PC infecté par virus garde [Résolu/Fermé]

Signaler
-
 Fanou34 -
Bonjour,
Je pense que mon PC est infecté par virus garde, j'ai des fenêtres de pub intempestives, notamment des fenêtres d'alertes sécurité de virus garde, mon antivrus s'est désactivé et impossible de le réactiver, la page d'accueil d'IE a changé.
J'ai esssayé de suivre plusieurs tutoriaux mais (je suis novice en informatique) sans résultats.
J'ai éxécuté Ashampoo qui ne trouve as d'objet caché.

Toute aide (détaillée^^) sera la bienvenue

Voici le rapport Hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:56:40, on 17/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\WINDOWS\system32\xyaigkke.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Microsoft IntelliPoint\point32.exe
C:\WINDOWS\Fonts\svchost.exe
C:\WINDOWS\mrofinu1188.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Microsoft IntelliType Pro\type32.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Words\Words.exe
C:\Program Files\Ashampoo\Ashampoo AntiSpyWare 2\AntiSpyWareService.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Opera\Opera.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\FANETT~1.UNI\LOCALS~1\Temp\Rar$EX00.388\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.files-ftp.com/~unicorni/phpBB2/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.accoona.com/search?q=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file)
O3 - Toolbar: Security Toolbar - {11A69AE4-FBED-4832-A2BF-45AF82825583} - C:\WINDOWS\system32\wdvxcyzq.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [zbddsidbqi] c:\windows\system32\zbddsidbqi.exe zbddsidbqi
O4 - HKLM\..\Run: [type32] "C:\Program Files\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [Host Process] C:\WINDOWS\Fonts\svchost.exe
O4 - HKLM\..\Run: [runner1] C:\WINDOWS\mrofinu1188.exe 61A847B5BBF72813339330466188719AB689201522886B092CBD44BD8689220221DD3257
O4 - HKLM\..\Run: [4c5b09aa] rundll32.exe "C:\WINDOWS\system32\ulxgjhbs.dll",b
O4 - HKLM\..\Run: [NI.UGA6P_0001_N122M2210] "C:\DOCUME~1\FANETT~1.UNI\LOCALS~1\Temp\qrjatydi.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [AntiSpyWare2Guard] C:\Program Files\Ashampoo\Ashampoo AntiSpyWare 2\AntiSpyWare2Guard.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\PROGRA~1\MSNMES~1\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WinAble] C:\Program Files\WinAble\winable.exe
O4 - HKCU\..\Run: [Words] C:\Program Files\Words\Words.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Program Files\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Program Files\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.files-ftp.com/~unicorni/phpBB2/index.php
O16 - DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} (AdSignerLCContrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP.cab
O20 - AppInit_DLLs: C:\WINDOWS\system32\__c001836B.dat
O23 - Service: Ashampoo AntiSpyWare 2 Service (AASW2_Service) - Unknown owner - C:\Program Files\Ashampoo\Ashampoo AntiSpyWare 2\AntiSpyWareService.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: DomainService - - C:\WINDOWS\system32\xyaigkke.exe
O23 - Service: Pml Driver HPZ12 - Unknown owner - C:\WINDOWS\system32\HPZipm12.exe (file missing)
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
O24 - Desktop Component 0: (no name) - C:\Program Files\NetMeeting\rteleki.html

32 réponses

Messages postés
1091
Date d'inscription
samedi 29 septembre 2007
Statut
Contributeur
Dernière intervention
19 novembre 2008
18
bonjour
Clique sur ce lien :
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
Clique sur navilog1.zip pour télécharger navilog1
Choisis Enregistrer

et enregistre-le sur ton bureau.

Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).

Laisse-toi guider. Au menu principal, choisis 1 et valides.
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)

Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le bloc note va s'ouvrir.
Copie-colle l'intégralité dans une réponse. Referme le bloc note.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

poste le rapport obtenu
Merci de ta réponse rapide.

Voici le rapport demandé:

Search Navipromo version 3.3.6 commencé le 17/11/2007 à 12:20:16,49

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 14.11.2007 à 18h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2900.2180


*** Recherche Programmes installés ***




*** Recherche dossiers dans C:\WINDOWS ***



*** Recherche dossiers dans C:\Program Files ***



*** Recherche dossiers dans C:\Documents and Settings\All Users.WINDOWS\Application Data ***




*** Recherche dossiers dans C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\Application Data ***

...\Application Data\MessengerSkinner trouvé !

*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1.WIN\MENUDM~1\PROGRA~1 ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun fichier trouvé dans :

- C:\WINDOWS\system32
- C:\DOCUME~1\FANETT~1.UNI\LOCALS~1\APPLIC~1



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans C:\WINDOWS\system32 *

* Recherche dans C:\DOCUME~1\FANETT~1.UNI\LOCALS~1\APPLIC~1 *



*** Recherche fichiers ***


C:\WINDOWS\pack.epk trouvé !
C:\WINDOWS\system32\nvs2.inf trouvé !


*** Recherche clés spécifiques dans le Registre ***

HKEY_CURRENT_USER\Software\Lanconfig trouvé !

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:
C:\WINDOWS\system32\vutss.bak1 trouvé ! infection Vundo possible non traitée par cet outil !

2)Recherche Heuristique :

C:\WINDOWS\system32\zbddsidbqi.dat trouvé !
C:\WINDOWS\system32\zbddsidbqi_nav.dat trouvé !


3)Recherche Certificats :

Certificat Egroup trouvé !


*** Analyse terminée le 17/11/2007 à 12:21:10,24 ***
Messages postés
1091
Date d'inscription
samedi 29 septembre 2007
Statut
Contributeur
Dernière intervention
19 novembre 2008
18
on continue
Double clique sur le raccourci Navilog1 présent sur le bureau et laisse-toi guider.
Au menu principal, choisis 2 et valide.

Le fix va t'informer qu'il va alors redémarrer ton PC
Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts
Appuie sur une touche comme demandé.
(si ton Pc ne redémarre pas automatiquement, fais le toi même)
Au redémarrage de ton PC, choisis ta session habituelle.

Patiente jusqu'au message :
*** Nettoyage Termine le ..... ***
Le bloc note va s'ouvrir.
Sauvegarde le rapport de manière à le retrouver
Referme le bloc note. Ton bureau va réapparaître

PS:Si ton bureau ne réapparaît pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter"
Tape explorer et valide. Cela te fera apparaître ton bureau.
Démarrer > Panneau de configuration > Options Internet
Clique sur l'onglet Contenu puis onglet Certificats et si tu trouves ceci, en particulier dans éditeurs approuvés :

electronic-group - egroup - Montorgueil - VIP - "Sunny Day Design Ltd"

> Supprime-les

Télécharge VundoFix.exe (par Atribune) sur ton Bureau
http://www.atribune.org/ccount/click.php?id=4
clic double sur VundoFix.exe afin de le lancer
clic sur le bouton Scan for Vundo
Lorsque le scan est complété, clic sur le bouton Remove Vundo
Une invite te demandera si tu veux supprimer les fichiers, clic YES
Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
Tu verras une invite qui t'annonce que ton PC va redémarrer;
clic OK
Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci haut, à partir de "clic sur le bouton Scan for Vundo".
Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis et le rapport navilog1 dans ta prochaine réponse
Erf^^

Voici les 3 rapports:


Clean Navipromo version 3.3.6 commencé le 17/11/2007 à 12:26:46,06

Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 14.11.2007 à 18h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2900.2180

Mode suppression automatique



*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)


*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans C:\WINDOWS\System32 *


* Suppression dans C:\DOCUME~1\FANETT~1.UNI\LOCALS~1\APPLIC~1 *



*** Suppression dossiers dans C:\WINDOWS ***


*** Suppression dossiers dans C:\Program Files ***


*** Suppression dossiers dans C:\Documents and Settings\All Users.WINDOWS\Application Data ***


*** Suppression dossiers dans C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\Application Data ***

...\Application Data\MessengerSkinner ...suppression...
...\Application Data\MessengerSkinner supprimé !


*** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1.WIN\MENUDM~1\PROGRA~1 ***



*** Suppression fichiers ***

C:\WINDOWS\pack.epk supprimé !
C:\WINDOWS\system32\nvs2.inf supprimé !

*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\Local Settings\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:

C:\WINDOWS\system32\vutss.bak1 trouvé ! infection Vundo possible non traitée par cet outil !

2)Recherche, création sauvegardes et suppression Heuristique :

C:\WINDOWS\System32\zbddsidbqi.dat trouvé !
Copie C:\WINDOWS\system32\zbddsidbqi.dat réalisé avec succès !
C:\WINDOWS\system32\zbddsidbqi.dat supprimé !

C:\WINDOWS\System32\zbddsidbqi_nav.dat trouvé !
Copie C:\WINDOWS\system32\zbddsidbqi_nav.dat réalisé avec succès !
C:\WINDOWS\system32\zbddsidbqi_nav.dat supprimé !

C:\WINDOWS\System32\zbddsidbqi_navps.dat trouvé !
Copie C:\WINDOWS\system32\zbddsidbqi_navps.dat réalisé avec succès !
C:\WINDOWS\system32\zbddsidbqi_navps.dat supprimé !


*** Sauvegarde du Registre vers dossier Backupnavi ***

sauvegarde du Registre réalisé avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok


*** Certificats ***

Certificat Egroup supprimé !

*** Nettoyage terminé le 17/11/2007 à 12:31:01,34 ***



VundoFix V6.6.2

Checking Java version...

Java version is 1.5.0.5
Old versions of java are exploitable and should be removed.

Java version is 1.5.0.6
Old versions of java are exploitable and should be removed.

Scan started at 12:36:55 17/11/2007

Listing files found while scanning....

C:\windows\system32\__c001836B.dat
C:\windows\system32\__c001AE84.dat
C:\windows\system32\ccdvnfsb.dll
C:\windows\system32\fjjlrpnu.dll
C:\windows\system32\gfnuyhin.dll
C:\windows\system32\lddjlchj.dll
C:\windows\system32\sstuv.dll
C:\windows\system32\uyhwvrgn.dll
C:\windows\system32\vutss.bak1
C:\windows\system32\vutss.ini
C:\windows\system32\wdvxcyzq.dll
C:\windows\system32\wdvxcyzq.dllbox
C:\windows\system32\wtxmrrvw.dll
C:\windows\system32\wvtufotn.dll
C:\windows\system32\yayxwvv.dll

Beginning removal...

Attempting to delete C:\windows\system32\__c001836B.dat
C:\windows\system32\__c001836B.dat Has been deleted!

Attempting to delete C:\windows\system32\__c001AE84.dat
C:\windows\system32\__c001AE84.dat Could not be deleted.

Attempting to delete C:\windows\system32\ccdvnfsb.dll
C:\windows\system32\ccdvnfsb.dll Has been deleted!

Attempting to delete C:\windows\system32\fjjlrpnu.dll
C:\windows\system32\fjjlrpnu.dll Has been deleted!

Attempting to delete C:\windows\system32\gfnuyhin.dll
C:\windows\system32\gfnuyhin.dll Has been deleted!

Attempting to delete C:\windows\system32\lddjlchj.dll
C:\windows\system32\lddjlchj.dll Has been deleted!

