDAC11BA.EXE
    C:\Program Files\Symantec AntiVirus\DefWatch.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Symantec AntiVirus\Rtvscan.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\MSN Messenger\usnsvc.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Opera\Opera.exe
    C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
    C:\Program Files\WinRAR\WinRAR.exe
    C:\DOCUME~1\FANETT~1.UNI\LOCALS~1\Temp\Rar$EX00.717\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.files-ftp.com/~unicorni/phpBB2/index.php
    R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.accoona.com/search?q=%s
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: (no name) - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file)
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
    O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd2.exe"
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
    O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
    O4 - HKLM\..\Run: [type32] "C:\Program Files\Microsoft IntelliType Pro\type32.exe"
    O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"
    O4 - HKLM\..\Run: [AntiSpyWare2Guard] C:\Program Files\Ashampoo\Ashampoo AntiSpyWare 2\AntiSpyWare2Guard.exe
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKCU\..\Run: [msnmsgr] "C:\PROGRA~1\MSNMES~1\msnmsgr.exe" /background
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Program Files\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
    O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Program Files\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O14 - IERESET.INF: START_PAGE_URL=http://www.files-ftp.com/~unicorni/phpBB2/index.php
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
    O16 - DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} (AdSignerLCContrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP.cab
    O23 - Service: Ashampoo AntiSpyWare 2 Service (AASW2_Service) - Unknown owner - C:\Program Files\Ashampoo\Ashampoo AntiSpyWare 2\AntiSpyWareService.exe
    O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
    O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
    O23 - Service: Pml Driver HPZ12 - Unknown owner - C:\WINDOWS\system32\HPZipm12.exe (file missing)
    O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
    O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
    0
  • 1
  • 2