Attempting to delete C:\windows\system32\sstuv.dll
C:\windows\system32\sstuv.dll Could not be deleted.

Attempting to delete C:\windows\system32\uyhwvrgn.dll
C:\windows\system32\uyhwvrgn.dll Has been deleted!

Attempting to delete C:\windows\system32\vutss.bak1
C:\windows\system32\vutss.bak1 Has been deleted!

Attempting to delete C:\windows\system32\vutss.ini
C:\windows\system32\vutss.ini Has been deleted!

Attempting to delete C:\windows\system32\wdvxcyzq.dll
C:\windows\system32\wdvxcyzq.dll Has been deleted!

Attempting to delete C:\windows\system32\wdvxcyzq.dllbox
C:\windows\system32\wdvxcyzq.dllbox Has been deleted!

Attempting to delete C:\windows\system32\wtxmrrvw.dll
C:\windows\system32\wtxmrrvw.dll Has been deleted!

Attempting to delete C:\windows\system32\wvtufotn.dll
C:\windows\system32\wvtufotn.dll Has been deleted!

Attempting to delete C:\windows\system32\yayxwvv.dll
C:\windows\system32\yayxwvv.dll Has been deleted!

Performing Repairs to the registry.
Done!

Beginning removal...

Attempting to delete C:\windows\system32\__c001AE84.dat
C:\windows\system32\__c001AE84.dat Could not be deleted.

Attempting to delete C:\windows\system32\sstuv.dll
C:\windows\system32\sstuv.dll Has been deleted!

Attempting to delete C:\windows\system32\vutss.ini
C:\windows\system32\vutss.ini Has been deleted!

Performing Repairs to the registry.
Done!


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:57:58, on 17/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Ashampoo\Ashampoo AntiSpyWare 2\AntiSpyWareService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\WINDOWS\system32\xyaigkke.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Microsoft IntelliType Pro\type32.exe
C:\Program Files\Microsoft IntelliPoint\point32.exe
C:\WINDOWS\Fonts\svchost.exe
C:\WINDOWS\mrofinu1188.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\PROGRA~1\MSNMES~1\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Words\Words.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\FANETT~1.UNI\LOCALS~1\Temp\Rar$EX00.103\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.files-ftp.com/~unicorni/phpBB2/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.accoona.com/search?q=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file)
O2 - BHO: (no name) - {05DE02EC-57BB-42C0-84EC-2D7259972833} - C:\WINDOWS\system32\sstuv.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: {41caa737-fc01-b3c9-1654-1ccb3a63bdc3} - {3cdb36a3-bcc1-4561-9c3b-10cf737aac14} - C:\WINDOWS\system32\efnnnvxh.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {BBB05D9E-0297-404D-A6BF-D8F2876B84A6} - C:\WINDOWS\system32\ddcccyw.dll
O2 - BHO: (no name) - {E5694970-00EA-43E8-BD3D-611A5FE9C8EA} - C:\Program Files\Windows NT\meqo4444.dll
O2 - BHO: (no name) - {F8743085-2AC1-4000-9850-C8E32764AC02} - C:\Program Files\Windows NT\meqo83122.dll
O3 - Toolbar: (no name) - {11A69AE4-FBED-4832-A2BF-45AF82825583} - (no file)
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [type32] "C:\Program Files\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [Host Process] C:\WINDOWS\Fonts\svchost.exe
O4 - HKLM\..\Run: [runner1] C:\WINDOWS\mrofinu1188.exe 61A847B5BBF72813339330466188719AB689201522886B092CBD44BD8689220221DD3257
O4 - HKLM\..\Run: [NI.UGA6P_0001_N122M2210] "C:\DOCUME~1\FANETT~1.UNI\LOCALS~1\Temp\qrjatydi.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [AntiSpyWare2Guard] C:\Program Files\Ashampoo\Ashampoo AntiSpyWare 2\AntiSpyWare2Guard.exe
O4 - HKLM\..\Run: [4c5b09aa] rundll32.exe "C:\WINDOWS\system32\xqxngktg.dll",b
O4 - HKCU\..\Run: [msnmsgr] "C:\PROGRA~1\MSNMES~1\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WinAble] C:\Program Files\WinAble\winable.exe
O4 - HKCU\..\Run: [Words] C:\Program Files\Words\Words.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Program Files\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Program Files\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.files-ftp.com/~unicorni/phpBB2/index.php
O16 - DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} (AdSignerLCContrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP.cab
O20 - AppInit_DLLs: C:\WINDOWS\system32\__c001AE84.dat
O20 - Winlogon Notify: ddcccyw - C:\WINDOWS\SYSTEM32\ddcccyw.dll
O23 - Service: Ashampoo AntiSpyWare 2 Service (AASW2_Service) - Unknown owner - C:\Program Files\Ashampoo\Ashampoo AntiSpyWare 2\AntiSpyWareService.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: DomainService - - C:\WINDOWS\system32\xyaigkke.exe
O23 - Service: Pml Driver HPZ12 - Unknown owner - C:\WINDOWS\system32\HPZipm12.exe (file missing)
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
O24 - Desktop Component 0: (no name) - C:\Program Files\NetMeeting\rteleki.html
Messages postés
1091
Date d'inscription
samedi 29 septembre 2007
Statut
Contributeur
Dernière intervention
19 novembre 2008
18
oups il y a encore pas mal de monde dans ce PC...
on continue
vundo est souvent récalcitrant
il en reste donc tu fais ceci en suivant bien les consignes
Relance Vundofix

* Ne clique pas sur "Scan for a vundo"
* Clique droit au milieu de la fenêtre
* Clique sur Add more files ?
* Copie/colle les fichiers ci-dessous ( un par case) :

C:\WINDOWS\system32\efnnnvxh.dll
C:\WINDOWS\system32\ddcccyw.dll
C:\Program Files\Windows NT\meqo4444.dll
C:\Program Files\Windows NT\meqo83122.dll
C:\WINDOWS\system32\xqxngktg.dll
C:\WINDOWS\SYSTEM32\ddcccyw.dll

* Clique sur Add files
* Ensuite clique sur Close Windows
* Enfin, clique sur Remove Vundo ( les fichiers précédents doivent apparaître dans la fenêtre principale)
* Si l'outils demande un redémarrage, accepte
· Poste le rapport Vundofix, ainsi qu'un nouveau log hijackthis
ensuite tu fais ceci

Télécharge combofix.exe (par sUBs) sur ton Bureau
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
désactive ton antivirus, antispyware, et Spybot (résident) durant l'utilisation de ComboFix . Merci. Tu réactives ensuite.
Double clique combofix.exe.
Tape sur la touche Y (Yes) pour démarrer le scan.
Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse
NOTE : Le rapport se trouve également ici : C:\Combofix.txt

poste les rapports de Vundofix et combofix ainsi qu'un rapport hijack this
Les voilà:



VundoFix V6.6.2

Checking Java version...

Java version is 1.5.0.5
Old versions of java are exploitable and should be removed.

Java version is 1.5.0.6
Old versions of java are exploitable and should be removed.

Scan started at 12:36:55 17/11/2007

Listing files found while scanning....

C:\windows\system32\__c001836B.dat
C:\windows\system32\__c001AE84.dat
C:\windows\system32\ccdvnfsb.dll
C:\windows\system32\fjjlrpnu.dll
C:\windows\system32\gfnuyhin.dll
C:\windows\system32\lddjlchj.dll
C:\windows\system32\sstuv.dll
C:\windows\system32\uyhwvrgn.dll
C:\windows\system32\vutss.bak1
C:\windows\system32\vutss.ini
C:\windows\system32\wdvxcyzq.dll
C:\windows\system32\wdvxcyzq.dllbox
C:\windows\system32\wtxmrrvw.dll
C:\windows\system32\wvtufotn.dll
C:\windows\system32\yayxwvv.dll

Beginning removal...

Attempting to delete C:\windows\system32\__c001836B.dat
C:\windows\system32\__c001836B.dat Has been deleted!

Attempting to delete C:\windows\system32\__c001AE84.dat
C:\windows\system32\__c001AE84.dat Could not be deleted.

Attempting to delete C:\windows\system32\ccdvnfsb.dll
C:\windows\system32\ccdvnfsb.dll Has been deleted!

Attempting to delete C:\windows\system32\fjjlrpnu.dll
C:\windows\system32\fjjlrpnu.dll Has been deleted!

Attempting to delete C:\windows\system32\gfnuyhin.dll
C:\windows\system32\gfnuyhin.dll Has been deleted!

Attempting to delete C:\windows\system32\lddjlchj.dll
C:\windows\system32\lddjlchj.dll Has been deleted!

Attempting to delete C:\windows\system32\sstuv.dll
C:\windows\system32\sstuv.dll Could not be deleted.

Attempting to delete C:\windows\system32\uyhwvrgn.dll
C:\windows\system32\uyhwvrgn.dll Has been deleted!

Attempting to delete C:\windows\system32\vutss.bak1
C:\windows\system32\vutss.bak1 Has been deleted!

Attempting to delete C:\windows\system32\vutss.ini
C:\windows\system32\vutss.ini Has been deleted!

Attempting to delete C:\windows\system32\wdvxcyzq.dll
C:\windows\system32\wdvxcyzq.dll Has been deleted!

Attempting to delete C:\windows\system32\wdvxcyzq.dllbox
C:\windows\system32\wdvxcyzq.dllbox Has been deleted!

Attempting to delete C:\windows\system32\wtxmrrvw.dll
C:\windows\system32\wtxmrrvw.dll Has been deleted!

Attempting to delete C:\windows\system32\wvtufotn.dll
C:\windows\system32\wvtufotn.dll Has been deleted!

Attempting to delete C:\windows\system32\yayxwvv.dll
C:\windows\system32\yayxwvv.dll Has been deleted!

Performing Repairs to the registry.
Done!

Beginning removal...

Attempting to delete C:\windows\system32\__c001AE84.dat
C:\windows\system32\__c001AE84.dat Could not be deleted.

Attempting to delete C:\windows\system32\sstuv.dll
C:\windows\system32\sstuv.dll Has been deleted!

Attempting to delete C:\windows\system32\vutss.ini
C:\windows\system32\vutss.ini Has been deleted!

Performing Repairs to the registry.
Done!

Beginning removal...

Attempting to delete C:\Program Files\Windows NT\meqo4444.dll
C:\Program Files\Windows NT\meqo4444.dll Has been deleted!

Attempting to delete C:\Program Files\Windows NT\meqo83122.dll
C:\Program Files\Windows NT\meqo83122.dll Has been deleted!

Attempting to delete C:\WINDOWS\SYSTEM32\ddcccyw.dll
C:\WINDOWS\SYSTEM32\ddcccyw.dll Could not be deleted.

Attempting to delete C:\WINDOWS\system32\ddcccyw.dll
C:\WINDOWS\system32\ddcccyw.dll Could not be deleted.

Attempting to delete C:\WINDOWS\system32\efnnnvxh.dll
C:\WINDOWS\system32\efnnnvxh.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\xqxngktg.dll
C:\WINDOWS\system32\xqxngktg.dll Has been deleted!

Performing Repairs to the registry.
Done!

Beginning removal...

Attempting to delete C:\WINDOWS\SYSTEM32\ddcccyw.dll
C:\WINDOWS\SYSTEM32\ddcccyw.dll Could not be deleted.

Attempting to delete C:\WINDOWS\system32\ddcccyw.dll
C:\WINDOWS\system32\ddcccyw.dll Could not be deleted.

Performing Repairs to the registry.
Done!



ComboFix 07-11-08.1 - Fanette 2007-11-17 15:11:03.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.95 [GMT 1:00]
Running from: C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\Bureau\ComboFix.exe
* Created a new restore point
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\All Users.WINDOWS\Menu Démarrer\Live Safety Center.lnk
C:\Documents and Settings\All Users.WINDOWS\Menu Démarrer\Online Security Guide.lnk
C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\Bureau\Live Safety Center.lnk
C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\Bureau\Online Security Guide.lnk
C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\Favoris\Online Security Guide.lnk
C:\Program Files\inetget2
C:\Program Files\NetMeeting\rteleki.html
C:\Program Files\Temporary
C:\Program Files\WinAble
C:\Program Files\Words
C:\Program Files\Words\list.txt
C:\Program Files\Words\UnInstall.exe
C:\Program Files\Words\Words.exe
C:\Temp\1cb
C:\Temp\1cb\syscheck.log
C:\WINDOWS\b143.exe
C:\WINDOWS\cookies.ini
C:\WINDOWS\mrofinu1188.exe
C:\WINDOWS\system32\__c001AE84.dat
C:\WINDOWS\system32\b3
C:\WINDOWS\system32\b3\dnslook11.exe
C:\WINDOWS\system32\cbaay.dll
C:\WINDOWS\system32\cmmolmiy.dll
C:\WINDOWS\system32\ctflmwoc.dll
C:\WINDOWS\system32\dkwpsttl.dll
C:\WINDOWS\system32\f1
C:\WINDOWS\system32\f1\bemwdll3.exe
C:\WINDOWS\system32\k4
C:\WINDOWS\system32\k4\mper83122.exe
C:\WINDOWS\system32\nsdharqy.dll
C:\WINDOWS\system32\pac.txt
C:\WINDOWS\system32\tnixvsiy.dll
C:\WINDOWS\system32\vutss.bak1
C:\WINDOWS\system32\wxblolnc.dll
C:\WINDOWS\system32\yaabc.ini
C:\WINDOWS\system32\yaabc.ini2
C:\WINDOWS\tk58.exe
C:\WINDOWS\TTC-4444.exe

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_CMDSERVICE
-------\LEGACY_DOMAINSERVICE
-------\LEGACY_NETWORK_MONITOR
-------\DomainService


((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-10-17 to 2007-11-17 ))))))))))))))))))))))))))))))))))))
.

2007-11-17 15:08 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-11-17 15:05 71,232 --a------ C:\WINDOWS\system32\kwwcukvv.exe
2007-11-17 12:36 <REP> d-------- C:\VundoFix Backups
2007-11-17 12:33 120 --a------ C:\n.bat
2007-11-17 12:32 36,352 --------- C:\WINDOWS\system32\ddcccyw.dll
2007-11-17 12:10 71,232 --a------ C:\WINDOWS\system32\utugdrqf.exe
2007-11-17 11:43 <REP> d-------- C:\Program Files\Ashampoo
2007-11-17 11:23 <REP> d-------- C:\Program Files\Navilog1
2007-11-16 17:22 36,352 --a------ C:\WINDOWS\system32\efcdccd.dll
2007-11-15 23:37 95,608 --a------ C:\WINDOWS\system32\AvastSS.scr
2007-11-15 23:37 42,912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
2007-11-15 23:37 26,624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
2007-11-15 23:37 23,152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
2007-11-15 23:36 <REP> d-------- C:\Program Files\Alwil Software
2007-11-15 23:36 801,144 --a------ C:\WINDOWS\system32\aswBoot.exe
2007-11-15 23:36 94,416 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
2007-11-15 23:36 92,848 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
2007-11-15 23:23 147,456 --a------ C:\WINDOWS\system32\vbzip10.dll
2007-11-15 23:22 79,936 --a------ C:\WINDOWS\system32\wvfwhqsq.dll
2007-11-15 23:19 71,232 --a------ C:\WINDOWS\system32\xyaigkke.exe
2007-11-15 13:19 <REP> d--hs---- C:\WINDOWS\VW5pY29ybmlz
2007-11-15 13:19 248,321 --a------ C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\z.dat
2007-11-15 13:19 40,960 --a------ C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\f.exe
2007-11-15 13:19 36,352 --a------ C:\WINDOWS\system32\gebaywt.dll
2007-11-15 13:19 35,840 --a------ C:\WINDOWS\mrofinu1000106.exe
2007-11-15 13:19 26,943 --a------ C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\x.dat
2007-11-15 13:18 <REP> d-------- C:\WINDOWS\system32\rMa18yy
2007-11-15 13:18 <REP> d-------- C:\temp\abW9
2007-11-13 07:27 88,128 --------- C:\WINDOWS\system32\hphqrveo.dll
2007-11-12 13:14 <REP> d-------- C:\Program Files\Lavasoft
2007-11-12 13:14 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
2007-11-12 13:14 <REP> d-------- C:\Documents and Settings\All Users.WINDOWS\Application Data\Lavasoft
2007-11-12 12:58 81,472 --a------ C:\WINDOWS\system32\gsqeqxpn.dll
2007-11-12 12:46 71,232 --a------ C:\WINDOWS\system32\ilpmhxkd.exe
2007-11-12 12:00 89,664 --------- C:\WINDOWS\system32\vrtvtnud.dll
2007-11-12 11:54 81,472 --a------ C:\WINDOWS\system32\yrurgpjq.dll
2007-11-12 11:48 71,232 --a------ C:\WINDOWS\system32\gxwsupxq.exe
2007-11-11 17:07 <REP> d-------- C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\Application Data\Tor
2007-11-11 15:10 88,128 --------- C:\WINDOWS\system32\estyygxs.dll
2007-11-11 15:07 79,936 --a------ C:\WINDOWS\system32\kxtvkntv.dll
2007-11-11 14:59 172,032 --a------ C:\winlogon.exe
2007-11-11 14:59 0 --a------ C:\z.dat
2007-11-11 14:59 0 --a------ C:\x.dat
2007-10-27 12:47 <REP> d-------- C:\Program Files\eMule

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-11-17 14:16 --------- d-----w C:\Program Files\Symantec AntiVirus
2007-11-17 14:09 --------- d-----w C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\Application Data\LimeWire
2007-11-16 16:38 --------- d-----w C:\Program Files\Microsoft IntelliType Pro
2007-11-13 11:29 --------- d-----w C:\Program Files\LimeWire
2007-11-11 16:07 --------- d-----w C:\Program Files\Incomplete
2007-11-11 14:03 278,542 ----a-w C:\WINDOWS\Fonts\Setup.exe
2007-11-11 13:58 278,541 --sh--w C:\WINDOWS\Fonts\svchost.exe
2007-09-21 11:03 --------- d-----w C:\Program Files\Fichiers communs\InstallShield
2007-09-21 11:03 --------- d-----w C:\Program Files\DivX
2007-09-21 11:02 --------- d--h--w C:\Program Files\InstallShield Installation Information
2007-09-21 11:01 --------- d-----w C:\Program Files\PartyGaming.Net
2007-09-17 11:49 --------- d-----w C:\Program Files\sesam
2006-06-04 19:09 278,528 ----a-w C:\Program Files\Fichiers communs\FDEUnInstaller.exe
2003-04-22 19:02 135,168 ----a-w C:\Program Files\AVIPreview.exe
2005-07-29 15:24:26 472 --sha-r C:\WINDOWS\VW5pY29ybmlz\pqcDsZ6VvA5W.vbs
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{05DE02EC-57BB-42C0-84EC-2D7259972833}]
C:\WINDOWS\system32\sstuv.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{3cdb36a3-bcc1-4561-9c3b-10cf737aac14}]
C:\WINDOWS\system32\efnnnvxh.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{BBB05D9E-0297-404D-A6BF-D8F2876B84A6}]
2007-11-17 12:32 36352 --------- C:\WINDOWS\system32\ddcccyw.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E5694970-00EA-43E8-BD3D-611A5FE9C8EA}]
C:\Program Files\Windows NT\meqo4444.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F8743085-2AC1-4000-9850-C8E32764AC02}]
C:\Program Files\Windows NT\meqo83122.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50]
"vptray"="C:\PROGRA~1\SYMANT~1\VPTray.exe" [2004-03-31 14:46]
"HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd2.exe" []
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe" []
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-03 23:55 C:\WINDOWS\system32\bthprops.cpl]
"type32"="C:\Program Files\Microsoft IntelliType Pro\type32.exe" [2004-06-03 09:51]
"IntelliPoint"="C:\Program Files\Microsoft IntelliPoint\point32.exe" [2004-06-03 09:50]
"Host Process"="C:\WINDOWS\Fonts\svchost.exe" [2007-11-11 14:58]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-09-06 12:06]
"AntiSpyWare2Guard"="C:\Program Files\Ashampoo\Ashampoo AntiSpyWare 2\AntiSpyWare2Guard.exe" [2007-08-14 09:29]
"4c5b09aa"="C:\WINDOWS\system32\xqxngktg.dll" []
"runner1"="C:\WINDOWS\mrofinu1188.exe" [2007-11-17 15:19]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="C:\PROGRA~1\MSNMES~1\msnmsgr.exe" [2007-01-19 11:55]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:54]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{BBB05D9E-0297-404D-A6BF-D8F2876B84A6}"= C:\WINDOWS\system32\ddcccyw.dll [2007-11-17 12:32 36352]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"= msv1_0 C:\WINDOWS\system32\cbaay.dll

R2 AASW2_Service;Ashampoo AntiSpyWare 2 Service;C:\Program Files\Ashampoo\Ashampoo AntiSpyWare 2\AntiSpyWareService.exe

.
**************************************************************************

catchme 0.3.1250 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-17 15:18:06
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-11-17 15:21:08 - machine was rebooted
.
--- E O F ---



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:22, on 17/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Ashampoo\Ashampoo AntiSpyWare 2\AntiSpyWareService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Microsoft IntelliType Pro\type32.exe
C:\Program Files\Microsoft IntelliPoint\point32.exe
C:\WINDOWS\Fonts\svchost.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Ashampoo\Ashampoo AntiSpyWare 2\AntiSpyWare2Guard.exe
C:\PROGRA~1\MSNMES~1\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\17PHolmes1188.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\FANETT~1.UNI\LOCALS~1\Temp\Rar$EX00.148\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.files-ftp.com/~unicorni/phpBB2/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.accoona.com/search?q=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file)
O2 - BHO: (no name) - {05DE02EC-57BB-42C0-84EC-2D7259972833} - C:\WINDOWS\system32\sstuv.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: {41caa737-fc01-b3c9-1654-1ccb3a63bdc3} - {3cdb36a3-bcc1-4561-9c3b-10cf737aac14} - C:\WINDOWS\system32\efnnnvxh.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {BBB05D9E-0297-404D-A6BF-D8F2876B84A6} - C:\WINDOWS\system32\ddcccyw.dll
O2 - BHO: (no name) - {E5694970-00EA-43E8-BD3D-611A5FE9C8EA} - C:\Program Files\Windows NT\meqo4444.dll (file missing)
O2 - BHO: (no name) - {F8743085-2AC1-4000-9850-C8E32764AC02} - C:\Program Files\Windows NT\meqo83122.dll (file missing)
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [type32] "C:\Program Files\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [Host Process] C:\WINDOWS\Fonts\svchost.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [AntiSpyWare2Guard] C:\Program Files\Ashampoo\Ashampoo AntiSpyWare 2\AntiSpyWare2Guard.exe
O4 - HKLM\..\Run: [4c5b09aa] rundll32.exe "C:\WINDOWS\system32\xqxngktg.dll",b
O4 - HKCU\..\Run: [msnmsgr] "C:\PROGRA~1\MSNMES~1\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Program Files\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Program Files\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.files-ftp.com/~unicorni/phpBB2/index.php
O16 - DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} (AdSignerLCContrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP.cab
O23 - Service: Ashampoo AntiSpyWare 2 Service (AASW2_Service) - Unknown owner - C:\Program Files\Ashampoo\Ashampoo AntiSpyWare 2\AntiSpyWareService.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: Pml Driver HPZ12 - Unknown owner - C:\WINDOWS\system32\HPZipm12.exe (file missing)
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
Messages postés
1091
Date d'inscription
samedi 29 septembre 2007
Statut
Contributeur
Dernière intervention
19 novembre 2008
18
je te prépare la suite
OK!
Merci du temps que tu me consacres.
Messages postés
1091
Date d'inscription
samedi 29 septembre 2007
Statut
Contributeur
Dernière intervention
19 novembre 2008
18
désolée de t'avoir fai attendre, j'ai eu des invités

Copie (Ctrl+C) le texte ci-dessous :
Folder::
C:\temp\abW9 
C:\WINDOWS\system32\rMa18yy
C:\Program Files\PartyGaming.Net

File::
C:\WINDOWS\system32\kwwcukvv.exe
C:\n.bat
C:\WINDOWS\system32\ddcccyw.dll
C:\WINDOWS\system32\utugdrqf.exe 
C:\WINDOWS\system32\efcdccd.dll 
C:\WINDOWS\system32\wvfwhqsq.dll 
C:\WINDOWS\system32\vbzip10.dll 
C:\WINDOWS\system32\xyaigkke.exe
C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\z.dat
C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\f.exe
C:\WINDOWS\system32\gebaywt.dll 
C:\WINDOWS\mrofinu1000106.exe 
C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\x.dat
C:\WINDOWS\system32\hphqrveo.dll 
C:\WINDOWS\system32\gsqeqxpn.dll
C:\WINDOWS\system32\ilpmhxkd.exe 
C:\WINDOWS\system32\vrtvtnud.dll 
C:\WINDOWS\system32\gxwsupxq.exe
C:\WINDOWS\system32\yrurgpjq.dll 
C:\WINDOWS\system32\estyygxs.dll 
C:\WINDOWS\system32\kxtvkntv.dll 
C:\z.dat
C:\x.dat 
C:\WINDOWS\Fonts\svchost.exe
C:\WINDOWS\Fonts\Setup.exe 
C:\WINDOWS\system32\sstuv.dll
C:\WINDOWS\system32\efnnnvxh.dll
C:\WINDOWS\system32\ddcccyw.dll
C:\Program Files\Windows NT\meqo4444.dll
C:\Program Files\Windows NT\meqo83122.dll

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{05DE02EC-57BB-42C0-84EC-2D7259972833}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{3cdb36a3-bcc1-4561-9c3b-10cf737aac14}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{BBB05D9E-0297-404D-A6BF-D8F2876B84A6}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E5694970-00EA-43E8-BD3D-611A5FE9C8EA}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F8743085-2AC1-4000-9850-C8E32764AC02}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"4c5b09aa"="-
"runner1"="- 

Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte précedemment copié.

Sauvegarde ce fichier sous le nom de CFScript.txt

http://img.photobucket.com/albums/v666/sUBs/CFScript.gif

Comme l'image le montre, fait glisser CFScript.txt sur Combofix.exe

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Télécharge SDFix sur ton bureau
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

clic double sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau.
Redémarre ton ordinateur en mode sans échec
Comment aller en Mode sans échec lettre C
https://forum.pcastuces.com/sujet.asp?f=25&s=3902
1) Redémarre ton ordi
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip"
3) Tu verras un écran avec options de démarrage apparaître
4) Choisi la première option : Sans Échec, et valide avec "Entrée"
5) Choisi ton compte régulier, et non Administrateur

Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et clic double sur RunThis.bat
Appuie sur Y pour commencer le nettoyage.
Il va supprimer les services et les entrées du Registre infectés puis te demandera d'appuyer sur une touche pour redémarrer.
Appuie sur une touche pour redémarrer le PC.
Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
Enfin, poste le contenu du fichier Report.txt dans ta prochaine réponse sur le forum,








Ne t'excuses pas pour le temps, c'est déjà très sympa de m'aider! Et je t'en remercie.

J'ai eu beaucoup de mal à acceder au mode sans echec mais j'ai réussi.

Voici le rapport:


SDFix: Version 1.114

Run by Fanette on 18/11/2007 at 12:28

Microsoft Windows XP [version 5.1.2600]

Running From: C:\DOCUME~1\FANETT~1.UNI\Bureau\SDFix\SDFix

Safe Mode:
Checking Services:


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...


Normal Mode:
Checking Files:

Trojan Files Found:

C:\WINDOWS\mrofinu1188.exe.tmp - Deleted
C:\winlogon.exe - Deleted


Folder C:\WINDOWS\Fonts\' - Removed

Removing Temp Files...

ADS Check:

C:\WINDOWS
No streams found.

C:\WINDOWS\system32
No streams found.

C:\WINDOWS\system32\svchost.exe
No streams found.

C:\WINDOWS\system32\ntoskrnl.exe
No streams found.



Final Check:

catchme 0.3.1262.1 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-18 12:37:31
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\000d3c205d04]
"0012d2c6f789"=hex:c5,96,1e,ec,1b,be,00,17,62,1a,0b,57,6a,19,b3,96
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\000d3c205d04]
"0012d2c6f789"=hex:c5,96,1e,ec,1b,be,00,17,62,1a,0b,57,6a,19,b3,96

scanning hidden registry entries ...

scanning hidden files ...

C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\Local Settings\Application Data\Microsoft\Messenger\texierfanette@hotmail.com\SharingMetadata\babous34@hotmail.fr\DFSR\Staging\CS{D2504A6D-EE15-5175-DA63-0273EB1D4995}\01\14-{D2504A6D-EE15-5175-DA63-0273EB1D4995}-v1-{9ED5870D-0D51-4518-8CCC-130B27D26476}-v14-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS 8 bytes hidden from API
C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\Local Settings\Application Data\Microsoft\Messenger\texierfanette@hotmail.com\SharingMetadata\babous34@hotmail.fr\DFSR\Staging\CS{D2504A6D-EE15-5175-DA63-0273EB1D4995}\15\15-{9ED5870D-0D51-4518-8CCC-130B27D26476}-v15-{9ED5870D-0D51-4518-8CCC-130B27D26476}-v15-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.1 11064 bytes hidden from API
C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\Local Settings\Application Data\Microsoft\Messenger\texierfanette@hotmail.com\SharingMetadata\babous34@hotmail.fr\DFSR\Staging\CS{D2504A6D-EE15-5175-DA63-0273EB1D4995}\15\15-{9ED5870D-0D51-4518-8CCC-130B27D26476}-v15-{9ED5870D-0D51-4518-8CCC-130B27D26476}-v15-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS 1248 bytes hidden from API
C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\Local Settings\Application Data\Microsoft\Messenger\texierfanette@hotmail.com\SharingMetadata\babous34@hotmail.fr\DFSR\Staging\CS{D2504A6D-EE15-5175-DA63-0273EB1D4995}\16\16-{9ED5870D-0D51-4518-8CCC-130B27D26476}-v16-{9ED5870D-0D51-4518-8CCC-130B27D26476}-v16-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.1 15708 bytes hidden from API
C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\Local Settings\Application Data\Microsoft\Messenger\texierfanette@hotmail.com\SharingMetadata\babous34@hotmail.fr\DFSR\Staging\CS{D2504A6D-EE15-5175-DA63-0273EB1D4995}\16\16-{9ED5870D-0D51-4518-8CCC-130B27D26476}-v16-{9ED5870D-0D51-4518-8CCC-130B27D26476}-v16-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS 1760 bytes hidden from API
C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\Local Settings\Application Data\Microsoft\Messenger\texierfanette@hotmail.com\SharingMetadata\franz34c@hotmail.com\DFSR\Staging\CS{A5B0DADD-C0E0-9292-8938-847E6AB16CB6}\01\10-{A5B0DADD-C0E0-9292-8938-847E6AB16CB6}-v1-{9ED5870D-0D51-4518-8CCC-130B27D26476}-v10-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS 8 bytes hidden from API
C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\Local Settings\Application Data\Microsoft\Messenger\texierfanette@hotmail.com\SharingMetadata\franz34c@hotmail.com\DFSR\Staging\CS{A5B0DADD-C0E0-9292-8938-847E6AB16CB6}\20\20-{0C99A7BF-7976-42E4-9AFD-1B7276D9D553}-v20-{0C99A7BF-7976-42E4-9AFD-1B7276D9D553}-v20-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS 256 bytes hidden from API
C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\Local Settings\Application Data\Microsoft\Messenger\texierfanette@hotmail.com\SharingMetadata\franz34c@hotmail.com\DFSR\Staging\CS{A5B0DADD-C0E0-9292-8938-847E6AB16CB6}\21\21-{0C99A7BF-7976-42E4-9AFD-1B7276D9D553}-v21-{0C99A7BF-7976-42E4-9AFD-1B7276D9D553}-v21-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS 256 bytes hidden from API
C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\Local Settings\Application Data\Microsoft\Messenger\texierfanette@hotmail.com\SharingMetadata\franz34c@hotmail.com\DFSR\Staging\CS{A5B0DADD-C0E0-9292-8938-847E6AB16CB6}\22\22-{0C99A7BF-7976-42E4-9AFD-1B7276D9D553}-v22-{0C99A7BF-7976-42E4-9AFD-1B7276D9D553}-v22-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS 240 bytes hidden from API
C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\Local Settings\Application Data\Microsoft\Messenger\texierfanette@hotmail.com\SharingMetadata\nicopulp@msn.com\DFSR\Staging\CS{51F27798-C247-5838-78DD-96A1817E2F25}\01\12-{51F27798-C247-5838-78DD-96A1817E2F25}-v1-{9ED5870D-0D51-4518-8CCC-130B27D26476}-v12-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS 8 bytes hidden from API
C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\Local Settings\Application Data\Microsoft\Messenger\texierfanette@hotmail.com\SharingMetadata\nicopulp@msn.com\DFSR\Staging\CS{51F27798-C247-5838-78DD-96A1817E2F25}\13\13-{9ED5870D-0D51-4518-8CCC-130B27D26476}-v13-{9ED5870D-0D51-4518-8CCC-130B27D26476}-v13-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.1 18948 bytes hidden from API
C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\Local Settings\Application Data\Microsoft\Messenger\texierfanette@hotmail.com\SharingMetadata\nicopulp@msn.com\DFSR\Staging\CS{51F27798-C247-5838-78DD-96A1817E2F25}\13\13-{9ED5870D-0D51-4518-8CCC-130B27D26476}-v13-{9ED5870D-0D51-4518-8CCC-130B27D26476}-v13-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.2 1398 bytes hidden from API
C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\Local Settings\Application Data\Microsoft\Messenger\texierfanette@hotmail.com\SharingMetadata\nicopulp@msn.com\DFSR\Staging\CS{51F27798-C247-5838-78DD-96A1817E2F25}\13\13-{9ED5870D-0D51-4518-8CCC-130B27D26476}-v13-{9ED5870D-0D51-4518-8CCC-130B27D26476}-v13-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS 2080 bytes hidden from API

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 13


Remaining Services:
------------------



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Messenger"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

Remaining Files:
---------------

File Backups: - C:\DOCUME~1\FANETT~1.UNI\Bureau\SDFix\SDFix\backups\backups.zip

Files with Hidden Attributes:

Sun 18 Nov 2007 20,810 ..SH. --- "C:\WINDOWS\system32\jmnffjvc.dllbox"
Thu 29 Mar 2007 4,348 A.SH. --- "C:\Documents and Settings\All Users.WINDOWS\DRM\DRMv1.bak"
Mon 10 Jul 2006 71,168 ..SHR --- "C:\Program Files\Mio Technology\MioSync\Setup.exe"
Sat 9 Jul 2005 16,384 A.SHR --- "C:\Program Files\Mio Technology\MioSync\_Setup.dll"
Sun 15 Apr 2007 0 A.SH. --- "C:\Documents and Settings\All Users.WINDOWS\DRM\Cache\Indiv01.tmp"
Sun 18 Nov 2007 4,286 A..H. --- "C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\Local Settings\Temp\ico3.tmp"
Sun 18 Nov 2007 4,286 A..H. --- "C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\Local Settings\Temp\ico4.tmp"
Sun 18 Nov 2007 4,286 A..H. --- "C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\Local Settings\Temp\ico5.tmp"
Sun 18 Nov 2007 4,286 A..H. --- "C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\Local Settings\Temp\ico6.tmp"
Sun 18 Nov 2007 4,286 A..H. --- "C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\Local Settings\Temp\ico7.tmp"

Finished!
Messages postés
1091
Date d'inscription
samedi 29 septembre 2007
Statut
Contributeur
Dernière intervention
19 novembre 2008
18
il me faudrait le rapport combofix stp
Oupss:

ComboFix 07-11-08.1 - Fanette 2007-11-17 11:46:03.3 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.152 [GMT 1:00]
Running from: C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\Bureau\CFScript.txt
* Created a new restore point

FILE
C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\f.exe
C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\x.dat
C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\z.dat
C:\n.bat
C:\Program Files\Windows NT\meqo4444.dll
C:\Program Files\Windows NT\meqo83122.dll
C:\WINDOWS\Fonts\Setup.exe
C:\WINDOWS\Fonts\svchost.exe
C:\WINDOWS\mrofinu1000106.exe
C:\WINDOWS\system32\ddcccyw.dll
C:\WINDOWS\system32\efcdccd.dll
C:\WINDOWS\system32\efnnnvxh.dll
C:\WINDOWS\system32\estyygxs.dll
C:\WINDOWS\system32\gebaywt.dll
C:\WINDOWS\system32\gsqeqxpn.dll
C:\WINDOWS\system32\gxwsupxq.exe
C:\WINDOWS\system32\hphqrveo.dll
C:\WINDOWS\system32\ilpmhxkd.exe
C:\WINDOWS\system32\kwwcukvv.exe
C:\WINDOWS\system32\kxtvkntv.dll
C:\WINDOWS\system32\sstuv.dll
C:\WINDOWS\system32\utugdrqf.exe
C:\WINDOWS\system32\vbzip10.dll
C:\WINDOWS\system32\vrtvtnud.dll
C:\WINDOWS\system32\wvfwhqsq.dll
C:\WINDOWS\system32\xyaigkke.exe
C:\WINDOWS\system32\yrurgpjq.dll
C:\x.dat
C:\z.dat
.

Incapable d'obtenir les privilèges Système

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\All Users.WINDOWS\Menu Démarrer\Live Safety Center.lnk
C:\Documents and Settings\All Users.WINDOWS\Menu Démarrer\Online Security Guide.lnk
C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\Bureau\Live Safety Center.lnk
C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\Bureau\Online Security Guide.lnk
C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\f.exe
C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\Favoris\Online Security Guide.lnk
C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\x.dat
C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\z.dat
C:\n.bat
C:\Program Files\PartyGaming.Net
C:\Program Files\PartyGaming.Net\PartyPokerNet\Language\en_US\articles\67246.html
C:\Program Files\PartyGaming.Net\PartyPokerNet\Language\en_US\articles\67248.html
C:\Program Files\PartyGaming.Net\PartyPokerNet\Language\en_US\articles\67250.html
C:\Program Files\PartyGaming.Net\PartyPokerNet\Notes.txt
C:\Program Files\PartyGaming.Net\PartyPokerNet\Uninstall.exe
C:\Program Files\PartyGaming.Net\PartyPokerNet\usertab.txt
C:\Program Files\PartyGaming.Net\tmpUpgrade\upgradePGNet113-114man.exe
C:\temp\abW9
C:\temp\abW9\tPho.log
C:\WINDOWS\Fonts\Setup.exe
C:\WINDOWS\Fonts\svchost.exe
C:\WINDOWS\mrofinu1000106.exe
C:\WINDOWS\mrofinu1188.exe
C:\WINDOWS\system32\__c00AAA44.dat
C:\WINDOWS\system32\__c00E3FB3.dat
C:\WINDOWS\system32\addgh.ini
C:\WINDOWS\system32\addgh.ini2
C:\WINDOWS\system32\ddcccyw.dll
C:\WINDOWS\system32\efcdccd.dll
C:\WINDOWS\system32\estyygxs.dll
C:\WINDOWS\system32\gebaywt.dll
C:\WINDOWS\system32\gsqeqxpn.dll
C:\WINDOWS\system32\gxwsupxq.exe
C:\WINDOWS\system32\hgdda.dll
C:\WINDOWS\system32\hphqrveo.dll
C:\WINDOWS\system32\ilpmhxkd.exe
C:\WINDOWS\system32\jmnffjvc.dllbox
C:\WINDOWS\system32\kwwcukvv.exe
C:\WINDOWS\system32\kxtvkntv.dll
C:\WINDOWS\system32\mmmicbtk.dll
C:\WINDOWS\system32\rMa18yy
C:\WINDOWS\system32\rMa18yy\rMa18yy2328.exe
C:\WINDOWS\system32\utugdrqf.exe
C:\WINDOWS\system32\vbzip10.dll
C:\WINDOWS\system32\vrtvtnud.dll
C:\WINDOWS\system32\wvfwhqsq.dll
C:\WINDOWS\system32\wvnbejoh.dll
C:\WINDOWS\system32\wxbeg.ini
C:\WINDOWS\system32\wxbeg.ini2
C:\WINDOWS\system32\xyaigkke.exe
C:\WINDOWS\system32\yqjhfdsf.dll
C:\WINDOWS\system32\yrurgpjq.dll
C:\x.dat
C:\z.dat

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_DOMAINSERVICE
-------\DomainService


((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-10-17 to 2007-11-17 ))))))))))))))))))))))))))))))))))))
.

2007-11-18 11:35 79,424 --a------ C:\WINDOWS\system32\kdtbvnaf.dll
2007-11-18 11:23 85,056 --a------ C:\WINDOWS\system32\yqbkbdwe.dll
2007-11-18 11:16 71,232 --a------ C:\WINDOWS\system32\vyehffht.exe
2007-11-18 10:52 36,352 --a------ C:\WINDOWS\system32\efcyvsr.dll
2007-11-18 10:33 85,056 --------- C:\WINDOWS\system32\sgluorqn.dll
2007-11-17 19:42 82,496 --a------ C:\WINDOWS\system32\lnyqrmrk.dll
2007-11-17 19:36 145,984 --a------ C:\WINDOWS\system32\jmnffjvc.dll
2007-11-17 19:36 145,984 --a------ C:\WINDOWS\system32\ifuoxqwq.dll
2007-11-17 19:36 71,232 --a------ C:\WINDOWS\system32\xllwbjbe.exe
2007-11-17 17:13 36,352 --a------ C:\WINDOWS\system32\awtronl.dll
2007-11-17 16:40 71,232 --a------ C:\WINDOWS\system32\nckapctu.exe
2007-11-17 16:40 36,352 --a------ C:\WINDOWS\system32\tuvwxvs.dll
2007-11-17 15:39 36,352 --a------ C:\WINDOWS\system32\ddcbcaa.dll
2007-11-17 15:08 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-11-17 11:43 <REP> d-------- C:\Program Files\Ashampoo
2007-11-17 11:23 <REP> d-------- C:\Program Files\Navilog1
2007-11-15 23:37 95,608 --a------ C:\WINDOWS\system32\AvastSS.scr
2007-11-15 23:37 42,912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
2007-11-15 23:37 26,624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
2007-11-15 23:37 23,152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
2007-11-15 23:36 <REP> d-------- C:\Program Files\Alwil Software
2007-11-15 23:36 815,480 --a------ C:\WINDOWS\system32\aswBoot.exe
2007-11-15 23:36 94,416 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
2007-11-15 23:36 93,264 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
2007-11-15 13:19 <REP> d--hs---- C:\WINDOWS\VW5pY29ybmlz
2007-11-12 13:14 <REP> d-------- C:\Program Files\Lavasoft
2007-11-12 13:14 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
2007-11-12 13:14 <REP> d-------- C:\Documents and Settings\All Users.WINDOWS\Application Data\Lavasoft
2007-11-11 17:07 <REP> d-------- C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\Application Data\Tor
2007-11-11 14:59 172,032 --a------ C:\winlogon.exe
2007-10-27 12:47 <REP> d-------- C:\Program Files\eMule

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-11-18 10:40 --------- d-----w C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\Application Data\LimeWire
2007-11-17 10:53 --------- d-----w C:\Program Files\Symantec AntiVirus
2007-11-16 16:38 --------- d-----w C:\Program Files\Microsoft IntelliType Pro
2007-11-13 11:29 --------- d-----w C:\Program Files\LimeWire
2007-11-11 16:07 --------- d-----w C:\Program Files\Incomplete
2007-09-21 11:03 --------- d-----w C:\Program Files\Fichiers communs\InstallShield
2007-09-21 11:03 --------- d-----w C:\Program Files\DivX
2007-09-21 11:02 --------- d--h--w C:\Program Files\InstallShield Installation Information
2007-09-17 11:49 --------- d-----w C:\Program Files\sesam
2006-06-04 19:09 278,528 ----a-w C:\Program Files\Fichiers communs\FDEUnInstaller.exe
2003-04-22 19:02 135,168 ----a-w C:\Program Files\AVIPreview.exe
2005-07-29 15:24:26 472 --sha-r C:\WINDOWS\VW5pY29ybmlz\pqcDsZ6VvA5W.vbs
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{78e5ebb8-84ec-4f7e-8a0e-f543eb4784f3}]
2007-11-18 11:35 79424 --a------ C:\WINDOWS\system32\kdtbvnaf.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A95B2816-1D7E-4561-A202-68C0DE02353A}]
2007-11-17 19:36 145984 --a------ C:\WINDOWS\system32\jmnffjvc.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D25FE5DA-9C34-4443-BFCB-DF47A37B800A}]
C:\WINDOWS\system32\pmnki.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{11A69AE4-FBED-4832-A2BF-45AF82825583}"= C:\WINDOWS\system32\jmnffjvc.dll [2007-11-17 19:36 145984]

[HKEY_CLASSES_ROOT\CLSID\{11A69AE4-FBED-4832-A2BF-45AF82825583}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50]
"vptray"="C:\PROGRA~1\SYMANT~1\VPTray.exe" [2004-03-31 14:46]
"HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd2.exe" []
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe" []
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-03 23:55 C:\WINDOWS\system32\bthprops.cpl]
"type32"="C:\Program Files\Microsoft IntelliType Pro\type32.exe" [2004-06-03 09:51]
"IntelliPoint"="C:\Program Files\Microsoft IntelliPoint\point32.exe" [2004-06-03 09:50]
"Host Process"="C:\WINDOWS\Fonts\svchost.exe" []
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-10-25 17:20]
"AntiSpyWare2Guard"="C:\Program Files\Ashampoo\Ashampoo AntiSpyWare 2\AntiSpyWare2Guard.exe" [2007-08-14 09:29]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="C:\PROGRA~1\MSNMES~1\msnmsgr.exe" [2007-01-19 11:55]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:54]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\jmnffjvc]
jmnffjvc.dll 2007-11-17 19:36 145984 C:\WINDOWS\system32\jmnffjvc.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"= msv1_0 C:\WINDOWS\system32\hgdda.dll

R2 AASW2_Service;Ashampoo AntiSpyWare 2 Service;C:\Program Files\Ashampoo\Ashampoo AntiSpyWare 2\AntiSpyWareService.exe

.
**************************************************************************

catchme 0.3.1250 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-17 11:54:00
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-11-17 11:55:26 - machine was rebooted
C:\ComboFix2.txt ... 2007-11-17 17:14
.
--- E O F ---
Messages postés
1091
Date d'inscription
samedi 29 septembre 2007
Statut
Contributeur
Dernière intervention
19 novembre 2008
18
Copie (Ctrl+C) le texte ci-dessous :
File::

C:\WINDOWS\system32\kdtbvnaf.dll
C:\WINDOWS\system32\yqbkbdwe.dll
C:\WINDOWS\system32\efcyvsr.dll
C:\WINDOWS\system32\sgluorqn.dll
C:\WINDOWS\system32\lnyqrmrk.dll
C:\WINDOWS\system32\jmnffjvc.dll
C:\WINDOWS\system32\ifuoxqwq.dll
C:\WINDOWS\system32\xllwbjbe.exe
C:\WINDOWS\system32\awtronl.dll
C:\WINDOWS\system32\nckapctu.exe
C:\WINDOWS\system32\tuvwxvs.dll
C:\WINDOWS\system32\ddcbcaa.dll
C:\WINDOWS\system32\jmnffjvc.dllbox
C:\WINDOWS\system32\pmnki.dll
C:\WINDOWS\system32\hgdda.dll

Registry::

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{78e5ebb8-84ec-4f7e-8a0e-f543eb4784f3}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A95B2816-1D7E-4561-A202-68C0DE02353A}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D25FE5DA-9C34-4443-BFCB-DF47A37B800A}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{11A69AE4-FBED-4832-A2BF-45AF82825583}"=-
[-HKEY_CLASSES_ROOT\CLSID\{11A69AE4-FBED-4832-A2BF-45AF82825583}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Host Process"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\jmnffjvc]

Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte précedemment copié.

Sauvegarde ce fichier sous le nom de CFScript.txt

http://img.photobucket.com/albums/v666/sUBs/CFScript.gif

Comme l'image le montre, fait glisser CFScript.txt sur Combofix.exe

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

télécharge antivir
https://www.pcastuces.com/logitheque/antivir.htm

désactive avast

installe antivir et mets le à jour
tuto pour le paramétrer
http://mr.dodo.perso.cegetel.net/tuto21.htm

redémarre en mode sans échec

1) Redémarre ton ordi
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip"
3) Tu verras un écran avec options de démarrage apparaître
4) Choisis la première option : Sans Échec, et valide avec "Entrée"
5) Choisis ton compte habituel, et non Administrateur

lance antivir et scanne ton poste de travail

poste le rapport obtenu, le rapport combofix et un rapport hijack this

si antivir te convient...supprime avast moins performant et moins réactif face aux nouvelles infections...
https://forum.pcastuces.com/sujet.asp?f=25&s=33867
ComboFix 07-11-08.1 - Fanette 2007-11-17 14:48:54.5 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.241 [GMT 1:00]
Running from: C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\Bureau\CFScript.txt
* Created a new restore point

FILE
C:\WINDOWS\system32\awtronl.dll
C:\WINDOWS\system32\ddcbcaa.dll
C:\WINDOWS\system32\efcyvsr.dll
C:\WINDOWS\system32\hgdda.dll
C:\WINDOWS\system32\ifuoxqwq.dll
C:\WINDOWS\system32\jmnffjvc.dll
C:\WINDOWS\system32\jmnffjvc.dllbox
C:\WINDOWS\system32\kdtbvnaf.dll
C:\WINDOWS\system32\lnyqrmrk.dll
C:\WINDOWS\system32\nckapctu.exe
C:\WINDOWS\system32\pmnki.dll
C:\WINDOWS\system32\sgluorqn.dll
C:\WINDOWS\system32\tuvwxvs.dll
C:\WINDOWS\system32\xllwbjbe.exe
C:\WINDOWS\system32\yqbkbdwe.dll
.

Incapable d'obtenir les privilèges Système

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\All Users.WINDOWS\Menu Démarrer\Live Safety Center.lnk
C:\Documents and Settings\All Users.WINDOWS\Menu Démarrer\Online Security Guide.lnk
C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\Bureau\Live Safety Center.lnk
C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\Bureau\Online Security Guide.lnk
C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\Favoris\Online Security Guide.lnk
C:\WINDOWS\system32\awtronl.dll
C:\WINDOWS\system32\ddcbcaa.dll
C:\WINDOWS\system32\efcyvsr.dll
C:\WINDOWS\system32\ifuoxqwq.dll
C:\WINDOWS\system32\jmnffjvc.dll
C:\WINDOWS\system32\jmnffjvc.dllbox
C:\WINDOWS\system32\lnyqrmrk.dll
C:\WINDOWS\system32\nckapctu.exe
C:\WINDOWS\system32\sgluorqn.dll
C:\WINDOWS\system32\tuvwxvs.dll
C:\WINDOWS\system32\xllwbjbe.exe
C:\WINDOWS\system32\yqbkbdwe.dll

.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-10-17 to 2007-11-17 ))))))))))))))))))))))))))))))))))))
.

2007-11-18 14:33 <REP> d-------- C:\Program Files\Avira
2007-11-18 14:33 <REP> d-------- C:\Documents and Settings\All Users.WINDOWS\Application Data\Avira
2007-11-18 12:27 <REP> d-------- C:\WINDOWS\ERUNT
2007-11-18 11:35 79,424 --a------ C:\WINDOWS\system32\kdtbvnaf.VIR
2007-11-18 11:16 71,232 --a------ C:\WINDOWS\system32\vyehffht.exe
2007-11-17 15:08 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-11-17 11:43 <REP> d-------- C:\Program Files\Ashampoo
2007-11-17 11:23 <REP> d-------- C:\Program Files\Navilog1
2007-11-15 23:37 95,608 --a------ C:\WINDOWS\system32\AvastSS.scr
2007-11-15 23:37 42,912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
2007-11-15 23:37 26,624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
2007-11-15 23:37 23,152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
2007-11-15 23:36 <REP> d-------- C:\Program Files\Alwil Software
2007-11-15 23:36 815,480 --a------ C:\WINDOWS\system32\aswBoot.exe
2007-11-15 23:36 94,416 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
2007-11-15 23:36 93,264 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
2007-11-15 13:19 <REP> d--hs---- C:\WINDOWS\VW5pY29ybmlz
2007-11-12 13:14 <REP> d-------- C:\Program Files\Lavasoft
2007-11-12 13:14 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
2007-11-12 13:14 <REP> d-------- C:\Documents and Settings\All Users.WINDOWS\Application Data\Lavasoft
2007-11-11 17:07 <REP> d-------- C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\Application Data\Tor
2007-10-27 12:47 <REP> d-------- C:\Program Files\eMule

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-11-18 10:40 --------- d-----w C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\Application Data\LimeWire
2007-11-17 13:52 --------- d-----w C:\Program Files\Symantec AntiVirus
2007-11-16 16:38 --------- d-----w C:\Program Files\Microsoft IntelliType Pro
2007-11-13 11:29 --------- d-----w C:\Program Files\LimeWire
2007-11-11 16:07 --------- d-----w C:\Program Files\Incomplete
2007-09-21 11:03 --------- d-----w C:\Program Files\Fichiers communs\InstallShield
2007-09-21 11:03 --------- d-----w C:\Program Files\DivX
2007-09-21 11:02 --------- d--h--w C:\Program Files\InstallShield Installation Information
2007-09-17 11:49 --------- d-----w C:\Program Files\sesam
2007-08-21 06:17 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
2006-06-04 19:09 278,528 ----a-w C:\Program Files\Fichiers communs\FDEUnInstaller.exe
2003-04-22 19:02 135,168 ----a-w C:\Program Files\AVIPreview.exe
2005-07-29 15:24:26 472 --sha-r C:\WINDOWS\VW5pY29ybmlz\pqcDsZ6VvA5W.vbs
.

((((((((((((((((((((((((((((( snapshot@2007-11-17_11.54.46.33 )))))))))))))))))))))))))))))))))))))))))
.
+ 2007-11-16 04:09:51 163,328 ----a-w C:\WINDOWS\ERUNT\SDFIX\ERDNT.EXE
+ 2007-11-18 11:27:54 5,615,616 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\[u]0[/u]0000001\ntuser.dat
+ 2007-11-18 11:27:54 102,400 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\[u]0[/u]0000002\UsrClass.dat
+ 2007-11-16 04:09:51 163,328 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\ERDNT.EXE
+ 2007-11-18 11:27:43 5,615,616 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\[u]0[/u]0000001\ntuser.dat
+ 2007-11-18 11:27:43 102,400 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\[u]0[/u]0000002\UsrClass.dat
+ 2007-08-09 12:04:11 40,768 ----a-w C:\WINDOWS\system32\drivers\avgntdd.sys
+ 2007-07-18 13:22:19 21,312 ----a-w C:\WINDOWS\system32\drivers\avgntmgr.sys
+ 2007-11-18 13:34:54 61,632 ----a-w C:\WINDOWS\system32\drivers\avipbb.sys
+ 2007-03-01 09:34:36 28,352 ----a-w C:\WINDOWS\system32\drivers\ssmdrv.sys
- 2007-11-18 10:39:56 40,972 ----a-w C:\WINDOWS\system32\perfc009.dat
+ 2007-11-18 12:13:00 40,972 ----a-w C:\WINDOWS\system32\perfc009.dat
- 2007-11-18 10:39:56 49,734 ----a-w C:\WINDOWS\system32\perfc00C.dat
+ 2007-11-18 12:13:00 49,734 ----a-w C:\WINDOWS\system32\perfc00C.dat
- 2007-11-18 10:39:56 314,644 ----a-w C:\WINDOWS\system32\perfh009.dat
+ 2007-11-18 12:13:00 314,644 ----a-w C:\WINDOWS\system32\perfh009.dat
- 2007-11-18 10:39:57 370,832 ----a-w C:\WINDOWS\system32\perfh00C.dat
+ 2007-11-18 12:13:00 370,832 ----a-w C:\WINDOWS\system32\perfh00C.dat
+ 2007-11-17 13:53:36 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_500.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50]
"vptray"="C:\PROGRA~1\SYMANT~1\VPTray.exe" [2004-03-31 14:46]
"HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd2.exe" []
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe" []
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-03 23:55 C:\WINDOWS\system32\bthprops.cpl]
"type32"="C:\Program Files\Microsoft IntelliType Pro\type32.exe" [2004-06-03 09:51]
"IntelliPoint"="C:\Program Files\Microsoft IntelliPoint\point32.exe" [2004-06-03 09:50]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-10-25 17:20]
"AntiSpyWare2Guard"="C:\Program Files\Ashampoo\Ashampoo AntiSpyWare 2\AntiSpyWare2Guard.exe" [2007-08-14 09:29]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-11-18 14:34]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="C:\PROGRA~1\MSNMES~1\msnmsgr.exe" [2007-01-19 11:55]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:54]

R2 AASW2_Service;Ashampoo AntiSpyWare 2 Service;C:\Program Files\Ashampoo\Ashampoo AntiSpyWare 2\AntiSpyWareService.exe

*Newly Created Service* - SSMDRV
.
**************************************************************************

catchme 0.3.1250 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-17 14:54:26
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-11-17 14:55:05 - machine was rebooted
C:\ComboFix2.txt ... 2007-11-17 11:55
C:\ComboFix3.txt ... 2007-11-17 17:14
.
--- E O F ---





AntiVir PersonalEdition Classic
Report file date: samedi 17 novembre 2007 15:06

Scanning for 932510 virus strains and unwanted programs.

Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows XP
Windows version: (Service Pack 2) [5.1.2600]
Username: Fanette
Computer name: UNICORNI-2D2FA9

Version information:
BUILD.DAT : 270 15603 Bytes 19/09/2007 13:32:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 23/08/2007 13:16:29
AVSCAN.DLL : 7.0.6.0 49192 Bytes 16/08/2007 12:23:51
LUKE.DLL : 7.0.5.3 147496 Bytes 14/08/2007 15:32:47
LUKERES.DLL : 7.0.6.1 10280 Bytes 21/08/2007 12:35:20
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 14:27:15
ANTIVIR1.VDF : 7.0.0.0 1640448 Bytes 13/09/2007 14:26:55
ANTIVIR2.VDF : 7.0.0.198 1206272 Bytes 11/11/2007 13:34:54
ANTIVIR3.VDF : 7.0.0.226 98304 Bytes 16/11/2007 13:34:54
AVEWIN32.DLL : 7.6.0.34 3125760 Bytes 18/11/2007 13:34:54
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 10:36:26
AVPREF.DLL : 7.0.2.2 25640 Bytes 18/07/2007 07:39:17
AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 13:16:24
AVPACK32.DLL : 7.3.0.15 360488 Bytes 03/08/2007 08:46:00
AVREG.DLL : 7.0.1.6 30760 Bytes 18/07/2007 07:17:06
AVARKT.DLL : 1.0.0.20 278568 Bytes 28/08/2007 12:26:33
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18/07/2007 07:10:18
NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 11:09:42
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07/08/2007 12:38:13
RCTEXT.DLL : 7.0.62.0 86056 Bytes 21/08/2007 12:50:37
SQLITE3.DLL : 3.3.17.1 339968 Bytes 23/07/2007 09:37:21

Configuration settings for the scan:
Jobname..........................: Local Drives
Configuration file...............: c:\program files\avira\antivir personaledition classic\alldrives.avp
Logging..........................: low
Primary action...................: quarantine
Secondary action.................: ignore
Scan master boot sector..........: off
Scan boot sector.................: on
Boot sectors.....................: G:,
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Deviating archive types..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Macro heuristic..................: on
File heuristic...................: medium

Start of the scan: samedi 17 novembre 2007 15:06

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'aawservice.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
13 processes with 13 modules were scanned

Start scanning boot sectors:
Boot sector 'C:\'
[NOTE] No virus was found!
Boot sector 'D:\'
[NOTE] No virus was found!
Boot sector 'E:\'
[NOTE] No virus was found!
Boot sector 'A:\'
[NOTE] In the drive 'A:\' no data medium is inserted!
Boot sector 'H:\'
[NOTE] In the drive 'H:\' no data medium is inserted!
Boot sector 'I:\'
[NOTE] No virus was found!

Starting to scan the registry.
The registry was scanned ( '28' files ).


Starting the file scan:

Begin scan in 'C:\' <Systeme>
C:\pagefile.sys
[WARNING] The file could not be opened!
C:\Documents and Settings\Fanette.UNICORNI-2D2FA9\Bureau\SDFix\SDFix\backups\backups.zip
[0] Archive type: ZIP
--> backups/mrofinu1188.exe.tmp
[DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
[INFO] The file was moved to '47a1f61e.qua'!
C:\Program Files\Corel\Corel Paint Shop Pro X\replacer.exe
[DETECTION] Is the Trojan horse TR/Crackpai.A.19
[INFO] The file was moved to '47aef879.qua'!
C:\Program Files\LimeWire\crack simcity 3000.zip
[0] Archive type: ZIP
--> setup.exe
[DETECTION] Contains detection pattern of the dropper DR/TrafficSol.M.1
[INFO] The file was moved to '479ffbc2.qua'!
C:\qoobox\Quarantine\catchme2007-11-17_115349.14.zip
[0] Archive type: ZIP
--> __c00E3FB3.dat
[DETECTION] Is the Trojan horse TR/Dldr.Agen.ZV.1.B
[INFO] The file was moved to '47b2fd23.qua'!
C:\qoobox\Quarantine\catchme2007-11-17_145342.73.zip
[DETECTION] Is the Trojan horse TR/Vundo.CA
[INFO] The file was moved to '47b2fd24.qua'!
C:\qoobox\Quarantine\C\WINDOWS\mrofinu1000106.exe.vir
[DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
[INFO] The file was moved to '47adfd36.qua'!
C:\qoobox\Quarantine\C\WINDOWS\mrofinu1188.exe.vir
[DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
[INFO] The file was moved to '46d3b7c7.qua'!
C:\qoobox\Quarantine\C\WINDOWS\Fonts\Setup.exe.vir
[DETECTION] Is the Trojan horse TR/Agent.VB.AQC
[INFO] The file was moved to '47b2fd2a.qua'!
C:\qoobox\Quarantine\C\WINDOWS\Fonts\svchost.exe.vir
[DETECTION] Is the Trojan horse TR/Agent.VB.AQC
[INFO] The file was moved to '47a1fd3b.qua'!
C:\qoobox\Quarantine\C\WINDOWS\system32\awtronl.dll.vir
[DETECTION] Is the Trojan horse TR/Drop.Agent.JC
[INFO] The file was moved to '47b2fd3c.qua'!
C:\qoobox\Quarantine\C\WINDOWS\system32\ddcbcaa.dll.vir
[DETECTION] Is the Trojan horse TR/Drop.Agent.JC
[INFO] The file was moved to '47a1fd2a.qua'!
C:\qoobox\Quarantine\C\WINDOWS\system32\ddcccyw.dll.vir
[DETECTION] Is the Trojan horse TR/Drop.Agent.JC
[INFO] The file was moved to '46dead53.qua'!
C:\qoobox\Quarantine\C\WINDOWS\system32\efcdccd.dll.vir
[DETECTION] Is the Trojan horse TR/Drop.Agent.JC
[INFO] The file was moved to '47a1fd2c.qua'!
C:\qoobox\Quarantine\C\WINDOWS\system32\efcyvsr.dll.vir
[DETECTION] Is the Trojan horse TR/Drop.Agent.JC
[INFO] The file was moved to '46dead55.qua'!
C:\qoobox\Quarantine\C\WINDOWS\system32\gebaywt.dll.vir
[DETECTION] Is the Trojan horse TR/Drop.Agent.JC
[INFO] The file was moved to '47a0fd2c.qua'!
C:\qoobox\Quarantine\C\WINDOWS\system32\gsqeqxpn.dll.vir
[DETECTION] Is the Trojan horse TR/Dldr.ConHook.Gen
[INFO] The file was moved to '47affd3a.qua'!
C:\qoobox\Quarantine\C\WINDOWS\system32\gxwsupxq.exe.vir
[DETECTION] Is the Trojan horse TR/Fotomoto.F.1
[INFO] The file was moved to '47b5fd3f.qua'!
C:\qoobox\Quarantine\C\WINDOWS\system32\hgdda.dll.vir
[DETECTION] Is the Trojan horse TR/Vundo.Gen
[INFO] The file was moved to '47a2fd2f.qua'!
C:\qoobox\Quarantine\C\WINDOWS\system32\hphqrveo.dll.vir
[DETECTION] Is the Trojan horse TR/Vundo.AT
[INFO] The file was moved to '47a6fd38.qua'!
C:\qoobox\Quarantine\C\WINDOWS\system32\ifuoxqwq.dll.vir
[DETECTION] Is the Trojan horse TR/Vundo.CA
[INFO] The file was moved to '47b3fd2f.qua'!
C:\qoobox\Quarantine\C\WINDOWS\system32\ilpmhxkd.exe.vir
[DETECTION] Is the Trojan horse TR/Fotomoto.F.1
[INFO] The file was moved to '47aefd35.qua'!
C:\qoobox\Quarantine\C\WINDOWS\system32\jmnffjvc.dll.vir
[DETECTION] Is the Trojan horse TR/Vundo.CA
[INFO] The file was moved to '47acfd36.qua'!
C:\qoobox\Quarantine\C\WINDOWS\system32\kwwcukvv.exe.vir
[DETECTION] Is the Trojan horse TR/Fotomoto.F.1
[INFO] The file was moved to '47b5fd40.qua'!
C:\qoobox\Quarantine\C\WINDOWS\system32\kxtvkntv.dll.vir
[DETECTION] Is the Trojan horse TR/Dldr.ConHook.Gen
[INFO] The file was moved to '47b2fd42.qua'!
C:\qoobox\Quarantine\C\WINDOWS\system32\lnyqrmrk.dll.vir
[DETECTION] Is the Trojan horse TR/Dldr.ConHook.Gen
[INFO] The file was moved to '47b7fd38.qua'!
C:\qoobox\Quarantine\C\WINDOWS\system32\mmmicbtk.dll.vir
[DETECTION] Is the Trojan horse TR/Dldr.Agen.ZV.1.B
[INFO] The file was moved to '47abfd37.qua'!
C:\qoobox\Quarantine\C\WINDOWS\system32\nckapctu.exe.vir
[DETECTION] Is the Trojan horse TR/Fotomoto.F.1
[INFO] The file was moved to '47a9fd2e.qua'!
C:\qoobox\Quarantine\C\WINDOWS\system32\sgluorqn.dll.vir
[DETECTION] Is the Trojan horse TR/Vundo.AU
[INFO] The file was moved to '47aafd32.qua'!
C:\qoobox\Quarantine\C\WINDOWS\system32\tuvwxvs.dll.vir
[DETECTION] Is the Trojan horse TR/Drop.Agent.JC
[INFO] The file was moved to '47b4fd40.qua'!
C:\qoobox\Quarantine\C\WINDOWS\system32\utugdrqf.exe.vir
[DETECTION] Is the Trojan horse TR/Fotomoto.F.1
[INFO] The file was moved to '47b3fd40.qua'!
C:\qoobox\Quarantine\C\WINDOWS\system32\vrtvtnud.dll.vir
[DETECTION] Is the Trojan horse TR/Vundo.DQE
[INFO] The file was moved to '47b2fd3e.qua'!
C:\qoobox\Quarantine\C\WINDOWS\system32\wvfwhqsq.dll.vir
[DETECTION] Is the Trojan horse TR/Dldr.ConHook.Gen
[INFO] The file was moved to '47a4fd42.qua'!
C:\qoobox\Quarantine\C\WINDOWS\system32\wvnbejoh.dll.vir
[DETECTION] Is the Trojan horse TR/Dldr.Agen.ZV.1.B
[INFO] The file was moved to '47acfd43.qua'!
C:\qoobox\Quarantine\C\WINDOWS\system32\xllwbjbe.exe.vir
[DETECTION] Is the Trojan horse TR/Fotomoto.F.1
[INFO] The file was moved to '47aafd39.qua'!
C:\qoobox\Quarantine\C\WINDOWS\system32\xyaigkke.exe.vir
[DETECTION] Is the Trojan horse TR/Fotomoto.F.1
[INFO] The file was moved to '479ffd46.qua'!
C:\qoobox\Quarantine\C\WINDOWS\system32\yqbkbdwe.dll.vir
[DETECTION] Is the Trojan horse TR/Vundo.AU
[INFO] The file was moved to '47a0fd3f.qua'!
C:\qoobox\Quarantine\C\WINDOWS\system32\yqjhfdsf.dll.vir
[DETECTION] Is the Trojan horse TR/Dldr.Agen.ZV.1.B
[INFO] The file was moved to '47a8fd3f.qua'!
C:\qoobox\Quarantine\C\WINDOWS\system32\yrurgpjq.dll.vir
[DETECTION] Is the Trojan horse TR/Dldr.ConHook.Gen
[INFO] The file was moved to '46ccad39.qua'!
C:\qoobox\Quarantine\C\WINDOWS\system32\__c00AAA44.dat.vir
[DETECTION] Is the Trojan horse TR/Dldr.Agen.ZV.1.B
[INFO] The file was moved to '47a1fd2e.qua'!
C:\qoobox\Quarantine\C\WINDOWS\system32\__c00E3FB3.dat.vir
[DETECTION] Is the Trojan horse TR/Trash.Gen
[INFO] The file was moved to '46dead57.qua'!
C:\SSV\Supssv.bat
[DETECTION] Contains suspicious code HEUR/Trojan.DIRKiller
[INFO] The file was moved to '47aefd8c.qua'!
C:\WINDOWS\system32\kdtbvnaf.VIR
[DETECTION] Is the Trojan horse TR/Dldr.ConHook.Gen
[INFO] The file was moved to '47b3000a.qua'!
C:\WINDOWS\system32\vyehffht.exe
[DETECTION] Is the Trojan horse TR/Fotomoto.F.1
[INFO] The file was moved to '47a40050.qua'!
Begin scan in 'D:\' <Documents>
D:\Ma musique\telecharg\Adobe Photoshop CS3 Extended + Regkey + Activation.zip
[0] Archive type: ZIP
--> Setup.exe
[DETECTION] Contains detection pattern of the worm WORM/Rbot.174080
[INFO] The file was moved to '47ae02b3.qua'!
D:\Ma musique\telecharg\SimCity 4 Deluxe Edition iSO.zip
[0] Archive type: ZIP
--> Setup.exe
[DETECTION] Is the Trojan horse TR/Agent.VB.AQC
[INFO] The file was moved to '47ac02bb.qua'!
Begin scan in 'E:\'
Begin scan in 'A:\'
Search path A:\ could not be opened!
Le périphérique n'est pas prêt.

Begin scan in 'H:\'
Search path H:\ could not be opened!
Le périphérique n'est pas prêt.

Begin scan in 'I:\' <PKBACK# 001>
Begin scan in 'F:\'
Search path F:\ could not be opened!
Le périphérique n'est pas prêt.

Begin scan in 'G:\'
Search path G:\ could not be opened!
Fonction incorrecte.



End of the scan: samedi 17 novembre 2007 16:23
Used time: 1:17:17 min

The scan has been done completely.

5962 Scanning directories
396925 Files were scanned
44 viruses and/or unwanted programs were found
1 Files were classified as suspicious:
0 files were deleted
0 files were repaired
45 files were moved to quarantine
0 files were renamed
1 Files cannot be scanned
396881 Files not concerned
1669 Archives were scanned
1 Warnings
0 Notes



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:48, on 18/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Microsoft IntelliType Pro\type32.exe
C:\Program Files\Microsoft IntelliPoint\point32.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\PROGRA~1\MSNMES~1\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Ashampoo\Ashampoo AntiSpyWare 2\AntiSpyWareService.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\FANETT~1.UNI\LOCALS~1\Temp\Rar$EX00.502\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.files-ftp.com/~unicorni/phpBB2/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.accoona.com/search?q=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [type32] "C:\Program Files\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [AntiSpyWare2Guard] C:\Program Files\Ashampoo\Ashampoo AntiSpyWare 2\AntiSpyWare2Guard.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [msnmsgr] "C:\PROGRA~1\MSNMES~1\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Program Files\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Program Files\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.files-ftp.com/~unicorni/phpBB2/index.php
O16 - DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} (AdSignerLCContrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP.cab
O23 - Service: Ashampoo AntiSpyWare 2 Service (AASW2_Service) - Unknown owner - C:\Program Files\Ashampoo\Ashampoo AntiSpyWare 2\AntiSpyWareService.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: Pml Driver HPZ12 - Unknown owner - C:\WINDOWS\system32\HPZipm12.exe (file missing)
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
Messages postés
1091
Date d'inscription
samedi 29 septembre 2007
Statut
Contributeur
Dernière intervention
19 novembre 2008
18
je crois qu'on y est arrivé!!
comment se comporte le PC?
je te conseille de supprimer avast et de conserver antivir, en tout cas, il faut choisir l'un ou l'autre car 2 antivirus sur un PC = source de conflit
on va vérifier une ultime fois avec un scan en ligne
supprime Combofix
C:\qoobox
tous les outils utilisés,
les rapports obtenus (sauf si tu veux les conserver en souvenir lol!!! mdr !!!)
et fais ceci
faire un scan antivirus en ligne avec Internet explorer et accepter l'ActiveX
poster le rapport ici ensuite
https://www.bitdefender.fr/

En bas, à gauche de la fenêtre, clique sur BitDefender SCAN ONLINE
Dans la nouvelle fenêtre, clique sur j’accepte
La fenêtre change encore, clique sur scanner
Les signatures se chargent, etc.

tuto en image
http://pageperso.aol.fr/rginformatique/mapage/defender.htm
Je viens de repasser sur IE et il se comporte bien, la toolbar qui s'était installée a disparu. Je n'ai plus de fenêtres intempestives. Génial. Merci!

J'ai désinstallé Avast pour laisser Antivir. Par contre , mon ancien antivirus (symantec) est toujours désactivé et je n'arrive toujours ni à le réactiver ni à le désinstaller.

Le scan en ligne est en cours.
Messages postés
1091
Date d'inscription
samedi 29 septembre 2007
Statut
Contributeur
Dernière intervention
19 novembre 2008
18
oups...tu as symantec?
tu l'as acheté? je te conseille de le supprimer, pour ne pas avoir de conflits
si non voici l'utilitaire pour le désinstaller proprement
https://www.pcastuces.com/newsletter/adj/1630.htm
remets moi un rapport hiajck this ensuite pour que je vérifie que tout est parti
n'oublie pas de supprimer le live update de norton par ajout suppression de programmes
Non je ne l'ai pas acheté c'est l'ami qui a monté mon pc qui me l'a installé. Jusqu'ici il ne m'avait pas posé de problème.

Par contre NRT me demande de desinstaller symùantec par l'ajout supresssion de programme avant de l'utiliser.
Mais je ne peux pas le faire; la procédure de desinstallation se lance puis j'ai une fenetre qui s'ouvre:"Erreur irrécupérable lors de l'installation"
Messages postés
1091
Date d'inscription
samedi 29 septembre 2007
Statut
Contributeur
Dernière intervention
19 novembre 2008
18
essaie en mode sans échec
1) Redémarre ton ordi
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip"
3) Tu verras un écran avec options de démarrage apparaître
4) Choisis la première option : Sans Échec, et valide avec "Entrée"
5) Choisis ton compte habituel, et non Administrateur

Voilà les deux rapports:

Mais la situation pour mon antivirus est toujours la même :(



BitDefender Online Scanner - Rapport virus en temps réel
Généré à: Sun, Nov 18, 2007 - 19:17:26
________________________________________
Info d'analyse
Fichiers scannés 249325
Infectés Fichiers 4


Virus Détectés
Trojan.Downloader.WinFixer.AU 1
Trojan.Downloader.Agent.BHU 1
Win32.Worm.VB.DW 1
Backdoor.Skinymes.Agent.A 1



________________________________________
Ce sommaire du processus d'analyse sera utilisé par les laboratoires Antivirus BitDefender pour créer des statistiques agréguées sur l'activité des virus dans le monde.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:19, on 18/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Microsoft IntelliType Pro\type32.exe
C:\Program Files\Microsoft IntelliPoint\point32.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\PROGRA~1\MSNMES~1\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Ashampoo\Ashampoo AntiSpyWare 2\AntiSpyWareService.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Opera\Opera.exe
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\FANETT~1.UNI\LOCALS~1\Temp\Rar$EX00.717\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.files-ftp.com/~unicorni/phpBB2/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.accoona.com/search?q=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [type32] "C:\Program Files\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [AntiSpyWare2Guard] C:\Program Files\Ashampoo\Ashampoo AntiSpyWare 2\AntiSpyWare2Guard.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [msnmsgr] "C:\PROGRA~1\MSNMES~1\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Program Files\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Program Files\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.files-ftp.com/~unicorni/phpBB2/index.php
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} (AdSignerLCContrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP.cab
O23 - Service: Ashampoo AntiSpyWare 2 Service (AASW2_Service) - Unknown owner - C:\Program Files\Ashampoo\Ashampoo AntiSpyWare 2\AntiSpyWareService.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: Pml Driver HPZ12 - Unknown owner - C:\WINDOWS\system32\HPZipm12.exe (file missing)
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe