Analyse du log Hijackthis de mon pc Résolu

Question

Bonjours a tous !
J'en appelle a votre sagesse. Mon PC est, a mon avis, très sale et engorgé. A ce que j'ai lu, je ne me trompe pas et dans une autre page de CCM, on recommande de soumettre le rapport de Hijackthis ici. Je ne m'essayerais pas seul de le désinfecter car la dernière fois que je me suis aventurer dans les méandres de mon pc, ca m'a couté 56 $ CAN...

Merci de me filler un coup de main. Je suis conscient que je ne suis pas le seul a vous implorer lol
EpikWiz 

-------------------------------------------------------

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\UStorSrv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Logitech\SetPoint\KEM.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Logitech\SetPoint\KHALMNPR.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.com/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;*.local
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
O4 - HKLM\..\Run: [NI.ERSV_0001_N91S1908] "c:\documents and settings\philippe\application data\errorsafefrspecialofferinstall[1].exe" -nag 
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\KEM.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - https://onedrive.live.com/
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/EN-CA/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A54032D-31F7-400D-B184-83B33BDE65FA} (MSN File Upload Control) - http://sc.groups.msn.com/controls/FileUC/MsnUpld.cab
O16 - DPF: {AA07EBD2-EBDD-4BD6-9F8F-114BD513492C} (NeffyLauncherCtl Class) - http://disteng.nefficient.com/disteng/neffy/NeffyLauncher.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O18 - Protocol: bw+0 - {5B174014-708E-44CA-B3F9-8A4333E4681F} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw+0s - {5B174014-708E-44CA-B3F9-8A4333E4681F} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtoc

Le sioux · Answer

Bonjour Epicwiz

Ton rapport est incomplet, donc inexploitable, colle le dans son intégralité si tu veux pouvoir etre aidé ;-)

Bonne journée.

EpikWiz · Answer

Ah ok

Voila le dernier log, j'ai tenté quelques choses manoeuvre que j'ai lu sur le site alors c'est normal qu'il soit différent...

-------------------------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:33:31, on 2007-12-05
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\HPZipm12.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Logitech\SetPoint\KEM.exe
C:\WINDOWS\system32\UStorSrv.exe
C:\Program Files\Logitech\SetPoint\KHALMNPR.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\MSN Messenger\msvs.exe
C:\Program Files\MSN Messenger\msvs.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;*.local
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {14CBA9C6-25A9-4C09-B2E6-4C3B92AF66F3} - C:\WINDOWS\system32\jkklk.dll
O2 - BHO: (no name) - {20983C05-5D8C-4EE9-A377-50B687138E19} - C:\WINDOWS\system32\gebya.dll
O2 - BHO: (no name) - {329E3DEE-D958-4C0E-93CF-FD145318493E} - C:\WINDOWS\system32\vtstr.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {FD2A7D3A-3DA1-4CA5-AD39-B4C3A72B567F} - C:\WINDOWS\system32\ljjihii.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
O4 - HKLM\..\Run: [NI.ERSV_0001_N91S1908] "c:\documents and settings\philippe\application data\errorsafefrspecialofferinstall[1].exe" -nag 
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\KEM.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - https://onedrive.live.com/
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/EN-CA/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A54032D-31F7-400D-B184-83B33BDE65FA} (MSN File Uplo

Le sioux · Answer

Manque les O23

Le sioux · Answer

Re

J aurai besoin de ton rapport Hijackthis en entier, il manque les O23

1) VundoFix.exe par Atribune 

Télécharge VundoFix.exe par Atribune  http://www.atribune.org/content/view/24/2/ sur ton Bureau.

    * Double-clique sur VundoFix.exe afin de le lancer
    * Clique sur le bouton Scan for Vundo
    * Lorsque le scan est terminé, clique sur le bouton Remove Vundo
    * Une invite te demandera si tu veux supprimer les fichiers, clique YES
    * Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
    * Tu verras une invite qui t'annonce que ton PC va redémarrer; clique sur  OK

Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".

2)Télécharge  OTMoveIt (de Old_Timer) sur ton Bureau.  

http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe

N'y touche pas pour le moment.

3) Lance HijackThis.

Je te conseille d'enregistrer  toutes les lignes a fixer puis de copier cette sélection dans un fichier texte sur ton PC pour pouvoir appliquer la procédure correctement.

Lance Hijackthis en double cliquant sur son raccourci sur le Bureau.
Clique sur Scan Only et coche les lignes suivantes :

 
O4 - HKLM\..\Run: [NI.ERSV_0001_N91S1908] "c:\documents and settings\philippe\application data\errorsafefrspecialofferinstall[1].exe" -nag
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user' 


Ferme toutes les autres fenêtres, tous les autres programmes. Pas de connections Internet.
Clique sur Fix Checked puis clique sur OK
Puis ferme HijackThis.

4) OTMoveIt (de Old_Timer) 

Double clique sur OTMoveIt.exe pour le lancer.
Copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :
Paste List of Files/Folders to be moved.

c:\documents and settings\philippe\application data\errorsafefrspecialofferinstall[1].exe

Clique sur MoveIt! pour lancer la suppression.
Le résultat apparaîtra dans le cadre Results.
Clique sur Exit pour fermer.

Il te sera peut-être demander de redémarrer le pc pour achever la suppression.
si c'est le cas accepte par Yes.

5) Rapports :

--> Poste en reponse :

* Le rapport de VundoFix situé dans C:\vundofix.txt 
* Le rapport d'OTMoveIt situé dans C:\_OTMoveIt\MovedFiles (contenu du fichier C:\_OTMoveIt\MovedFiles\********_******.log - les *** sont des chiffres représentant la date et l'heure)
* Un nouveau rapport hijackthis en entier

@+

EpikWiz · Answer

Voila les O23, je ne sais pas pourquoi ils n'ont pas été affiché hier, j'ai cpoy paster le contenu du log pourtant...

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: UStorage Server Service - OTi - C:\WINDOWS\system32\UStorSrv.exe

EpikWiz · Answer

Merci pour tes réponses Le sioux. Vraiment apprécié

Le sioux · Answer

Bonsoir epikWiz

Avec plaisir ;-)

As tu fait ce que je t'ai demandé poste 5

Il me faut maintenant :

* Le rapport de VundoFix situé dans C:\vundofix.txt
* Le rapport d'OTMoveIt situé dans C:\_OTMoveIt\MovedFiles (contenu du fichier C:\_OTMoveIt\MovedFiles\********_******.log - les *** sont des chiffres représentant la date et l'heure)
* Un nouveau rapport hijackthis en entier

@ suivre

EpikWiz · Answer

Voila pour le log de VundoFix


VundoFix V6.7.0

Checking Java version...

Java version is 1.5.0.3
Old versions of java are exploitable and should be removed.

Scan started at 15:50:46 2007-12-06

Listing files found while scanning....

C:\WINDOWS\system32\awvvs.dll
C:\windows\system32\bgpardds.ini
C:\windows\system32\dkhqvaht.ini
C:\windows\system32\fcjtspqr.ini
C:\windows\system32\frfeavoj.dll
C:\windows\system32\hsqhdjgu.ini
C:\windows\system32\ihprerax.ini
C:\windows\system32\jovaefrf.ini
C:\WINDOWS\system32\ljjihii.dll
C:\windows\system32qpstjcf.dll
C:\windows\system32\sddrapgb.dll
C:\WINDOWS\system32\svvwa.tmp
C:\windows\system32	havqhkd.dll
C:\windows\system32\ugjdhqsh.dll
C:\windows\system32\xarerphi.dll

Beginning removal...

 Attempting to delete C:\windows\system32\bgpardds.ini
C:\windows\system32\bgpardds.ini Has been deleted!

 Attempting to delete C:\windows\system32\dkhqvaht.ini
C:\windows\system32\dkhqvaht.ini Has been deleted!

 Attempting to delete C:\windows\system32\fcjtspqr.ini
C:\windows\system32\fcjtspqr.ini Has been deleted!

 Attempting to delete C:\windows\system32\frfeavoj.dll
C:\windows\system32\frfeavoj.dll Has been deleted!

 Attempting to delete C:\windows\system32\hsqhdjgu.ini
C:\windows\system32\hsqhdjgu.ini Has been deleted!

 Attempting to delete C:\windows\system32\ihprerax.ini
C:\windows\system32\ihprerax.ini Has been deleted!

 Attempting to delete C:\windows\system32\jovaefrf.ini
C:\windows\system32\jovaefrf.ini Has been deleted!

 Attempting to delete C:\WINDOWS\system32\ljjihii.dll
C:\WINDOWS\system32\ljjihii.dll Could not be deleted.

 Attempting to delete C:\windows\system32qpstjcf.dll
C:\windows\system32qpstjcf.dll Has been deleted!

 Attempting to delete C:\windows\system32\sddrapgb.dll
C:\windows\system32\sddrapgb.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\svvwa.tmp
C:\WINDOWS\system32\svvwa.tmp Has been deleted!

 Attempting to delete C:\windows\system32	havqhkd.dll
C:\windows\system32	havqhkd.dll Has been deleted!

 Attempting to delete C:\windows\system32\ugjdhqsh.dll
C:\windows\system32\ugjdhqsh.dll Has been deleted!

 Attempting to delete C:\windows\system32\xarerphi.dll
C:\windows\system32\xarerphi.dll Has been deleted!

Performing Repairs to the registry.
Done!

Beginning removal...

 Attempting to delete C:\WINDOWS\system32\ljjihii.dll
C:\WINDOWS\system32\ljjihii.dll Has been deleted!

Performing Repairs to the registry.
Done!

VundoFix V6.7.0

Checking Java version...

Java version is 1.5.0.3
Old versions of java are exploitable and should be removed.

Scan started at 11:36:56 2007-12-07

Listing files found while scanning....

C:\WINDOWS\system32\awvvs.dll

Beginning removal...

Performing Repairs to the registry.
Done!

--------------------------------------------------------------------------

Je n'arrive pas a trouver le rapport de OTMoveit. Je l'ai relancé, j'ai recopier le chemin d'accès que tu m'as fourni au post 5 j'ai cliquer sur MoveIt, j'ai du rebooter et ...pas de log

--------------------------------------------------------------------------

Nouveau rapport HijackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:03:34, on 2007-12-07
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\Program Files\Logitech\SetPoint\KEM.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Logitech\SetPoint\KHALMNPR.EXE
C:\WINDOWS\system32\UStorSrv.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;*.local
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {14CBA9C6-25A9-4C09-B2E6-4C3B92AF66F3} - C:\WINDOWS\system32\jkklk.dll (file missing)
O2 - BHO: (no name) - {20983C05-5D8C-4EE9-A377-50B687138E19} - C:\WINDOWS\system32\gebya.dll (file missing)
O2 - BHO: (no name) - {329E3DEE-D958-4C0E-93CF-FD145318493E} - C:\WINDOWS%

EpikWiz · Answer

Ca a d'l'air que le post a été coupé. Je te redonne le rapport the Hijackthis

Nouveau rapport HijackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:03:34, on 2007-12-07
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\Program Files\Logitech\SetPoint\KEM.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Logitech\SetPoint\KHALMNPR.EXE
C:\WINDOWS\system32\UStorSrv.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;*.local
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {14CBA9C6-25A9-4C09-B2E6-4C3B92AF66F3} - C:\WINDOWS\system32\jkklk.dll (file missing)
O2 - BHO: (no name) - {20983C05-5D8C-4EE9-A377-50B687138E19} - C:\WINDOWS\system32\gebya.dll (file missing)
O2 - BHO: (no name) - {329E3DEE-D958-4C0E-93CF-FD145318493E} - C:\WINDOWS\system32\vtstr.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-20\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\KEM.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - https://onedrive.live.com/
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/EN-CA/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A54032D-31F7-400D-B184-83B33BDE65FA} (MSN File Upload Control) - http://sc.groups.msn.com/controls/FileUC/MsnUpld.cab
O16 - DPF: {AA07EBD2-EBDD-4BD6-9F8F-114BD513492C} (NeffyLauncherCtl Class) - http://disteng.nefficient.com/disteng/neffy/NeffyLauncher.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2284A6E8-C61A-42A6-BBBD-36E70

EpikWiz · Answer

O17 - HKLM\System\CCS\Services\Tcpip\..\{2284A6E8-C61A-42A6-BBBD-36E70B1CDF62}: NameServer = 85.255.116.74,85.255.112.189
O17 - HKLM\System\CCS\Services\Tcpip\..\{95373FD0-1CF8-470F-A51C-64A432095044}: NameServer = 85.255.116.74,85.255.112.189
O17 - HKLM\System\CCS\Services\Tcpip\..\{9E531582-FC24-47C6-A2B4-0121A9726167}: NameServer = 85.255.116.74,85.255.112.189
O17 - HKLM\System\CCS\Services\Tcpip\..\{D1E88733-377D-441C-88D4-8B48B8ABCE47}: NameServer = 85.255.116.74,85.255.112.189
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.74 85.255.112.189
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.74 85.255.112.189
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.74 85.255.112.189
O18 - Protocol: bw+0 - {5B174014-708E-44CA-B3F9-8A4333E4681F} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw+0s - {5B174014-708E-44CA-B3F9-8A4333E4681F} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: offline-8876480 - {5B174014-708E-44CA-B3F9-8A4333E4681F} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O20 - AppInit_DLLs:  
O20 - Winlogon Notify: awvvs - C:\WINDOWS\system32\awvvs.dll (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: UStorage Server Service - OTi - C:\WINDOWS\system32\UStorSrv.exe

Le sioux · Answer

Bonsoir EpikWizz

Tu es infecté par Vundo, on finira de s'occupper de lui : il y a plus urgent --> redirection vers l ukraine

http://www.dnsstuff.com/tools/whois.ch?ip=85.255.112.189

On attaque :

Je te conseille d'enregistrer la procédure qui suit en sélectionnant toutes les lignes puis de copier cette sélection dans un fichier texte sur ton PC pour pouvoir appliquer la procédure correctement.
Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.
Si un élément te paraît obscur, demande des explications avant de commencer la désinfection

1) FixWareout de LonnyRJones

    * Télécharge FixWareout de LonnyRJones d'un de ces deux sites sur le bureau: 

http://download.bleepingcomputer.com/lonny/Fixwareout.exe
http://downloads.subratam.org/Fixwareout.exe

    * Lance le fix: clique sur Next, puis Install, puis assure toi que "Run fixit" est activé puis clique sur Finish.
    * Le fix va commencer, suis les messages à l'écran.
    * Il te sera demandé de redémarrer ton ordinateur, fais le. 
Ton système mettra un peu plus de temps au démarrage, c'est normal.
    * Sauvegarde sur ton Bureau le contenu du rapport qui va s'afficher à l'écran (report.txt) afin de le retrouver facilement plus tard.


2) Lance HijackThis.

Je te conseille d'enregistrer la page en sélectionnant toutes les lignes puis de copier cette sélection dans un fichier texte sur ton PC pour pouvoir appliquer la procédure correctement.

Lance Hijackthis en double cliquant sur son raccourci sur le Bureau.
Clique sur Scan Only et coche les lignes suivantes :

O17 - HKLM\System\CCS\Services\Tcpip\..\{2284A6E8-C61A-42A6-BBBD-36E70B1CDF62}: NameServer = 85.255.116.74,85.255.112.189
O17 - HKLM\System\CCS\Services\Tcpip\..\{95373FD0-1CF8-470F-A51C-64A432095044}: NameServer = 85.255.116.74,85.255.112.189
O17 - HKLM\System\CCS\Services\Tcpip\..\{9E531582-FC24-47C6-A2B4-0121A9726167}: NameServer = 85.255.116.74,85.255.112.189
O17 - HKLM\System\CCS\Services\Tcpip\..\{D1E88733-377D-441C-88D4-8B48B8ABCE47}: NameServer = 85.255.116.74,85.255.112.189
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.74 85.255.112.189
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.74 85.255.112.189
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.74 85.255.112.189
O18 - Protocol: bw+0 - {5B174014-708E-44CA-B3F9-8A4333E4681F} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw+0s - {5B174014-708E-44CA-B3F9-8A4333E4681F} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: offline-8876480 - {5B174014-708E-44CA-B3F9-8A4333E4681F} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll 

Ferme toutes les autres fenêtres, tous les autres programmes. Pas de connections Internet.
Clique sur Fix Checked puis clique sur OK
Puis ferme hijackthis.

3) Rapports

Fais redémarrer ton PC et poste en réponse :

* Un nouveau rapport HijackThis
*  Le rapport du FixwareOut que tu as sauvegardé sur ton Bureau

@ suivre

EpikWiz · Answer

Bonjour Le sioux. J'ai executer tout ce que tu m'a demander et voici les rapport

___________________________
Fixwareout
___________________________

Username "Philippe" - 2007-12-08 17:38:57 [Fixwareout edited 9/01/2007]

~~~~~ Prerun check
HKLM\SOFTWARE\~\Winlogon\ "System"="kdhwd.exe"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
"nameserver"="85.255.116.74 85.255.112.189" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services	cpip\parameters\interfaces\{2284A6E8-C61A-42A6-BBBD-36E70B1CDF62} 
"nameserver"="85.255.116.74,85.255.112.189" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services	cpip\parameters\interfaces\{95373FD0-1CF8-470F-A51C-64A432095044} 
"nameserver"="85.255.116.74,85.255.112.189" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services	cpip\parameters\interfaces\{9E531582-FC24-47C6-A2B4-0121A9726167} 
"nameserver"="85.255.116.74,85.255.112.189" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services	cpip\parameters\interfaces\{D1E88733-377D-441C-88D4-8B48B8ABCE47} 
"nameserver"="85.255.116.74,85.255.112.189" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services	cpip\parameters\interfaces\{95373FD0-1CF8-470F-A51C-64A432095044}
"DhcpNameServer"="85.255.116.74,85.255.112.189" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services	cpip\parameters\interfaces\{9E531582-FC24-47C6-A2B4-0121A9726167}
"DhcpNameServer"="85.255.116.74,85.255.112.189" <Value cleared.

Cache de résolution DNS vidé.

System was rebooted successfully. 
 
~~~~~ Postrun check 
HKLM\SOFTWARE\~\Winlogon\ "system"="" 
....
....
~~~~~ Misc files. 
....
~~~~~ Checking for older varients.
....
~~~~~ Other
C:\WINDOWS\Temp\kdhwd.ren 75792 2007-06-13 

~~~~~ Current runs (hklm hkcu "run" Keys Only)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
"SoundMan"="SOUNDMAN.EXE"
"SsAAD.exe"="C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe"
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP"
"SunJavaUpdateSched"="\"C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe\""

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PowerBar"=""
"LDM"="C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe"
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe"
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\AdobeUpdater]
....
Hosts file was reset, If you use a custom hosts file please replace it...
~~~~~ End report ~~~~~

EpikWiz · Answer

________________________________
Hijackthis
Un seul hic: Lors du scan, il n'y avait pas de O17 dans le log. J'ai coché les O18(qui étaient tous là), mais aucun O17...
________________________________

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:50:28, on 2007-12-08
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\UStorSrv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Logitech\SetPoint\KEM.exe
C:\Program Files\Logitech\SetPoint\KHALMNPR.EXE
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;*.local
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {14CBA9C6-25A9-4C09-B2E6-4C3B92AF66F3} - C:\WINDOWS\system32\jkklk.dll (file missing)
O2 - BHO: (no name) - {20983C05-5D8C-4EE9-A377-50B687138E19} - C:\WINDOWS\system32\gebya.dll (file missing)
O2 - BHO: (no name) - {329E3DEE-D958-4C0E-93CF-FD145318493E} - C:\WINDOWS\system32\vtstr.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-20\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\KEM.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - https://onedrive.live.com/
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/EN-CA/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A54032D-31F7-400D-B184-83B33BDE65FA} (MSN File Upload Control) - http://sc.groups.msn.com/controls/FileUC/MsnUpld.cab
O16 - DPF: {AA07EBD2-EBDD-4BD6-9F8F-114BD513492C} (NeffyLauncherCtl Class) - http://disteng.nefficient.com/disteng/neffy/NeffyLauncher.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary

Le sioux · Answer

Bonsoir epikWizz

Il te faut bien lire en intégralité ce que je te demande ... je t ai demandé :

Fais redémarrer ton PC et poste en réponse : 

* Un nouveau rapport HijackThis 
* Le rapport du FixwareOut que tu as sauvegardé sur ton Bureau 

Il me manque donc le rapport d'HijackThis en entier

Poste le donc que l'on puisse continuer.

@ +

EpikWiz · Answer

(suite du rapport de Hijackthis:


O20 - AppInit_DLLs:  
O20 - Winlogon Notify: awvvs - C:\WINDOWS\system32\awvvs.dll (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: UStorage Server Service - OTi - C:\WINDOWS\system32\UStorSrv.exe

Le sioux · Answer

Bonsoir epikWizz

On continu  ;-)

Télécharge combofix.exe  de  sUBs sur ton Bureau. 

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

* Double clique combofix.exe. 
* Tape sur la touche 1 (Yes) pour démarrer le scan. 
*  Lorsque le scan sera terminé, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse. 

( Note : Le rapport se trouve également ici : C:\Combofix.txt )

@ suivre

EpikWiz · Answer

Voici le rapport de Combofix _______________________________________________ ComboFix 07-12-09.1 - Philippe 2007-12-10 19:34:40.1 - NTFSx86 Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.506 [GMT -5:00] Running from: C:\Documents and Settings\Philippe\Mes documents\program utile mais futile\ComboFix.exe * Created a new restore point . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Program Files\dobe~1 C:\Program Files\Fichiers communs\{286A7~1 C:\Program Files\icroso~1.net C:\WINDOWS\cookies.ini C:\WINDOWS\icroso~1 C:\WINDOWS\smante~1 C:\WINDOWS\system32\appatc~1 C:\WINDOWS\system32\crosof~1.net C:\WINDOWS\system32\curity~1 C:\WINDOWS\system32\fnts~1 C:\WINDOWS\system32\icroso~1.net C:\WINDOWS\system32\mantec~1 C:\WINDOWS\system32\pppatc~1 C:\WINDOWS\system32\pppatc~2 C:\WINDOWS\system32\rasqervy.dll C:\WINDOWS\system32\sdfinacs.dll C:\WINDOWS\system32\sembly~1 C:\WINDOWS\system32\sks~1 C:\WINDOWS\system32\smante~1 C:\WINDOWS\system32\smbols~1 C:\WINDOWS\system32\wnsinticomsv.exe C:\WINDOWS\system32\wnsxs~1 C:\WINDOWS\system32\wuasirvy.dll C:\WINDOWS\system32\ymbols~1 C:\WINDOWS\system32\ystem3~1 C:\WINDOWS\Temp\4868021784.exe . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\LEGACY_DOMAINSERVICE ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-11-11 to 2007-12-11 )))))))))))))))))))))))))))))))))))) . 2007-12-10 09:33 . 2007-12-10 09:33 d-------- C:\Program Files\Microsoft Works 2007-12-05 21:02 . 2007-12-10 19:28 5 --a------ C:\WINDOWS\system32\sdfixwcs.dll 2007-12-05 20:07 . 2007-12-10 07:06 17,920 --a------ C:\WINDOWS\msacm32.drv 2007-12-04 22:43 . 2007-12-04 22:43 286,961 ---hs---- C:\WINDOWS\system32\klkkj.bak1 2007-12-04 22:42 . 2007-12-04 23:55 287,788 ---hs---- C:\WINDOWS\system32\klkkj.ini 2007-12-04 20:15 . 2007-12-04 20:15 287,004 ---hs---- C:\WINDOWS\system32\rtstv.bak1 2007-12-04 20:14 . 2007-12-04 20:36 291,919 ---hs---- C:\WINDOWS\system32\rtstv.ini 2007-12-04 19:12 . 2007-12-04 19:12 286,961 ---hs---- C:\WINDOWS\system32\pqtwa.bak1 2007-12-04 19:11 . 2007-12-04 19:17 287,377 ---hs---- C:\WINDOWS\system32\pqtwa.ini 2007-12-04 18:11 . 2007-12-04 18:11 287,270 ---hs---- C:\WINDOWS\system32\vyadd.bak2 2007-12-04 17:37 . 2007-12-04 17:37 286,961 ---hs---- C:\WINDOWS\system32\vyadd.bak1 2007-12-04 17:36 . 2007-12-04 18:14 287,704 ---hs---- C:\WINDOWS\system32\vyadd.ini 2007-12-04 15:35 . 2007-12-04 15:35 287,000 ---hs---- C:\WINDOWS\system32\mmllm.bak2 2007-12-04 13:29 . 2007-12-04 15:42 287,697 ---hs---- C:\WINDOWS\system32\mmllm.ini 2007-12-03 23:30 . 2007-12-03 23:30 d-------- C:\Program Files\Trend Micro 2007-12-03 23:09 . 2007-12-03 23:09 d-------- C:\Documents and Settings\All Users\Application Data\MailFrontier 2007-12-03 23:09 . 2007-12-03 23:11 4,212 ---h----- C:\WINDOWS\system32\zllictbl.dat 2007-12-03 23:08 . 2004-04-27 04:40 11,264 --a------ C:\WINDOWS\system32\SpOrder.dll 2007-12-03 23:07 . 2007-12-04 18:15 d-------- C:\WINDOWS\Internet Logs 2007-12-02 15:17 . 2007-12-04 15:45 7,671 ---hs---- C:\WINDOWS\system32\mlkkj.bak2 2007-12-02 10:45 . 2007-12-02 10:45 286,960 ---hs---- C:\WINDOWS\system32\mlkkj.bak1 2007-12-02 10:45 . 2007-12-04 18:10 6,624 ---hs---- C:\WINDOWS\system32\mlkkj.ini 2007-12-01 21:54 . 2007-12-01 21:54 288,439 ---hs---- C:\WINDOWS\system32\wvvwa.bak2 2007-12-01 21:44 . 2007-12-02 00:50 288,207 ---hs---- C:\WINDOWS\system32\wvvwa.ini 2007-12-01 21:44 . 2007-12-01 21:44 287,000 ---hs---- C:\WINDOWS\system32\wvvwa.bak1 2007-12-01 17:56 . 2007-12-01 20:08 12,634 ---hs---- C:\WINDOWS\system32\ututv.bak2 2007-11-29 08:45 . 2007-11-29 12:05 288,299 ---hs---- C:\WINDOWS\system32\bbeeg.ini 2007-11-29 08:45 . 2007-11-29 08:45 288,028 ---hs---- C:\WINDOWS\system32\bbeeg.bak1 2007-11-29 07:30 . 2007-12-05 07:34 7,887 ---hs---- C:\WINDOWS\system32\rttss.bak2 2007-11-28 23:28 . 2007-12-03 23:23 54,156 --ah----- C:\WINDOWS\QTFont.qfn 2007-11-28 23:28 . 2007-11-28 23:28 1,409 --a------ C:\WINDOWS\QTFont.for 2007-11-28 21:40 . 2007-11-28 21:40 288,902 ---hs---- C:\WINDOWS\system32\rqtss.ini 2007-11-28 21:08 . 2007-11-28 21:16 288,832 ---hs---- C:\WINDOWS\system32\rqtss.ini2 2007-11-27 17:05 . 2007-11-27 16:00 308,159 --ahs---- C:\WINDOWS\system32\rstwa.ini 2007-11-27 16:00 . 2007-11-29 22:57 308,219 ---hs---- C:\WINDOWS\system32\rstwa.ini2 2007-11-27 15:25 . 2007-11-27 16:00 308,159 ---hs---- C:\WINDOWS\system32\rstwa.tmp 2007-11-27 06:46 . 2007-11-27 06:46 d-------- C:\Program Files\PowerQuest 2007-11-26 21:39 . 2007-11-28 21:50 22,765 ---hs---- C:\WINDOWS\system32\rstwa.bak2 2007-11-26 21:37 . 2007-11-26 21:37 6,473 ---hs---- C:\WINDOWS\system32\rstwa.bak1 2007-11-20 16:06 . 2007-11-20 20:23 289,822 ---hs---- C:\WINDOWS\system32\qrutv.bak2 2007-11-20 15:04 . 2007-11-20 15:04 289,681 ---hs---- C:\WINDOWS\system32\qtvwa.bak2 2007-11-19 22:29 . 2007-11-20 15:23 290,340 ---hs---- C:\WINDOWS\system32\qtvwa.ini 2007-11-19 22:29 . 2007-11-19 22:29 288,626 ---hs---- C:\WINDOWS\system32\qtvwa.bak1 2007-11-19 12:09 . 2007-11-19 13:00 292,144 ---hs---- C:\WINDOWS\system32\qstwa.tmp 2007-11-19 10:56 . 2007-11-20 22:32 303,299 ---hs---- C:\WINDOWS\system32\qrutv.ini 2007-11-19 10

EpikWiz · Answer

2007-11-19 10:56 . 2007-11-19 10:56 288,626 ---hs---- C:\WINDOWS\system32\qrutv.bak1 2007-11-18 21:06 . 2007-11-20 07:55 289,189 ---hs---- C:\WINDOWS\system32\edeeg.bak2 2007-11-18 18:25 . 2007-11-18 18:25 6,473 ---hs---- C:\WINDOWS\system32\edeeg.bak1 2007-11-18 18:24 . 2007-11-20 08:05 289,421 ---hs---- C:\WINDOWS\system32\edeeg.ini 2007-11-16 23:49 . 2007-11-26 17:22 d-------- C:\Downloads 2007-11-16 23:49 . 2007-11-16 23:54 d-------- C:\Documents and Settings\Philippe\Application Data\uTorrent 2007-11-16 05:33 . 2007-11-16 05:33 289,176 ---hs---- C:\WINDOWS\system32 ttss.bak1 2007-11-16 05:33 . 2007-12-05 07:42 6,571 ---hs---- C:\WINDOWS\system32 ttss.ini 2007-11-13 07:38 . 2007-11-14 07:38 669,053 ---hs---- C:\WINDOWS\system32\datenacj.ini 2007-11-13 06:27 . 2007-11-13 07:05 662,247 ---hs---- C:\WINDOWS\system32\qllohuje.ini 2007-11-12 23:41 . 2007-11-13 06:24 620,345 ---hs---- C:\WINDOWS\system32\hmhohiiw.ini 2007-11-12 22:51 . 2007-11-12 22:51 590,356 ---hs---- C:\WINDOWS\system32\phctnyor.ini 2007-11-12 10:20 . 2007-11-12 10:20 6,473 ---hs---- C:\WINDOWS\system32\onnmp.bak1 2007-11-12 10:19 . 2007-11-13 06:24 7,285 ---hs---- C:\WINDOWS\system32\onnmp.ini 2007-11-12 07:26 . 2007-11-12 12:01 582,986 ---hs---- C:\WINDOWS\system32 nsgbcyj.ini 2007-11-12 07:25 . 2007-11-14 07:35 487,405 ---hs---- C:\WINDOWS\system32\aybeg.bak2 2007-11-11 16:32 . 2007-11-12 07:19 584,476 ---hs---- C:\WINDOWS\system32\lorcweoc.ini 2007-11-11 12:32 . 2007-11-11 15:37 584,476 ---hs---- C:\WINDOWS\system32\kiuqfhmc.ini 2007-11-11 10:11 . 2007-11-11 12:32 289,559 ---hs---- C:\WINDOWS\system32 qtwa.bak2 2007-11-11 09:38 . 2007-11-11 09:38 584,536 ---hs---- C:\WINDOWS\system32\voaicfmu.ini 2007-11-11 08:11 . 2007-11-11 09:37 584,476 ---hs---- C:\WINDOWS\system32\uyhnaypn.ini 2007-11-11 08:05 . 2007-11-11 08:05 289,185 ---hs---- C:\WINDOWS\system32 qtwa.bak1 2007-11-11 08:04 . 2007-11-13 06:24 290,058 ---hs---- C:\WINDOWS\system32 qtwa.ini . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2007-12-11 00:28 --------- d-----w C:\Documents and Settings\Philippe\Application Data\AVG7 2007-12-10 22:19 --------- d-----w C:\Program Files\Warcraft III 2007-12-10 17:26 3,932,160 ----a-w C:\Documents and Settings\!(Marilyne)! tuser.dat 2007-12-10 17:09 --------- d-----w C:\Documents and Settings\!(Marilyne)!\Application Data\AVG7 2007-12-10 14:27 --------- d-s---w C:\Documents and Settings\!(Marilyne)!\Application Data\Microsoft 2007-12-09 17:36 --------- d-----w C:\Documents and Settings\All Users\Application Data\avg7 2007-12-08 03:47 --------- d--h--w C:\Documents and Settings\Philippe\Application Data\LimeWire 2007-12-04 17:40 291,004 --sh--w C:\WINDOWS\system32\bcbeg.bak2 2007-12-03 15:37 290,898 --sh--w C:\WINDOWS\system32\orqss.bak2 2007-12-03 00:46 289,359 --sh--w C:\WINDOWS\system32\abeeg.bak2 2007-12-01 18:23 --------- d--h--w C:\Program Files\LimeWire 2007-11-27 12:24 --------- d-----w C:\Documents and Settings\Philippe\Application Data\Azureus 2007-11-27 00:19 --------- d--h--w C:\Program Files\InstallShield Installation Information 2007-11-22 20:32 13,067 --sh--w C:\WINDOWS\system32\llkkj.bak2 2007-11-20 20:13 --------- d-----w C:\Program Files\Java 2007-11-11 00:48 290,229 --sh--w C:\WINDOWS\system32\yycdd.bak2 2007-11-09 15:25 289,185 --sh--w C:\WINDOWS\system32\ututv.bak1 2007-11-09 13:07 289,225 --sh--w C:\WINDOWS\system32\gjkmp.bak1 2007-11-09 05:30 289,185 --sh--w C:\WINDOWS\system32\ycbeg.bak2 2007-11-09 00:36 289,185 --sh--w C:\WINDOWS\system32\aybeg.bak1 2007-11-08 23:16 289,831 --sh--w C:\WINDOWS\system32\stvwa.bak2 2007-11-08 12:00 287,768 --sh--w C:\WINDOWS\system32\yycdd.bak1 2007-11-08 02:59 287,768 --sh--w C:\WINDOWS\system32\yccdd.bak2 2007-11-07 19:08 287,275 --sh--w C:\WINDOWS\system32 qtwa.bak2 2007-11-07 14:46 284,802 --sh--w C:\WINDOWS\system32 qtwa.bak1 2007-11-07 12:23 284,802 --sh--w C:\WINDOWS\system32\abeeg.bak1 2007-11-07 01:57 284,842 --sh--w C:\WINDOWS\system32\bcbeg.bak1 2007-11-06 21:38 284,802 --sh--w C:\WINDOWS\system32\stvwa.bak1 2007-11-06 17:10 284,842 --sh--w C:\WINDOWS\system32 tutv.bak1 2007-11-05 20:35 75,328 ----a-w C:\WINDOWS\system32\imqbjahq.exe 2007-11-05 12:17 75,328 ----a-w C:\WINDOWS\system32 xmrmcxs.exe 2007-11-04 23:58 75,328 ----a-w C:\WINDOWS\system32\monciqyy.exe 2007-11-04 13:03 75,328 ----a-w C:\WINDOWS\system32\awmsyydl.exe 2007-11-03 15:27 6,473 --sh--w C:\WINDOWS\system32\srutv.bak2 2007-11-03 14:35 75,328 ----a-w C:\WINDOWS\system32\mabncaji.exe 2007-11-03 12:55 6,473 --sh--w C:\WINDOWS\system32\srutv.bak1 2007-10-15 02:04 579,235 --sh--w C:\WINDOWS\system32 qtss.bak2 2007-10-14 22:28 75,328 ----a-w C:\WINDOWS\system32 mpnrcon.exe 2007-10-14 13:04 75,328 ----a-w C:\WINDOWS\system32\imkigssu.exe 2007-10-14 01:54 75,328 ----a-w C:\WINDOWS\system32\ahgsjabu.exe 2007-10-14 01:54 573,358 --sh--w C:\WINDOWS\system32 qtss.bak1 2007-10-14 01:00 578,691 --sh--w C:\WINDOWS\system32\orqss.ini2 2007-10-13 21:57 573,358 --sh--w C:\WINDOWS\system32\orqss.bak1 2007-10-13 10:08 573,358 --sh--w C:\WINDOWS\system32\ddeeg.bak1 2007-10-13 04:05 573,398 --sh--w C:\WINDOWS\system32\srqss.bak1 2007-10-12 22:37 75,328 ----a-w C:\WINDOWS\system32\shwuqvna.exe 2007-10-12 02:33 576,155 --sh--w C:\WINDOWS\system32\llkkj.bak1 2007-10-11 11:49 75,328 ----a-w C:\WINDOWS\system32 dakxxmv.exe 2007-10-10 23:59 75,328 ----a-w C:\WINDOWS\system32\vpbxjmfa.exe 2007-10-10 00:38 75,328 ----a-w C:\WINDO

Le sioux · Answer

Bonsoir EpikWiz

Fais un effort pour me mettre les rapports en entier stp, sinon, je ne peux pas les exploiter, reposte le rapport de ComboFix dans son intégralité stp.

J'y vois déjà un paquet de ménage a faire ...

@ +

EpikWiz · Answer

2007-10-09 19:18	75,328	----a-w	C:\WINDOWS\system32gqtejml.exe
2007-10-09 12:57	617,501	--sh--w	C:\WINDOWS\system32\ybeeg.bak2
2007-10-09 02:54	8,794	--sh--w	C:\WINDOWS\system32\ybeeg.ini2
2007-10-09 00:37	75,328	----a-w	C:\WINDOWS\system32\iftwxakj.exe
2007-10-08 23:04	6,473	--sh--w	C:\WINDOWS\system32\ybeeg.bak1
2007-10-08 12:23	75,328	----a-w	C:\WINDOWS\system32\fnfcgsnf.exe
2007-10-08 12:16	75,328	----a-w	C:\WINDOWS\system32\bqsosyky.exe
2007-10-08 00:13	75,328	----a-w	C:\WINDOWS\system32\ylmnrcte.exe
2007-10-08 00:13	711,829	--sh--w	C:\WINDOWS\system32\orutv.bak1
2007-10-07 12:48	75,328	----a-w	C:\WINDOWS\system32\qluiqonn.exe
2007-10-06 20:00	75,328	----a-w	C:\WINDOWS\system32\gdvtdlqw.exe
2007-10-06 19:43	75,328	----a-w	C:\WINDOWS\system32\lqeoxcay.exe
2007-10-06 12:01	75,328	----a-w	C:\WINDOWS\system32\aojvsrbo.exe
2007-10-06 12:01	712,689	--sh--w	C:\WINDOWS\system32\mnnmp.bak2
2007-10-06 11:42	75,328	----a-w	C:\WINDOWS\system32\iviixrfp.exe
2007-10-05 12:19	75,328	----a-w	C:\WINDOWS\system32\crpylthf.exe
2007-10-05 11:24	75,328	----a-w	C:\WINDOWS\system32	umikccf.exe
2007-10-05 04:02	712,954	--sh--w	C:\WINDOWS\system32\mnnmp.bak1
2007-10-03 11:36	75,328	----a-w	C:\WINDOWS\system32\pmcpqthv.exe
2007-10-03 11:20	75,328	----a-w	C:\WINDOWS\system32\iukkkvan.exe
2007-10-03 02:07	75,328	----a-w	C:\WINDOWS\system32\xaxeypea.exe
2007-10-02 15:25	75,328	----a-w	C:\WINDOWS\system32hcrfnoi.exe
2007-10-02 11:23	75,328	----a-w	C:\WINDOWS\system32\chcokluk.exe
2007-10-02 02:45	6,473	--sh--w	C:\WINDOWS\system32\ihkmp.bak1
2007-10-01 13:44	75,328	----a-w	C:\WINDOWS\system32\leunpcfu.exe
2007-10-01 13:19	75,328	----a-w	C:\WINDOWS\system32\dbvxbmgp.exe
2007-10-01 00:26	75,328	----a-w	C:\WINDOWS\system32\opcyoyeg.exe
2007-09-30 18:03	964,459	--sh--w	C:\WINDOWS\system32\yccdd.ini2
2007-09-30 13:25	75,328	----a-w	C:\WINDOWS\system32\lkpynlmu.exe
2007-09-30 12:58	75,328	----a-w	C:\WINDOWS\system32\qtncisdx.exe
2007-09-30 00:00	75,328	----a-w	C:\WINDOWS\system32\xlngbmhh.exe
2007-09-29 17:59	6,488	--sh--w	C:\WINDOWS\system32\yccdd.bak1
2007-09-28 19:14	960,609	--sh--w	C:\WINDOWS\system32tutv.bak1
2007-09-28 16:08	156,992	----a-w	C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2007-09-28 16:07	524,288	----a-w	C:\WINDOWS\system32\DivXsm.exe
2007-09-28 16:07	3,596,288	----a-w	C:\WINDOWS\system32\qt-dx331.dll
2007-09-28 16:07	200,704	----a-w	C:\WINDOWS\system32\ssldivx.dll
2007-09-28 16:07	1,044,480	----a-w	C:\WINDOWS\system32\libdivx.dll
2007-09-28 16:05	823,296	----a-w	C:\WINDOWS\system32\divx_xx0c.dll
2007-09-28 16:05	823,296	----a-w	C:\WINDOWS\system32\divx_xx07.dll
2007-09-28 16:05	81,920	----a-w	C:\WINDOWS\system32\dpl100.dll
2007-09-28 16:05	802,816	----a-w	C:\WINDOWS\system32\divx_xx11.dll
2007-09-28 16:05	739,840	----a-w	C:\WINDOWS\system32\DivX.dll
2007-09-28 16:05	593,920	----a-w	C:\WINDOWS\system32\dpuGUI11.dll
2007-09-28 16:05	57,344	----a-w	C:\WINDOWS\system32\dpv11.dll
2007-09-28 16:05	53,248	----a-w	C:\WINDOWS\system32\dpuGUI10.dll
2007-09-28 16:05	344,064	----a-w	C:\WINDOWS\system32\dpus11.dll
2007-09-28 16:05	294,912	----a-w	C:\WINDOWS\system32\dpu11.dll
2007-09-28 16:05	294,912	----a-w	C:\WINDOWS\system32\dpu10.dll
2007-09-28 16:05	196,608	----a-w	C:\WINDOWS\system32\dtu100.dll
2007-08-27 11:11	6,507	--sh--w	C:\WINDOWS\system32\jjkkj.bak1
2007-08-09 15:45	1,060,601	--sh--w	C:\WINDOWS\system32\jjkkj.bak2
2007-08-05 19:54	1,043,884	--sh--w	C:\WINDOWS\system32\jjkkj.ini2
2007-07-25 12:58	1,044,281	--sh--w	C:\WINDOWS\system32\qqtss.bak1
2007-07-26 12:59	1,051,747	--sh--w	C:\WINDOWS\system32\qqtss.bak2
2007-07-26 16:24	1,046,441	--sh--w	C:\WINDOWS\system32\qqtss.ini2

EpikWiz · Answer

.

(((((((((((((((((((((((((((((((((((((((((((((   AWF   ))))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
----a-w           344,064 2004-10-27 01:10:00  C:\Program Files\ATI Technologies\ATI Control Panel\bak\atiptaxx.exe

----a-w            86,016 2004-04-21 14:26:28  C:\Program Files\CyberLink DVD Solution\Multimedia Launcher\bak\PowerBar.exe

----a-w            32,768 2003-12-08 21:35:14  C:\Program Files\CyberLink DVD Solution\PowerDVD\bak\PDVDServ.exe

----a-w            49,152 2005-02-17 03:11:42  C:\Program Files\HP\HP Software Update\bak\HPWuSchd2.exe
----a-w            49,152 2004-09-13 19:49:00  C:\Program Files\HP\HP Software Update\hpwuSchd2.exe

----a-w            36,975 2005-04-13 08:48:52  C:\Program Files\Java\jre1.5.0_03\bin\bak\jusched.exe

----a-w            36,864 2006-07-16 02:44:58  C:\Program Files\Logitech\Desktop Messenger\8876480\Program\bak\LogitechDesktopMessenger.exe

----a-w           282,624 2006-07-06 04:54:36  C:\Program Files\QuickTime\bak\qttask.exe

----a-w         1,415,824 2005-05-31 06:04:00  C:\Program Files\Spybot - Search & Destroy\bak\TeaTimer.exe

----a-w            15,360 2004-08-05 12:00:00  C:\WINDOWS\system32\bak\ctfmon.exe
----a-w            15,360 2004-08-05 12:00:00  C:\WINDOWS\system32\ctfmon.exe

----a-w           155,648 2001-07-09 15:50:42  C:\WINDOWS\system32\bak\NeroCheck.exe

.
(((((((((((((((((((((((((((((((((   Point de chargement Reg   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{14CBA9C6-25A9-4C09-B2E6-4C3B92AF66F3}]
			C:\WINDOWS\system32\jkklk.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{20983C05-5D8C-4EE9-A377-50B687138E19}]
			C:\WINDOWS\system32\gebya.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{329E3DEE-D958-4C0E-93CF-FD145318493E}]
			C:\WINDOWS\system32\vtstr.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PowerBar"="" []
"LDM"="C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe" []
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 07:00]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" []
"SoundMan"="SOUNDMAN.EXE" [2004-12-01 02:54 C:\WINDOWS\SOUNDMAN.EXE]
"SsAAD.exe"="C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe" []
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2007-10-25 07:02]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"AVG7_Run"="C:\PROGRA~1\Grisoft\AVG7\avgw.exe" [2007-10-25 07:02]
"msnmsgr"="C:\Program Files\MSN Messenger\msnmsgr.exe" [2007-01-19 11:54]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\awvvs]
C:\WINDOWS\system32\awvvs.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"= 
			
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\286a79bb]
			rundll32.exe C:\WINDOWS\system32\jcanetad.dll,b
			
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SearchIndexer]
			rundll32.exe C:\WINDOWS\system32\pdomiyft.dll,sitypnow

R3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys
R3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
S3 lac97inf;lac97inf;\??\C:\DOCUME~1\Martin\LOCALS~1\Temp\lac97inf.sys
S3 SetupNTGLM7X;SetupNTGLM7X;\??\D:\NTGLM7X.sys

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
\Shell\AutoRun\command - D:\autoplay.exe

EpikWiz · Answer

.
--------------------- DLLs Loaded Under Running Processes --------------------- 

PROCESS: C:\WINDOWS\Explorer.EXE [6.00.2900.3156]
-> C:\Program Files\Logitech\SetPoint\lgscroll.dll
.
**************************************************************************

catchme 0.3.1331 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-10 19:50:12
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully 
hidden files: 0 

**************************************************************************
.
Completion time: 2007-12-10 19:54:30 - machine was rebooted
.
	--- E O F ---

______________________________________________________________________

Désolé d'avoir du copier-coller tout le log en différent post, ca ne rentrais pas dans un seul post.
Merci encore et a plus

EpikWiz

Le sioux · Answer

RE

Ok, j ai bien compris par contre il manque 

fin  poste 18 

2007-10-10 00:38 75,328 ----a-w C:\WINDO ...  ????

19 c est moi

et au 20

2007-10-09 19:18 75,328 ----a-w C:\WINDOWS\system32\rgqtejml.exe 

@ +

EpikWiz · Answer

Voici les deux lignes qu'il manquait. Désolé des erreurs, c'est vraiment rushant de lire ce log et d'y retrouvé les lignes de fin

Post 18: 2007-10-10 00:38	75,328	----a-w	C:\WINDOWS\system32
gswtxos.exe

+

Post 20: 2007-10-09 19:18	75,328	----a-w	C:\WINDOWS\system32gqtejml.exe

Le sioux · Answer

Re

Il manquait celle ala 2007-10-10 00:38 75,328 ----a-w C:\WINDOWS\system32
gswtxos.exe    c est ok . Merci.

Yes, imagine pour moi qui vais devoir faire le tri et les recherches lol  je repasserai plus tard ...

@ suivre

Le sioux · Answer

Re

C est parti 

1) ComboFix avec CFScript

*  Sélectionne le texte suivant (en gras)  dans son intégralité :


Registry::

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{14CBA9C6-25A9-4C09-B2E6-4C3B92AF66F3}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{20983C05-5D8C-4EE9-A377-50B687138E19}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{329E3DEE-D958-4C0E-93CF-FD145318493E}]

Files::

C:\WINDOWS\system32\sdfixwcs.dll
C:\WINDOWS\system32\klkkj.bak1
C:\WINDOWS\system32\klkkj.ini
C:\WINDOWS\system32tstv.bak1
C:\WINDOWS\system32tstv.ini
C:\WINDOWS\system32\pqtwa.bak1
C:\WINDOWS\system32\pqtwa.ini
C:\WINDOWS\system32\vyadd.bak2
C:\WINDOWS\system32\vyadd.bak1
C:\WINDOWS\system32\vyadd.ini
C:\WINDOWS\system32\mmllm.bak2
C:\WINDOWS\system32\mmllm.ini
C:\WINDOWS\system32\mlkkj.bak2
C:\WINDOWS\system32\mlkkj.bak1
C:\WINDOWS\system32\mlkkj.ini
C:\WINDOWS\system32\wvvwa.bak2
C:\WINDOWS\system32\wvvwa.ini
C:\WINDOWS\system32\wvvwa.bak1
C:\WINDOWS\system32\ututv.bak2
C:\WINDOWS\system32\bbeeg.ini
C:\WINDOWS\system32\bbeeg.bak1
C:\WINDOWS\system32ttss.bak2
C:\WINDOWS\system32qtss.ini
C:\WINDOWS\system32qtss.ini2
C:\WINDOWS\system32stwa.ini
C:\WINDOWS\system32stwa.ini2
C:\WINDOWS\system32stwa.tmp
C:\WINDOWS\system32stwa.bak2
C:\WINDOWS\system32stwa.bak1
C:\WINDOWS\system32\qrutv.bak2
C:\WINDOWS\system32\qtvwa.bak2
C:\WINDOWS\system32\qtvwa.ini
C:\WINDOWS\system32\qtvwa.bak1
C:\WINDOWS\system32\qstwa.tmp
C:\WINDOWS\system32\qrutv.in
C:\WINDOWS\system32\qrutv.bak1
C:\WINDOWS\system32\edeeg.bak2
C:\WINDOWS\system32\edeeg.bak1
C:\WINDOWS\system32\edeeg.ini
C:\WINDOWS\system32ttss.bak1
C:\WINDOWS\system32ttss.ini
C:\WINDOWS\system32\datenacj.ini
C:\WINDOWS\system32\qllohuje.ini
C:\WINDOWS\system32\hmhohiiw.ini
C:\WINDOWS\system32\phctnyor.ini
C:\WINDOWS\system32\onnmp.bak1
C:\WINDOWS\system32\onnmp.ini
C:\WINDOWS\system32
nsgbcyj.ini
C:\WINDOWS\system32\aybeg.bak2
C:\WINDOWS\system32\lorcweoc.ini
C:\WINDOWS\system32\kiuqfhmc.ini
C:\WINDOWS\system32qtwa.bak2
C:\WINDOWS\system32\voaicfmu.ini
C:\WINDOWS\system32\uyhnaypn.ini
C:\WINDOWS\system32qtwa.bak1
C:\WINDOWS\system32qtwa.ini
C:\WINDOWS\system32\bcbeg.bak2
C:\WINDOWS\system32\orqss.bak2
C:\WINDOWS\system32\abeeg.bak2
C:\WINDOWS\system32\llkkj.bak2
C:\WINDOWS\system32\yycdd.bak2
C:\WINDOWS\system32\ututv.bak1
C:\WINDOWS\system32\gjkmp.bak1
C:\WINDOWS\system32\ycbeg.bak2
C:\WINDOWS\system32\aybeg.bak1
C:\WINDOWS\system32\stvwa.bak2
C:\WINDOWS\system32\yycdd.bak1
C:\WINDOWS\system32\yccdd.bak2
C:\WINDOWS\system32
qtwa.bak2
C:\WINDOWS\system32
qtwa.bak1
C:\WINDOWS\system32\abeeg.bak1
C:\WINDOWS\system32\bcbeg.bak1
C:\WINDOWS\system32\stvwa.bak1
C:\WINDOWS\system32	tutv.bak1
C:\WINDOWS\system32\imqbjahq.exe
C:\WINDOWS\system32
xmrmcxs.exe
C:\WINDOWS\system32\monciqyy.exe
C:\WINDOWS\system32\awmsyydl.exe
C:\WINDOWS\system32\srutv.bak2
C:\WINDOWS\system32\mabncaji.exe
C:\WINDOWS\system32\srutv.bak1
C:\WINDOWS\system32
qtss.bak2
C:\WINDOWS\system32mpnrcon.exe
C:\WINDOWS\system32\imkigssu.exe
C:\WINDOWS\system32\ahgsjabu.exe
C:\WINDOWS\system32
qtss.bak1
C:\WINDOWS\system32\orqss.ini2
C:\WINDOWS\system32\orqss.bak1
C:\WINDOWS\system32\ddeeg.bak1
C:\WINDOWS\system32\srqss.bak1
C:\WINDOWS\system32\shwuqvna.exe
C:\WINDOWS\system32\llkkj.bak1
C:\WINDOWS\system32dakxxmv.exe
C:\WINDOWS\system32\vpbxjmfa.exe 
C:\WINDOWS\system32
gswtxos.exe 
C:\WINDOWS\system32gqtejml.exe
C:\WINDOWS\system32\ybeeg.bak2
C:\WINDOWS\system32\ybeeg.ini2
C:\WINDOWS\system32\iftwxakj.exe
C:\WINDOWS\system32\ybeeg.bak1
C:\WINDOWS\system32\fnfcgsnf.exe
C:\WINDOWS\system32\bqsosyky.exe
C:\WINDOWS\system32\ylmnrcte.exe
C:\WINDOWS\system32\orutv.bak1
C:\WINDOWS\system32\qluiqonn.exe
C:\WINDOWS\system32\gdvtdlqw.exe
C:\WINDOWS\system32\lqeoxcay.exe
C:\WINDOWS\system32\aojvsrbo.exe
C:\WINDOWS\system32\mnnmp.bak2
C:\WINDOWS\system32\iviixrfp.exe
C:\WINDOWS\system32\crpylthf.exe
C:\WINDOWS\system32	umikccf.exe
C:\WINDOWS\system32\mnnmp.bak1
C:\WINDOWS\system32\pmcpqthv.exe
C:\WINDOWS\system32\iukkkvan.exe
C:\WINDOWS\system32\xaxeypea.exe
C:\WINDOWS\system32hcrfnoi.exe
C:\WINDOWS\system32\chcokluk.exe
C:\WINDOWS\system32\ihkmp.bak1
C:\WINDOWS\system32\leunpcfu.exe
C:\WINDOWS\system32\dbvxbmgp.exe
C:\WINDOWS\system32\opcyoyeg.exe
C:\WINDOWS\system32\yccdd.ini2
C:\WINDOWS\system32\lkpynlmu.exe
C:\WINDOWS\system32\qtncisdx.exe
C:\WINDOWS\system32\xlngbmhh.exe
C:\WINDOWS\system32\yccdd.bak1
C:\WINDOWS\system32tutv.bak1
C:\WINDOWS\system32\jjkkj.bak1
C:\WINDOWS\system32\jjkkj.bak2
C:\WINDOWS\system32\jjkkj.ini2
C:\WINDOWS\system32\qqtss.bak1
C:\WINDOWS\system32\qqtss.bak2
C:\WINDOWS\system32\qqtss.ini2
C:\WINDOWS\Internet Logs 

* Copie le texte sélectionné (CTRL+C).
* Ouvre le bloc-notes (programme>Accessoires >bloc-notes).
* Colle le texte copié dans ce bloc-notes (CTRL+V).
* Sauvegarde ce fichier sous le nom de CFScript.txt
Déconnecte toi du net et désactive ton antivirus  pour que Combofix puisse s'exécuter normalement
* Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe ( sur ton bureau)

* Une fenêtre bleue va apparaître: au message qui apparaît  Type 1 to continue, or 2 to abort , tape 1 puis valide.

* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal!

Ne touche à rien tant que le scan n'est pas terminé. 

* Une fois le scan achevé, un rapport va s'afficher : Poste son contenu.

* Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

2) VirusTotal

* Va sur VIRUS TOTAL  https://www.virustotal.com/gui/

* Clique sur  "parcourir" :  

C:\WINDOWS\system32\SpOrder.dll

*  Recherche le fichier à analyser, puis clique ensuite sur "send".

Il faut patienter car tu es sur une file d'attente.
Le rapport ne sera complet que lorsque tu verras la mention "FINISHED"sur la droite.

Dépose le dans ta prochaine réponse.

Tuto : http://pageperso.aol.fr/loraline60/virus_total.htm 

Note : Il est possible que tu es besoin d'avoir accès aux dossiers et fichiers cachés, pour cela  "Affiche les dossiers cachés" Aide toi de  B ) Afficher les dossiers cachés  ici   https://forum.pcastuces.com/sujet.asp?f=25&s=3902  si besoin.

3) Rapports

Poste le rapport de ComboFix e ainsi qu'un nouveau rapport HijackThis et le rapport de VirusTotal   en précisant s'il y a du mieux .

@ suivre

Notes : 
- As tu deja eu zonealarm sur ton PC que tu aurais supprimé par la suite ?
- Il va falloir mettre ta console Java a jour, je t expliquerai comment faire dans un prochain poste.

EpikWiz · Answer

Re-bonjour !

Désolé du délai. J'ai essayer de faire le scan avec Virus total mais la vitesse de ma connexion est tellement lente (surement du a tout le trash que contient mon ordinateur) que je n'ai même pas pu scanner (j'ai essayer d'envoyer SpOrder.dll durant une journée complete sans résultat. A intermitance, mon ordi ne télécharge plus les données des pages web et reprend comme si il "flashait" Lorsque j'éxécute Combofix, la vitesse de traitement de mon pc accèlere grandement (se rappronchant de la vitesse d'origine) mais elle ralenti peu de temps après. Deplus, lorsque je scan avec Combofix, la procédure se déroule bien mais lorsque Find 3M commence a produire le rapport, il plante... du moins, la fenêtre ne progresse plus et, une fois quatre heure passée, si je clique dans la fenêtre, la fenêtre "Terminer maintenant"  ne me laissant aucun choix si ce n'est que de terminer Combofix. Toutefois, un nouveau rapport s'affiche dans C:

Entouka, je post le dernier log Combofix: 

ComboFix 07-12-09.1 - Philippe 2007-12-10 19:34:40.1 - NTFSx86
Microsoft Windows XP Édition familiale  5.1.2600.2.1252.1.1036.18.506 [GMT -5:00]
Running from: C:\Documents and Settings\Philippe\Mes documents\program utile mais futile\ComboFix.exe
 * Created a new restore point
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Program Files\dobe~1
C:\Program Files\Fichiers communs\{286A7~1
C:\Program Files\icroso~1.net
C:\WINDOWS\cookies.ini
C:\WINDOWS\icroso~1
C:\WINDOWS\smante~1
C:\WINDOWS\system32\appatc~1
C:\WINDOWS\system32\crosof~1.net
C:\WINDOWS\system32\curity~1
C:\WINDOWS\system32\fnts~1
C:\WINDOWS\system32\icroso~1.net
C:\WINDOWS\system32\mantec~1
C:\WINDOWS\system32\pppatc~1
C:\WINDOWS\system32\pppatc~2
C:\WINDOWS\system32\rasqervy.dll
C:\WINDOWS\system32\sdfinacs.dll
C:\WINDOWS\system32\sembly~1
C:\WINDOWS\system32\sks~1
C:\WINDOWS\system32\smante~1
C:\WINDOWS\system32\smbols~1
C:\WINDOWS\system32\wnsinticomsv.exe
C:\WINDOWS\system32\wnsxs~1
C:\WINDOWS\system32\wuasirvy.dll
C:\WINDOWS\system32\ymbols~1
C:\WINDOWS\system32\ystem3~1
C:\WINDOWS\Temp\4868021784.exe

EpikWiz · Answer

Re-bonjour !

Désolé du délai. J'ai essayer de faire le scan avec Virus total mais la vitesse de ma connexion est tellement lente (surement du a tout le trash que contient mon ordinateur) que je n'ai même pas pu scanner (j'ai essayer d'envoyer SpOrder.dll durant une journée complete sans résultat. A intermitance, mon ordi ne télécharge plus les données des pages web et reprend comme si il "flashait" Lorsque j'éxécute Combofix, la vitesse de traitement de mon pc accèlere grandement (se rappronchant de la vitesse d'origine) mais elle ralenti peu de temps après. Deplus, lorsque je scan avec Combofix, la procédure se déroule bien mais lorsque Find 3M commence a produire le rapport, il plante... du moins, la fenêtre ne progresse plus et, une fois quatre heure passée, si je clique dans la fenêtre, la fenêtre "Terminer maintenant"  ne me laissant aucun choix si ce n'est que de terminer Combofix. Toutefois, un nouveau rapport s'affiche dans C:

Entouka, je post le dernier log Combofix: 

ComboFix 07-12-09.1 - Philippe 2007-12-10 19:34:40.1 - NTFSx86
Microsoft Windows XP Édition familiale  5.1.2600.2.1252.1.1036.18.506 [GMT -5:00]
Running from: C:\Documents and Settings\Philippe\Mes documents\program utile mais futile\ComboFix.exe
 * Created a new restore point
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Program Files\dobe~1
C:\Program Files\Fichiers communs\{286A7~1
C:\Program Files\icroso~1.net
C:\WINDOWS\cookies.ini
C:\WINDOWS\icroso~1
C:\WINDOWS\smante~1
C:\WINDOWS\system32\appatc~1
C:\WINDOWS\system32\crosof~1.net
C:\WINDOWS\system32\curity~1
C:\WINDOWS\system32\fnts~1
C:\WINDOWS\system32\icroso~1.net
C:\WINDOWS\system32\mantec~1
C:\WINDOWS\system32\pppatc~1
C:\WINDOWS\system32\pppatc~2
C:\WINDOWS\system32\rasqervy.dll
C:\WINDOWS\system32\sdfinacs.dll
C:\WINDOWS\system32\sembly~1
C:\WINDOWS\system32\sks~1
C:\WINDOWS\system32\smante~1
C:\WINDOWS\system32\smbols~1
C:\WINDOWS\system32\wnsinticomsv.exe
C:\WINDOWS\system32\wnsxs~1
C:\WINDOWS\system32\wuasirvy.dll
C:\WINDOWS\system32\ymbols~1
C:\WINDOWS\system32\ystem3~1
C:\WINDOWS\Temp\4868021784.exe

Le sioux · Answer

Bonsoir epikWizz

Ton PC est vraiment sacrément infecté ...  et j ai besoin du rapport entier stp

On a vraiment besoin que ComboFix s'éxecute normalement, si il faut on essayera en jettant celui qui est sur ton Bureau et en téléchargeant un ttout neuf ;)

@ suivre

EpikWiz · Answer

Je recommence... j'arrive vraiment pas a poster du texte moyennement long

ComboFix:

ComboFix 07-12-09.1 - Philippe 2007-12-10 19:34:40.1 - NTFSx86
Microsoft Windows XP Édition familiale  5.1.2600.2.1252.1.1036.18.506 [GMT -5:00]
Running from: C:\Documents and Settings\Philippe\Mes documents\program utile mais futile\ComboFix.exe
 * Created a new restore point
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Program Files\dobe~1
C:\Program Files\Fichiers communs\{286A7~1
C:\Program Files\icroso~1.net
C:\WINDOWS\cookies.ini
C:\WINDOWS\icroso~1
C:\WINDOWS\smante~1
C:\WINDOWS\system32\appatc~1
C:\WINDOWS\system32\crosof~1.net
C:\WINDOWS\system32\curity~1
C:\WINDOWS\system32\fnts~1
C:\WINDOWS\system32\icroso~1.net
C:\WINDOWS\system32\mantec~1
C:\WINDOWS\system32\pppatc~1
C:\WINDOWS\system32\pppatc~2
C:\WINDOWS\system32\rasqervy.dll
C:\WINDOWS\system32\sdfinacs.dll
C:\WINDOWS\system32\sembly~1
C:\WINDOWS\system32\sks~1
C:\WINDOWS\system32\smante~1
C:\WINDOWS\system32\smbols~1
C:\WINDOWS\system32\wnsinticomsv.exe
C:\WINDOWS\system32\wnsxs~1
C:\WINDOWS\system32\wuasirvy.dll
C:\WINDOWS\system32\ymbols~1
C:\WINDOWS\system32\ystem3~1
C:\WINDOWS\Temp\4868021784.exe

.
.
(((((((((((((((((((((((((((((((((((((((   Drivers/Services   )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_DOMAINSERVICE

EpikWiz · Answer

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-11-11 to 2007-12-11 )))))))))))))))))))))))))))))))))))) . 2007-12-10 09:33 . 2007-12-10 09:33 d-------- C:\Program Files\Microsoft Works 2007-12-05 21:02 . 2007-12-10 19:28 5 --a------ C:\WINDOWS\system32\sdfixwcs.dll 2007-12-05 20:07 . 2007-12-10 07:06 17,920 --a------ C:\WINDOWS\msacm32.drv 2007-12-04 22:43 . 2007-12-04 22:43 286,961 ---hs---- C:\WINDOWS\system32\klkkj.bak1 2007-12-04 22:42 . 2007-12-04 23:55 287,788 ---hs---- C:\WINDOWS\system32\klkkj.ini 2007-12-04 20:15 . 2007-12-04 20:15 287,004 ---hs---- C:\WINDOWS\system32\rtstv.bak1 2007-12-04 20:14 . 2007-12-04 20:36 291,919 ---hs---- C:\WINDOWS\system32\rtstv.ini 2007-12-04 19:12 . 2007-12-04 19:12 286,961 ---hs---- C:\WINDOWS\system32\pqtwa.bak1 2007-12-04 19:11 . 2007-12-04 19:17 287,377 ---hs---- C:\WINDOWS\system32\pqtwa.ini 2007-12-04 18:11 . 2007-12-04 18:11 287,270 ---hs---- C:\WINDOWS\system32\vyadd.bak2 2007-12-04 17:37 . 2007-12-04 17:37 286,961 ---hs---- C:\WINDOWS\system32\vyadd.bak1 2007-12-04 17:36 . 2007-12-04 18:14 287,704 ---hs---- C:\WINDOWS\system32\vyadd.ini 2007-12-04 15:35 . 2007-12-04 15:35 287,000 ---hs---- C:\WINDOWS\system32\mmllm.bak2 2007-12-04 13:29 . 2007-12-04 15:42 287,697 ---hs---- C:\WINDOWS\system32\mmllm.ini 2007-12-03 23:30 . 2007-12-03 23:30 d-------- C:\Program Files\Trend Micro 2007-12-03 23:09 . 2007-12-03 23:09 d-------- C:\Documents and Settings\All Users\Application Data\MailFrontier 2007-12-03 23:09 . 2007-12-03 23:11 4,212 ---h----- C:\WINDOWS\system32\zllictbl.dat 2007-12-03 23:08 . 2004-04-27 04:40 11,264 --a------ C:\WINDOWS\system32\SpOrder.dll 2007-12-03 23:07 . 2007-12-04 18:15 d-------- C:\WINDOWS\Internet Logs 2007-12-02 15:17 . 2007-12-04 15:45 7,671 ---hs---- C:\WINDOWS\system32\mlkkj.bak2 2007-12-02 10:45 . 2007-12-02 10:45 286,960 ---hs---- C:\WINDOWS\system32\mlkkj.bak1 2007-12-02 10:45 . 2007-12-04 18:10 6,624 ---hs---- C:\WINDOWS\system32\mlkkj.ini 2007-12-01 21:54 . 2007-12-01 21:54 288,439 ---hs---- C:\WINDOWS\system32\wvvwa.bak2 2007-12-01 21:44 . 2007-12-02 00:50 288,207 ---hs---- C:\WINDOWS\system32\wvvwa.ini 2007-12-01 21:44 . 2007-12-01 21:44 287,000 ---hs---- C:\WINDOWS\system32\wvvwa.bak1 2007-12-01 17:56 . 2007-12-01 20:08 12,634 ---hs---- C:\WINDOWS\system32\ututv.bak2 2007-11-29 08:45 . 2007-11-29 12:05 288,299 ---hs---- C:\WINDOWS\system32\bbeeg.ini 2007-11-29 08:45 . 2007-11-29 08:45 288,028 ---hs---- C:\WINDOWS\system32\bbeeg.bak1 2007-11-29 07:30 . 2007-12-05 07:34 7,887 ---hs---- C:\WINDOWS\system32\rttss.bak2 2007-11-28 23:28 . 2007-12-03 23:23 54,156 --ah----- C:\WINDOWS\QTFont.qfn 2007-11-28 23:28 . 2007-11-28 23:28 1,409 --a------ C:\WINDOWS\QTFont.for 2007-11-28 21:40 . 2007-11-28 21:40 288,902 ---hs---- C:\WINDOWS\system32\rqtss.ini 2007-11-28 21:08 . 2007-11-28 21:16 288,832 ---hs---- C:\WINDOWS\system32\rqtss.ini2 2007-11-27 17:05 . 2007-11-27 16:00 308,159 --ahs---- C:\WINDOWS\system32\rstwa.ini 2007-11-27 16:00 . 2007-11-29 22:57 308,219 ---hs---- C:\WINDOWS\system32\rstwa.ini2 2007-11-27 15:25 . 2007-11-27 16:00 308,159 ---hs---- C:\WINDOWS\system32\rstwa.tmp 2007-11-27 06:46 . 2007-11-27 06:46 d-------- C:\Program Files\PowerQuest 2007-11-26 21:39 . 2007-11-28 21:50 22,765 ---hs---- C:\WINDOWS\system32\rstwa.bak2 2007-11-26 21:37 . 2007-11-26 21:37 6,473 ---hs---- C:\WINDOWS\system32\rstwa.bak1 2007-11-20 16:06 . 2007-11-20 20:23 289,822 ---hs---- C:\WINDOWS\system32\qrutv.bak2 2007-11-20 15:04 . 2007-11-20 15:04 289,681 ---hs---- C:\WINDOWS\system32\qtvwa.bak2 2007-11-19 22:29 . 2007-11-20 15:23 290,340 ---hs---- C:\WINDOWS\system32\qtvwa.ini 2007-11-19 22:29 . 2007-11-19 22:29 288,626 ---hs---- C:\WINDOWS\system32\qtvwa.bak1 2007-11-19 12:09 . 2007-11-19 13:00 292,144 ---hs---- C:\WINDOWS\system32\qstwa.tmp 2007-11-19 10:56 . 2007-11-20 22:32 303,299 ---hs---- C:\WINDOWS\system32\qrutv.ini 2007-11-19 10:56 . 2007-11-19 10:56 288,626 ---hs---- C:\WINDOWS\system32\qrutv.bak1 2007-11-18 21:06 . 2007-11-20 07:55 289,189 ---hs---- C:\WINDOWS\system32\edeeg.bak2 2007-11-18 18:25 . 2007-11-18 18:25 6,473 ---hs---- C:\WINDOWS\system32\edeeg.bak1 2007-11-18 18:24 . 2007-11-20 08:05 289,421 ---hs---- C:\WINDOWS\system32\edeeg.ini 2007-11-16 23:49 . 2007-11-26 17:22 d-------- C:\Downloads

EpikWiz · Answer

2007-11-16 23:49 . 2007-11-16 23:54	<REP>	d--------	C:\Documents and Settings\Philippe\Application Data\uTorrent
2007-11-16 05:33 . 2007-11-16 05:33	289,176	---hs----	C:\WINDOWS\system32ttss.bak1
2007-11-16 05:33 . 2007-12-05 07:42	6,571	---hs----	C:\WINDOWS\system32ttss.ini
2007-11-13 07:38 . 2007-11-14 07:38	669,053	---hs----	C:\WINDOWS\system32\datenacj.ini
2007-11-13 06:27 . 2007-11-13 07:05	662,247	---hs----	C:\WINDOWS\system32\qllohuje.ini
2007-11-12 23:41 . 2007-11-13 06:24	620,345	---hs----	C:\WINDOWS\system32\hmhohiiw.ini
2007-11-12 22:51 . 2007-11-12 22:51	590,356	---hs----	C:\WINDOWS\system32\phctnyor.ini
2007-11-12 10:20 . 2007-11-12 10:20	6,473	---hs----	C:\WINDOWS\system32\onnmp.bak1
2007-11-12 10:19 . 2007-11-13 06:24	7,285	---hs----	C:\WINDOWS\system32\onnmp.ini
2007-11-12 07:26 . 2007-11-12 12:01	582,986	---hs----	C:\WINDOWS\system32
nsgbcyj.ini
2007-11-12 07:25 . 2007-11-14 07:35	487,405	---hs----	C:\WINDOWS\system32\aybeg.bak2
2007-11-11 16:32 . 2007-11-12 07:19	584,476	---hs----	C:\WINDOWS\system32\lorcweoc.ini
2007-11-11 12:32 . 2007-11-11 15:37	584,476	---hs----	C:\WINDOWS\system32\kiuqfhmc.ini
2007-11-11 10:11 . 2007-11-11 12:32	289,559	---hs----	C:\WINDOWS\system32qtwa.bak2
2007-11-11 09:38 . 2007-11-11 09:38	584,536	---hs----	C:\WINDOWS\system32\voaicfmu.ini
2007-11-11 08:11 . 2007-11-11 09:37	584,476	---hs----	C:\WINDOWS\system32\uyhnaypn.ini
2007-11-11 08:05 . 2007-11-11 08:05	289,185	---hs----	C:\WINDOWS\system32qtwa.bak1
2007-11-11 08:04 . 2007-11-13 06:24	290,058	---hs----	C:\WINDOWS\system32qtwa.ini

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-11 00:28	---------	d-----w	C:\Documents and Settings\Philippe\Application Data\AVG7
2007-12-10 22:19	---------	d-----w	C:\Program Files\Warcraft III
2007-12-10 17:26	3,932,160	----a-w	C:\Documents and Settings\!(Marilyne)!
tuser.dat
2007-12-10 17:09	---------	d-----w	C:\Documents and Settings\!(Marilyne)!\Application Data\AVG7
2007-12-10 14:27	---------	d-s---w	C:\Documents and Settings\!(Marilyne)!\Application Data\Microsoft
2007-12-09 17:36	---------	d-----w	C:\Documents and Settings\All Users\Application Data\avg7
2007-12-08 03:47	---------	d--h--w	C:\Documents and Settings\Philippe\Application Data\LimeWire
2007-12-04 17:40	291,004	--sh--w	C:\WINDOWS\system32\bcbeg.bak2
2007-12-03 15:37	290,898	--sh--w	C:\WINDOWS\system32\orqss.bak2
2007-12-03 00:46	289,359	--sh--w	C:\WINDOWS\system32\abeeg.bak2
2007-12-01 18:23	---------	d--h--w	C:\Program Files\LimeWire
2007-11-27 12:24	---------	d-----w	C:\Documents and Settings\Philippe\Application Data\Azureus
2007-11-27 00:19	---------	d--h--w	C:\Program Files\InstallShield Installation Information
2007-11-22 20:32	13,067	--sh--w	C:\WINDOWS\system32\llkkj.bak2
2007-11-20 20:13	---------	d-----w	C:\Program Files\Java
2007-11-11 00:48	290,229	--sh--w	C:\WINDOWS\system32\yycdd.bak2
2007-11-09 15:25	289,185	--sh--w	C:\WINDOWS\system32\ututv.bak1
2007-11-09 13:07	289,225	--sh--w	C:\WINDOWS\system32\gjkmp.bak1
2007-11-09 05:30	289,185	--sh--w	C:\WINDOWS\system32\ycbeg.bak2
2007-11-09 00:36	289,185	--sh--w	C:\WINDOWS\system32\aybeg.bak1
2007-11-08 23:16	289,831	--sh--w	C:\WINDOWS\system32\stvwa.bak2
2007-11-08 12:00	287,768	--sh--w	C:\WINDOWS\system32\yycdd.bak1
2007-11-08 02:59	287,768	--sh--w	C:\WINDOWS\system32\yccdd.bak2
2007-11-07 19:08	287,275	--sh--w	C:\WINDOWS\system32
qtwa.bak2
2007-11-07 14:46	284,802	--sh--w	C:\WINDOWS\system32
qtwa.bak1
2007-11-07 12:23	284,802	--sh--w	C:\WINDOWS\system32\abeeg.bak1
2007-11-07 01:57	284,842	--sh--w	C:\WINDOWS\system32\bcbeg.bak1
2007-11-06 21:38	284,802	--sh--w	C:\WINDOWS\system32\stvwa.bak1
2007-11-06 17:10	284,842	--sh--w	C:\WINDOWS\system32	tutv.bak1
2007-11-05 20:35	75,328	----a-w	C:\WINDOWS\system32\imqbjahq.exe
2007-11-05 12:17	75,328	----a-w	C:\WINDOWS\system32
xmrmcxs.exe
2007-11-04 23:58	75,328	----a-w	C:\WINDOWS\system32\monciqyy.exe
2007-11-04 13:03	75,328	----a-w	C:\WINDOWS\system32\awmsyydl.exe
2007-11-03 15:27	6,473	--sh--w	C:\WINDOWS\system32\srutv.bak2
2007-11-03 14:35	75,328	----a-w	C:\WINDOWS\system32\mabncaji.exe
2007-11-03 12:55	6,473	--sh--w	C:\WINDOWS\system32\srutv.bak1
2007-10-15 02:04	579,235	--sh--w	C:\WINDOWS\system32
qtss.bak2
2007-10-14 22:28	75,328	----a-w	C:\WINDOWS\system32mpnrcon.exe
2007-10-14 13:04	75,328	----a-w	C:\WINDOWS\system32\imkigssu.exe

EpikWiz · Answer

2007-10-14 01:54	75,328	----a-w	C:\WINDOWS\system32\ahgsjabu.exe
2007-10-14 01:54	573,358	--sh--w	C:\WINDOWS\system32
qtss.bak1
2007-10-14 01:00	578,691	--sh--w	C:\WINDOWS\system32\orqss.ini2
2007-10-13 21:57	573,358	--sh--w	C:\WINDOWS\system32\orqss.bak1
2007-10-13 10:08	573,358	--sh--w	C:\WINDOWS\system32\ddeeg.bak1
2007-10-13 04:05	573,398	--sh--w	C:\WINDOWS\system32\srqss.bak1
2007-10-12 22:37	75,328	----a-w	C:\WINDOWS\system32\shwuqvna.exe
2007-10-12 02:33	576,155	--sh--w	C:\WINDOWS\system32\llkkj.bak1
2007-10-11 11:49	75,328	----a-w	C:\WINDOWS\system32dakxxmv.exe
2007-10-10 23:59	75,328	----a-w	C:\WINDOWS\system32\vpbxjmfa.exe
2007-10-10 00:38	75,328	----a-w	C:\WINDOWS\system32
gswtxos.exe
2007-10-09 19:18	75,328	----a-w	C:\WINDOWS\system32gqtejml.exe
2007-10-09 12:57	617,501	--sh--w	C:\WINDOWS\system32\ybeeg.bak2
2007-10-09 02:54	8,794	--sh--w	C:\WINDOWS\system32\ybeeg.ini2
2007-10-09 00:37	75,328	----a-w	C:\WINDOWS\system32\iftwxakj.exe
2007-10-08 23:04	6,473	--sh--w	C:\WINDOWS\system32\ybeeg.bak1
2007-10-08 12:23	75,328	----a-w	C:\WINDOWS\system32\fnfcgsnf.exe
2007-10-08 12:16	75,328	----a-w	C:\WINDOWS\system32\bqsosyky.exe
2007-10-08 00:13	75,328	----a-w	C:\WINDOWS\system32\ylmnrcte.exe
2007-10-08 00:13	711,829	--sh--w	C:\WINDOWS\system32\orutv.bak1
2007-10-07 12:48	75,328	----a-w	C:\WINDOWS\system32\qluiqonn.exe
2007-10-06 20:00	75,328	----a-w	C:\WINDOWS\system32\gdvtdlqw.exe
2007-10-06 19:43	75,328	----a-w	C:\WINDOWS\system32\lqeoxcay.exe
2007-10-06 12:01	75,328	----a-w	C:\WINDOWS\system32\aojvsrbo.exe
2007-10-06 12:01	712,689	--sh--w	C:\WINDOWS\system32\mnnmp.bak2
2007-10-06 11:42	75,328	----a-w	C:\WINDOWS\system32\iviixrfp.exe
2007-10-05 12:19	75,328	----a-w	C:\WINDOWS\system32\crpylthf.exe
2007-10-05 11:24	75,328	----a-w	C:\WINDOWS\system32	umikccf.exe
2007-10-05 04:02	712,954	--sh--w	C:\WINDOWS\system32\mnnmp.bak1
2007-10-03 11:36	75,328	----a-w	C:\WINDOWS\system32\pmcpqthv.exe
2007-10-03 11:20	75,328	----a-w	C:\WINDOWS\system32\iukkkvan.exe
2007-10-03 02:07	75,328	----a-w	C:\WINDOWS\system32\xaxeypea.exe
2007-10-02 15:25	75,328	----a-w	C:\WINDOWS\system32hcrfnoi.exe
2007-10-02 11:23	75,328	----a-w	C:\WINDOWS\system32\chcokluk.exe
2007-10-02 02:45	6,473	--sh--w	C:\WINDOWS\system32\ihkmp.bak1
2007-10-01 13:44	75,328	----a-w	C:\WINDOWS\system32\leunpcfu.exe
2007-10-01 13:19	75,328	----a-w	C:\WINDOWS\system32\dbvxbmgp.exe
2007-10-01 00:26	75,328	----a-w	C:\WINDOWS\system32\opcyoyeg.exe
2007-09-30 18:03	964,459	--sh--w	C:\WINDOWS\system32\yccdd.ini2
2007-09-30 13:25	75,328	----a-w	C:\WINDOWS\system32\lkpynlmu.exe
2007-09-30 12:58	75,328	----a-w	C:\WINDOWS\system32\qtncisdx.exe
2007-09-30 00:00	75,328	----a-w	C:\WINDOWS\system32\xlngbmhh.exe
2007-09-29 17:59	6,488	--sh--w	C:\WINDOWS\system32\yccdd.bak1
2007-09-28 19:14	960,609	--sh--w	C:\WINDOWS\system32tutv.bak1
2007-09-28 16:08	156,992	----a-w	C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2007-09-28 16:07	524,288	----a-w	C:\WINDOWS\system32\DivXsm.exe
2007-09-28 16:07	3,596,288	----a-w	C:\WINDOWS\system32\qt-dx331.dll
2007-09-28 16:07	200,704	----a-w	C:\WINDOWS\system32\ssldivx.dll
2007-09-28 16:07	1,044,480	----a-w	C:\WINDOWS\system32\libdivx.dll
2007-09-28 16:05	823,296	----a-w	C:\WINDOWS\system32\divx_xx0c.dll
2007-09-28 16:05	823,296	----a-w	C:\WINDOWS\system32\divx_xx07.dll
2007-09-28 16:05	81,920	----a-w	C:\WINDOWS\system32\dpl100.dll
2007-09-28 16:05	802,816	----a-w	C:\WINDOWS\system32\divx_xx11.dll
2007-09-28 16:05	739,840	----a-w	C:\WINDOWS\system32\DivX.dll
2007-09-28 16:05	593,920	----a-w	C:\WINDOWS\system32\dpuGUI11.dll
2007-09-28 16:05	57,344	----a-w	C:\WINDOWS\system32\dpv11.dll
2007-09-28 16:05	53,248	----a-w	C:\WINDOWS\system32\dpuGUI10.dll
2007-09-28 16:05	344,064	----a-w	C:\WINDOWS\system32\dpus11.dll
2007-09-28 16:05	294,912	----a-w	C:\WINDOWS\system32\dpu11.dll
2007-09-28 16:05	294,912	----a-w	C:\WINDOWS\system32\dpu10.dll
2007-09-28 16:05	196,608	----a-w	C:\WINDOWS\system32\dtu100.dll
2007-08-27 11:11	6,507	--sh--w	C:\WINDOWS\system32\jjkkj.bak1
2007-08-09 15:45	1,060,601	--sh--w	C:\WINDOWS\system32\jjkkj.bak2
2007-08-05 19:54	1,043,884	--sh--w	C:\WINDOWS\system32\jjkkj.ini2
2007-07-25 12:58	1,044,281	--sh--w	C:\WINDOWS\system32\qqtss.bak1
2007-07-26 12:59	1,051,747	--sh--w	C:\WINDOWS\system32\qqtss.bak2
2007-07-26 16:24	1,046,441	--sh--w	C:\WINDOWS\system32\qqtss.ini2

EpikWiz · Answer

(((((((((((((((((((((((((((((((((((((((((((((   AWF   ))))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
----a-w           344,064 2004-10-27 01:10:00  C:\Program Files\ATI Technologies\ATI Control Panel\bak\atiptaxx.exe

----a-w            86,016 2004-04-21 14:26:28  C:\Program Files\CyberLink DVD Solution\Multimedia Launcher\bak\PowerBar.exe

----a-w            32,768 2003-12-08 21:35:14  C:\Program Files\CyberLink DVD Solution\PowerDVD\bak\PDVDServ.exe

----a-w            49,152 2005-02-17 03:11:42  C:\Program Files\HP\HP Software Update\bak\HPWuSchd2.exe
----a-w            49,152 2004-09-13 19:49:00  C:\Program Files\HP\HP Software Update\hpwuSchd2.exe

----a-w            36,975 2005-04-13 08:48:52  C:\Program Files\Java\jre1.5.0_03\bin\bak\jusched.exe

----a-w            36,864 2006-07-16 02:44:58  C:\Program Files\Logitech\Desktop Messenger\8876480\Program\bak\LogitechDesktopMessenger.exe

----a-w           282,624 2006-07-06 04:54:36  C:\Program Files\QuickTime\bak\qttask.exe

----a-w         1,415,824 2005-05-31 06:04:00  C:\Program Files\Spybot - Search & Destroy\bak\TeaTimer.exe

----a-w            15,360 2004-08-05 12:00:00  C:\WINDOWS\system32\bak\ctfmon.exe
----a-w            15,360 2004-08-05 12:00:00  C:\WINDOWS\system32\ctfmon.exe

----a-w           155,648 2001-07-09 15:50:42  C:\WINDOWS\system32\bak\NeroCheck.exe

.
(((((((((((((((((((((((((((((((((   Point de chargement Reg   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{14CBA9C6-25A9-4C09-B2E6-4C3B92AF66F3}]
			C:\WINDOWS\system32\jkklk.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{20983C05-5D8C-4EE9-A377-50B687138E19}]
			C:\WINDOWS\system32\gebya.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{329E3DEE-D958-4C0E-93CF-FD145318493E}]
			C:\WINDOWS\system32\vtstr.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PowerBar"="" []
"LDM"="C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe" []
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 07:00]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" []
"SoundMan"="SOUNDMAN.EXE" [2004-12-01 02:54 C:\WINDOWS\SOUNDMAN.EXE]
"SsAAD.exe"="C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe" []
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2007-10-25 07:02]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"AVG7_Run"="C:\PROGRA~1\Grisoft\AVG7\avgw.exe" [2007-10-25 07:02]
"msnmsgr"="C:\Program Files\MSN Messenger\msnmsgr.exe" [2007-01-19 11:54]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\awvvs]
C:\WINDOWS\system32\awvvs.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"= 
			
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\286a79bb]
			rundll32.exe C:\WINDOWS\system32\jcanetad.dll,b
			
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SearchIndexer]
			rundll32.exe C:\WINDOWS\system32\pdomiyft.dll,sitypnow

R3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys
R3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
S3 lac97inf;lac97inf;\??\C:\DOCUME~1\Martin\LOCALS~1\Temp\lac97inf.sys
S3 SetupNTGLM7X;SetupNTGLM7X;\??\D:\NTGLM7X.sys

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
\Shell\AutoRun\command - D:\autoplay.exe

.
--------------------- DLLs Loaded Under Running Processes --------------------- 

PROCESS: C:\WINDOWS\Explorer.EXE [6.00.2900.3156]
-> C:\Program Files\Logitech\SetPoint\lgscroll.dll
.
**************************************************************************

catchme 0.3.1331 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-10 19:50:12
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully 
hidden files: 0 

**************************************************************************
.
Completion time: 2007-12-10 19:54:30 - machine was rebooted
.
	--- E O F ---

EpikWiz · Answer

BON ! Voila pour Combofix
Voila Hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:17, on 2007-12-14
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\UStorSrv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Logitech\SetPoint\KEM.exe
C:\Program Files\Logitech\SetPoint\KHALMNPR.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;*.local
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-20\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\KEM.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - https://onedrive.live.com/
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/EN-CA/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A54032D-31F7-400D-B184-83B33BDE65FA} (MSN File Upload Control) - http://sc.groups.msn.com/controls/FileUC/MsnUpld.cab
O16 - DPF: {AA07EBD2-EBDD-4BD6-9F8F-114BD513492C} (NeffyLauncherCtl Class) - http://disteng.nefficient.com/disteng/neffy/NeffyLauncher.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O20 - AppInit_DLLs:  
O20 - Winlogon Notify: awvvs - C:\WINDOWS\system32\awvvs.dll (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service

EpikWiz · Answer

Oublie la dernière ligne non complète

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: UStorage Server Service - OTi - C:\WINDOWS\system32\UStorSrv.exe

Le sioux · Answer

Re

On a vraiment besoin que ComboFix s'exécute normalement, si il faut on essayera en jetant celui qui est sur ton Bureau et en téléchargeant un tout neuf 

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Puis refait la manip 1) ComboFix avec CFScript   poste 26 , le script n a pas pu faire l'intégralité de son travail

@ suivre

EpikWiz · Answer

Ce coup-ci ca a d'l'air d'avoir bien été. Un seul hic: Avant l'éxécution des étapes et de la modification de l'horloge, Combofix m'a affiché: SED: can't read temp02. No such file or directory Voila pour le Log: ComboFix 07-12-15.1 - Philippe 2007-12-16 9:51:00.6 - NTFSx86 Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.573 [GMT -5:00] Running from: C:\Documents and Settings\Philippe\Bureau\ComboFix.exe Command switches used :: C:\Documents and Settings\Philippe\Bureau\CFScript.txt * Created a new restore point . ((((((((((((((((((((((((((((( Fichiers créés 2007-11-16 to 2007-12-16 )))))))))))))))))))))))))))))))))))) . 2007-12-12 07:49 . 2007-12-12 07:52 d--h----- C:\WINDOWS\$hf_mig$ 2007-12-10 09:33 . 2007-12-10 09:33 d-------- C:\Program Files\Microsoft Works 2007-12-05 21:02 . 2007-12-10 19:28 5 --a------ C:\WINDOWS\system32\sdfixwcs.dll 2007-12-05 20:07 . 2007-12-10 07:06 17,920 --a------ C:\WINDOWS\msacm32.drv 2007-12-04 22:43 . 2007-12-04 22:43 286,961 ---hs---- C:\WINDOWS\system32\klkkj.bak1 2007-12-04 22:42 . 2007-12-04 23:55 287,788 ---hs---- C:\WINDOWS\system32\klkkj.ini 2007-12-04 20:15 . 2007-12-04 20:15 287,004 ---hs---- C:\WINDOWS\system32\rtstv.bak1 2007-12-04 20:14 . 2007-12-04 20:36 291,919 ---hs---- C:\WINDOWS\system32\rtstv.ini 2007-12-04 19:12 . 2007-12-04 19:12 286,961 ---hs---- C:\WINDOWS\system32\pqtwa.bak1 2007-12-04 19:11 . 2007-12-04 19:17 287,377 ---hs---- C:\WINDOWS\system32\pqtwa.ini 2007-12-04 18:11 . 2007-12-04 18:11 287,270 ---hs---- C:\WINDOWS\system32\vyadd.bak2 2007-12-04 17:37 . 2007-12-04 17:37 286,961 ---hs---- C:\WINDOWS\system32\vyadd.bak1 2007-12-04 17:36 . 2007-12-04 18:14 287,704 ---hs---- C:\WINDOWS\system32\vyadd.ini 2007-12-04 15:35 . 2007-12-04 15:35 287,000 ---hs---- C:\WINDOWS\system32\mmllm.bak2 2007-12-04 13:29 . 2007-12-04 15:42 287,697 ---hs---- C:\WINDOWS\system32\mmllm.ini 2007-12-03 23:30 . 2007-12-03 23:30 d-------- C:\Program Files\Trend Micro 2007-12-03 23:09 . 2007-12-03 23:09 d-------- C:\Documents and Settings\All Users\Application Data\MailFrontier 2007-12-03 23:09 . 2007-12-03 23:11 4,212 ---h----- C:\WINDOWS\system32\zllictbl.dat 2007-12-03 23:08 . 2004-04-27 04:40 11,264 --a------ C:\WINDOWS\system32\SpOrder.dll 2007-12-03 23:07 . 2007-12-04 18:15 d-------- C:\WINDOWS\Internet Logs 2007-12-02 15:17 . 2007-12-04 15:45 7,671 ---hs---- C:\WINDOWS\system32\mlkkj.bak2 2007-12-02 10:45 . 2007-12-02 10:45 286,960 ---hs---- C:\WINDOWS\system32\mlkkj.bak1 2007-12-02 10:45 . 2007-12-04 18:10 6,624 ---hs---- C:\WINDOWS\system32\mlkkj.ini 2007-12-01 21:54 . 2007-12-01 21:54 288,439 ---hs---- C:\WINDOWS\system32\wvvwa.bak2 2007-12-01 21:44 . 2007-12-02 00:50 288,207 ---hs---- C:\WINDOWS\system32\wvvwa.ini 2007-12-01 21:44 . 2007-12-01 21:44 287,000 ---hs---- C:\WINDOWS\system32\wvvwa.bak1 2007-12-01 17:56 . 2007-12-01 20:08 12,634 ---hs---- C:\WINDOWS\system32\ututv.bak2 2007-11-29 08:45 . 2007-11-29 12:05 288,299 ---hs---- C:\WINDOWS\system32\bbeeg.ini 2007-11-29 08:45 . 2007-11-29 08:45 288,028 ---hs---- C:\WINDOWS\system32\bbeeg.bak1 2007-11-29 07:30 . 2007-12-05 07:34 7,887 ---hs---- C:\WINDOWS\system32\rttss.bak2 2007-11-28 23:28 . 2007-12-03 23:23 54,156 --ah----- C:\WINDOWS\QTFont.qfn 2007-11-28 23:28 . 2007-11-28 23:28 1,409 --a------ C:\WINDOWS\QTFont.for 2007-11-28 21:40 . 2007-11-28 21:40 288,902 ---hs---- C:\WINDOWS\system32\rqtss.ini 2007-11-28 21:08 . 2007-11-28 21:16 288,832 ---hs---- C:\WINDOWS\system32\rqtss.ini2 2007-11-27 17:05 . 2007-11-27 16:00 308,159 --ahs---- C:\WINDOWS\system32\rstwa.ini 2007-11-27 16:00 . 2007-11-29 22:57 308,219 ---hs---- C:\WINDOWS\system32\rstwa.ini2 2007-11-27 15:25 . 2007-11-27 16:00 308,159 ---hs---- C:\WINDOWS\system32\rstwa.tmp 2007-11-27 06:46 . 2007-11-27 06:46 d-------- C:\Program Files\PowerQuest 2007-11-26 21:39 . 2007-11-28 21:50 22,765 ---hs---- C:\WINDOWS\system32\rstwa.bak2 2007-11-26 21:37 . 2007-11-26 21:37 6,473 ---hs---- C:\WINDOWS\system32\rstwa.bak1 2007-11-20 16:06 . 2007-11-20 20:23 289,822 ---hs---- C:\WINDOWS\system32\qrutv.bak2 2007-11-20 15:04 . 2007-11-20 15:04 289,681 ---hs---- C:\WINDOWS\system32\qtvwa.bak2 2007-11-19 22:29 . 2007-11-20 15:23 290,340 ---hs---- C:\WINDOWS\system32\qtvwa.ini 2007-11-19 22:29 . 2007-11-19 22:29 288,626 ---hs---- C:\WINDOWS\system32\qtvwa.bak1 2007-11-19 12:09 . 2007-11-19 13:00 292,144 ---hs---- C:\WINDOWS\system32\qstwa.tmp 2007-11-19 10:56 . 2007-11-20 22:32 303,299 ---hs---- C:\WINDOWS\system32\qrutv.ini 2007-11-19 10:56 . 2007-11-19 10:56 288,626 ---hs---- C:\WINDOWS\system32\qrutv.bak1 2007-11-18 21:06 . 2007-11-20 07:55 289,189 ---hs---- C:\WINDOWS\system32\edeeg.bak2 2007-11-18 18:25 . 2007-11-18 18:25 6,473 ---hs---- C:\WINDOWS\system32\edeeg.bak1 2007-11-18 18:24 . 2007-11-20 08:05 289,421 ---hs---- C:\WINDOWS\system32\edeeg.ini 2007-11-16 23:49 . 2007-11-26 17:22 d-------- C:\Downloads 2007-11-16 23:49 . 2007-11-16 23:54 d-------- C:\Documents and Settings\Philippe\Application Data\uTorrent 2007-11-16 05:33 . 2007-11-16 05:33 289,176 ---hs---- C:\WINDOWS\system32\rttss.bak1 2007-11-16 05:33 . 2007-12-05 07:42 6,571 ---hs---- C:\WINDOWS\system32\rttss.ini

EpikWiz · Answer

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-16 14:45	---------	d-----w	C:\Documents and Settings\Philippe\Application Data\AVG7
2007-12-16 13:43	---------	d-----w	C:\Program Files\Warcraft III
2007-12-13 13:33	3,932,160	----a-w	C:\Documents and Settings\!(Marilyne)!
tuser.dat
2007-12-13 13:08	---------	d-----w	C:\Documents and Settings\!(Marilyne)!\Application Data\AVG7
2007-12-11 03:59	---------	d-----w	C:\Documents and Settings\All Users\Application Data\avg7
2007-12-10 14:27	---------	d-s---w	C:\Documents and Settings\!(Marilyne)!\Application Data\Microsoft
2007-12-08 03:47	---------	d--h--w	C:\Documents and Settings\Philippe\Application Data\LimeWire
2007-12-04 17:40	291,004	--sh--w	C:\WINDOWS\system32\bcbeg.bak2
2007-12-03 15:37	290,898	--sh--w	C:\WINDOWS\system32\orqss.bak2
2007-12-03 00:46	289,359	--sh--w	C:\WINDOWS\system32\abeeg.bak2
2007-12-01 18:23	---------	d--h--w	C:\Program Files\LimeWire
2007-11-27 12:24	---------	d-----w	C:\Documents and Settings\Philippe\Application Data\Azureus
2007-11-27 00:19	---------	d--h--w	C:\Program Files\InstallShield Installation Information
2007-11-22 20:32	13,067	--sh--w	C:\WINDOWS\system32\llkkj.bak2
2007-11-20 20:13	---------	d-----w	C:\Program Files\Java
2007-11-14 12:35	487,405	--sh--w	C:\WINDOWS\system32\aybeg.bak2
2007-11-13 10:25	20,480	----a-w	C:\WINDOWS\system32\drivers\secdrv.sys
2007-11-12 15:20	6,473	--sh--w	C:\WINDOWS\system32\onnmp.bak1
2007-11-11 17:32	289,559	--sh--w	C:\WINDOWS\system32qtwa.bak2
2007-11-11 13:05	289,185	--sh--w	C:\WINDOWS\system32qtwa.bak1
2007-11-11 00:48	290,229	--sh--w	C:\WINDOWS\system32\yycdd.bak2
2007-11-09 15:25	289,185	--sh--w	C:\WINDOWS\system32\ututv.bak1
2007-11-09 13:07	289,225	--sh--w	C:\WINDOWS\system32\gjkmp.bak1
2007-11-09 05:30	289,185	--sh--w	C:\WINDOWS\system32\ycbeg.bak2
2007-11-09 00:36	289,185	--sh--w	C:\WINDOWS\system32\aybeg.bak1
2007-11-08 23:16	289,831	--sh--w	C:\WINDOWS\system32\stvwa.bak2
2007-11-08 12:00	287,768	--sh--w	C:\WINDOWS\system32\yycdd.bak1
2007-11-08 02:59	287,768	--sh--w	C:\WINDOWS\system32\yccdd.bak2
2007-11-07 19:08	287,275	--sh--w	C:\WINDOWS\system32
qtwa.bak2
2007-11-07 14:46	284,802	--sh--w	C:\WINDOWS\system32
qtwa.bak1
2007-11-07 12:23	284,802	--sh--w	C:\WINDOWS\system32\abeeg.bak1
2007-11-07 01:57	284,842	--sh--w	C:\WINDOWS\system32\bcbeg.bak1
2007-11-06 21:38	284,802	--sh--w	C:\WINDOWS\system32\stvwa.bak1
2007-11-06 17:10	284,842	--sh--w	C:\WINDOWS\system32	tutv.bak1
2007-11-05 20:35	75,328	----a-w	C:\WINDOWS\system32\imqbjahq.exe
2007-11-05 12:17	75,328	----a-w	C:\WINDOWS\system32
xmrmcxs.exe
2007-11-04 23:58	75,328	----a-w	C:\WINDOWS\system32\monciqyy.exe
2007-11-04 13:03	75,328	----a-w	C:\WINDOWS\system32\awmsyydl.exe
2007-11-03 15:27	6,473	--sh--w	C:\WINDOWS\system32\srutv.bak2
2007-11-03 14:35	75,328	----a-w	C:\WINDOWS\system32\mabncaji.exe
2007-11-03 12:55	6,473	--sh--w	C:\WINDOWS\system32\srutv.bak1
2007-10-29 22:43	1,293,824	----a-w	C:\WINDOWS\system32\quartz.dll
2007-10-25 14:28	222,720	----a-w	C:\WINDOWS\system32\wmasf.dll
2007-10-15 02:04	579,235	--sh--w	C:\WINDOWS\system32
qtss.bak2
2007-10-14 22:28	75,328	----a-w	C:\WINDOWS\system32mpnrcon.exe
2007-10-14 13:04	75,328	----a-w	C:\WINDOWS\system32\imkigssu.exe
2007-10-14 01:54	75,328	----a-w	C:\WINDOWS\system32\ahgsjabu.exe
2007-10-14 01:54	573,358	--sh--w	C:\WINDOWS\system32
qtss.bak1
2007-10-14 01:00	578,691	--sh--w	C:\WINDOWS\system32\orqss.ini2
2007-10-13 21:57	573,358	--sh--w	C:\WINDOWS\system32\orqss.bak1
2007-10-13 10:08	573,358	--sh--w	C:\WINDOWS\system32\ddeeg.bak1
2007-10-13 04:05	573,398	--sh--w	C:\WINDOWS\system32\srqss.bak1
2007-10-12 22:37	75,328	----a-w	C:\WINDOWS\system32\shwuqvna.exe
2007-10-12 02:33	576,155	--sh--w	C:\WINDOWS\system32\llkkj.bak1
2007-10-11 11:49	75,328	----a-w	C:\WINDOWS\system32dakxxmv.exe
2007-10-10 23:59	75,328	----a-w	C:\WINDOWS\system32\vpbxjmfa.exe
2007-10-10 00:38	75,328	----a-w	C:\WINDOWS\system32
gswtxos.exe
2007-10-09 19:18	75,328	----a-w	C:\WINDOWS\system32gqtejml.exe
2007-10-09 12:57	617,501	--sh--w	C:\WINDOWS\system32\ybeeg.bak2
2007-10-09 02:54	8,794	--sh--w	C:\WINDOWS\system32\ybeeg.ini2
2007-10-09 00:37	75,328	----a-w	C:\WINDOWS\system32\iftwxakj.exe
2007-10-08 23:04	6,473	--sh--w	C:\WINDOWS\system32\ybeeg.bak1
2007-10-08 12:23	75,328	----a-w	C:\WINDOWS\system32\fnfcgsnf.exe
2007-10-08 12:16	75,328	----a-w	C:\WINDOWS\system32\bqsosyky.exe
2007-10-08 00:13	75,328	----a-w	C:\WINDOWS\system32\ylmnrcte.exe
2007-10-08 00:13	711,829	--sh--w	C:\WINDOWS\system32\orutv.bak1
2007-10-07 12:48	75,328	----a-w	C:\WINDOWS\system32\qluiqonn.exe
2007-10-06 20:00	75,328	----a-w	C:\WINDOWS\system32\gdvtdlqw.exe
2007-10-06 19:43	75,328	----a-w	C:\WINDOWS\system32\lqeoxcay.exe
2007-10-06 12:01	75,328	----a-w	C:\WINDOWS\system32\aojvsrbo.exe
2007-10-06 12:01	712,689	--sh--w	C:\WINDOWS\system32\mnnmp.bak2
2007-10-06 11:42	75,328	----a-w	C:\WINDOWS\system32\iviixrfp.exe
2007-10-05 12:19	75,328	----a-w	C:\WINDOWS\system32\crpylthf.exe
2007-10-05 11:24	75,328	----a-w	C:\WINDOWS\system32	umikccf.exe
2007-10-05 04:02	712,954	--sh--w	C:\WINDOWS\system32\mnnmp.bak1
2007-10-03 11:36	75,328	----a-w	C:\WINDOWS\system32\pmcpqthv.exe
2007-10-03 11:20	75,328	----a-w	C:\WINDOWS\system32\iukkkvan.exe
2007-10-03 02:07	75,328	----a-w	C:\WINDOWS\system32\xaxeypea.exe
2007-10-02 15:25	75,328	----a-w	C:\WINDOWS\system32hcrfnoi.exe
2007-10-02 11:23	75,328	----a-w	C:\WINDOWS\system32\chcokluk.exe
2007-10-02 02:45	6,473	--sh--w	C:\WINDOWS\system32\ihkmp.bak1
2007-10-01 13:44	75,328	----a-w	C:\WINDOWS\system32\leunpcfu.exe
2007-10-01 13:19	75,328	----a-w	C:\WINDOWS\system32\dbvxbmgp.exe
2007-10-01 00:26	75,328	----a-w	C:\WINDOWS\system32\opcyoyeg.exe
2007-09-30 18:03	964,459	--sh--w	C:\WINDOWS\system32\yccdd.ini2
2007-09-30 13:25	75,328	----a-w	C:\WINDOWS\system32\lkpynlmu.exe
2007-09-30 12:58	75,328	----a-w	C:\WINDOWS\system32\qtncisdx.exe
2007-09-30 00:00	75,328	----a-w	C:\WINDOWS\system32\xlngbmhh.exe
2007-09-29 17:59	6,488	--sh--w	C:\WINDOWS\system32\yccdd.bak1
2007-09-28 19:14	960,609	--sh--w	C:\WINDOWS\system32tutv.bak1
2007-09-28 16:08	156,992	----a-w	C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2007-09-28 16:07	524,288	----a-w	C:\WINDOWS\system32\DivXsm.exe
2007-09-28 16:07	3,596,288	----a-w	C:\WINDOWS\system32\qt-dx331.dll
2007-09-28 16:07	200,704	----a-w	C:\WINDOWS\system32\ssldivx.dll
2007-09-28 16:07	1,044,480	----a-w	C:\WINDOWS\system32\libdivx.dll
2007-09-28 16:05	823,296	----a-w	C:\WINDOWS\system32\divx_xx0c.dll
2007-09-28 16:05	823,296	----a-w	C:\WINDOWS\system32\divx_xx07.dll
2007-09-28 16:05	81,920	----a-w	C:\WINDOWS\system32\dpl100.dll
2007-09-28 16:05	802,816	----a-w	C:\WINDOWS\system32\divx_xx11.dll
2007-09-28 16:05	739,840	----a-w	C:\WINDOWS\system32\DivX.dll
2007-08-27 11:11	6,507	--sh--w	C:\WINDOWS\system32\jjkkj.bak1
2007-08-09 15:45	1,060,601	--sh--w	C:\WINDOWS\system32\jjkkj.bak2
2007-08-05 19:54	1,043,884	--sh--w	C:\WINDOWS\system32\jjkkj.ini2
2007-07-25 12:58	1,044,281	--sh--w	C:\WINDOWS\system32\qqtss.bak1
2007-07-26 12:59	1,051,747	--sh--w	C:\WINDOWS\system32\qqtss.bak2
2007-07-26 16:24	1,046,441	--sh--w	C:\WINDOWS\system32\qqtss.ini2
.

EpikWiz · Answer

(((((((((((((((((((((((((((((((((((((((((((((   AWF   ))))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
----a-w           344,064 2004-10-27 01:10:00  C:\Program Files\ATI Technologies\ATI Control Panel\bak\atiptaxx.exe

----a-w            86,016 2004-04-21 14:26:28  C:\Program Files\CyberLink DVD Solution\Multimedia Launcher\bak\PowerBar.exe

----a-w            32,768 2003-12-08 21:35:14  C:\Program Files\CyberLink DVD Solution\PowerDVD\bak\PDVDServ.exe

----a-w            49,152 2005-02-17 03:11:42  C:\Program Files\HP\HP Software Update\bak\HPWuSchd2.exe
----a-w            49,152 2004-09-13 19:49:00  C:\Program Files\HP\HP Software Update\hpwuSchd2.exe

----a-w            36,975 2005-04-13 08:48:52  C:\Program Files\Java\jre1.5.0_03\bin\bak\jusched.exe

----a-w            36,864 2006-07-16 02:44:58  C:\Program Files\Logitech\Desktop Messenger\8876480\Program\bak\LogitechDesktopMessenger.exe

----a-w           282,624 2006-07-06 04:54:36  C:\Program Files\QuickTime\bak\qttask.exe

----a-w         1,415,824 2005-05-31 06:04:00  C:\Program Files\Spybot - Search & Destroy\bak\TeaTimer.exe

----a-w            15,360 2004-08-05 12:00:00  C:\WINDOWS\system32\bak\ctfmon.exe
----a-w            15,360 2004-08-05 12:00:00  C:\WINDOWS\system32\ctfmon.exe

----a-w           155,648 2001-07-09 15:50:42  C:\WINDOWS\system32\bak\NeroCheck.exe

.
(((((((((((((((((((((((((((((((((   Point de chargement Reg   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PowerBar"="" []
"LDM"="C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe" []
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 07:00]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" []
"SoundMan"="SOUNDMAN.EXE" [2004-12-01 02:54 C:\WINDOWS\SOUNDMAN.EXE]
"SsAAD.exe"="C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe" []
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2007-10-25 07:02]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"AVG7_Run"="C:\PROGRA~1\Grisoft\AVG7\avgw.exe" [2007-10-25 07:02]
"msnmsgr"="C:\Program Files\MSN Messenger\msnmsgr.exe" [2007-01-19 11:54]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
HP Digital Imaging Monitor.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe [2004-11-04 19:28:24]
Logitech Desktop Messenger.lnk - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe [2006-07-15 21:44:57]
Logitech SetPoint.lnk - C:\Program Files\Logitech\SetPoint\KEM.exe [2005-09-10 13:00:00]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\awvvs]
C:\WINDOWS\system32\awvvs.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"= 
			
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\286a79bb]
			rundll32.exe C:\WINDOWS\system32\jcanetad.dll,b
			
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SearchIndexer]
			rundll32.exe C:\WINDOWS\system32\pdomiyft.dll,sitypnow

R3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
S3 lac97inf;lac97inf;\??\C:\DOCUME~1\Martin\LOCALS~1\Temp\lac97inf.sys
S3 SetupNTGLM7X;SetupNTGLM7X;\??\D:\NTGLM7X.sys
S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
\Shell\AutoRun\command - D:\autoplay.exe

.
**************************************************************************

catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-16 09:54:16
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully 
hidden files: 0 

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes --------------------- 

PROCESS: C:\WINDOWS\explorer.exe [6.00.2900.3156]
-> C:\Program Files\Logitech\SetPoint\lgscroll.dll
.
Completion time: 2007-12-16  9:55:20
.
2007-12-12 13:13:40	--- E O F ---

Le sioux · Answer

Bonjour epikWiz

Puis vu que ComboFix a l air de coincer , on va essayer avec OTMoveIt et un fixreg :

Je te conseille d'enregistrer la page en sélectionnant toutes les lignes puis de copier cette sélection dans un fichier texte sur ton PC pour pouvoir appliquer la procédure correctement.
(Note: tu n'auras pas accès à Internet à partir du moment ou te redémarreras en mode sans échec)
Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.
Si un élément te paraît obscur, demande des explications avant de commencer la désinfection

1) Télécharge  OTMoveIt (de Old_Timer)

Sur ton Bureau.  http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe

N'y touche pas pour le moent.

 2) Creation de Fix.reg

Crée un nouveau document texte :

Clic droit de souris sur le bureau, "Nouveau"> "Document Texte". Ouvre-le et copie-colle dedans de ce qui est en citation ci-dessous, (copie tout d'un trait) :

REGEDIT 4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{14CBA9C6-25A9-4C09-B2E6-4C3B92AF66F3}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{20983C05-5D8C-4EE9-A377-50B687138E19}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{329E3DEE-D958-4C0E-93CF-FD145318493E}] 


Puis "fichier"/"enregistrer sous" :
dans : sur le bureau
Nom du fichier : Fix.reg
Type de fichier : "tous les fichiers"
clique sur "enregistrer"

Note:
* Lors de l'enregistrement, il faut choisir pour le champ "Type": "Tous les fichiers"
* Fait bien attention que REGEDIT 4 soit sur la toute 1ere ligne 

3 ) Utilisation du Fix.reg

Double clique sur regfix.reg (que tu as créé sur ton bureau)

=> tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"
Si c'est bien le cas, clique sur "oui" 

4)  OTMoveIt (de Old_Timer)

Double clique sur OTMoveIt.exe pour le lancer.
Copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :
Paste List of Files/Folders to be moved.

C:\WINDOWS\system32\sdfixwcs.dll
C:\WINDOWS\system32\klkkj.bak1
C:\WINDOWS\system32\klkkj.ini
C:\WINDOWS\system32tstv.bak1
C:\WINDOWS\system32tstv.ini
C:\WINDOWS\system32\pqtwa.bak1
C:\WINDOWS\system32\pqtwa.ini
C:\WINDOWS\system32\vyadd.bak2
C:\WINDOWS\system32\vyadd.bak1
C:\WINDOWS\system32\vyadd.ini
C:\WINDOWS\system32\mmllm.bak2
C:\WINDOWS\system32\mmllm.ini
C:\WINDOWS\system32\mlkkj.bak2
C:\WINDOWS\system32\mlkkj.bak1
C:\WINDOWS\system32\mlkkj.ini
C:\WINDOWS\system32\wvvwa.bak2
C:\WINDOWS\system32\wvvwa.ini
C:\WINDOWS\system32\wvvwa.bak1
C:\WINDOWS\system32\ututv.bak2
C:\WINDOWS\system32\bbeeg.ini
C:\WINDOWS\system32\bbeeg.bak1
C:\WINDOWS\system32ttss.bak2
C:\WINDOWS\system32qtss.ini
C:\WINDOWS\system32qtss.ini2
C:\WINDOWS\system32stwa.ini
C:\WINDOWS\system32stwa.ini2
C:\WINDOWS\system32stwa.tmp
C:\WINDOWS\system32stwa.bak2
C:\WINDOWS\system32stwa.bak1
C:\WINDOWS\system32\qrutv.bak2
C:\WINDOWS\system32\qtvwa.bak2
C:\WINDOWS\system32\qtvwa.ini
C:\WINDOWS\system32\qtvwa.bak1
C:\WINDOWS\system32\qstwa.tmp
C:\WINDOWS\system32\qrutv.in
C:\WINDOWS\system32\qrutv.bak1
C:\WINDOWS\system32\edeeg.bak2
C:\WINDOWS\system32\edeeg.bak1
C:\WINDOWS\system32\edeeg.ini
C:\WINDOWS\system32ttss.bak1
C:\WINDOWS\system32ttss.ini
C:\WINDOWS\system32\datenacj.ini
C:\WINDOWS\system32\qllohuje.ini
C:\WINDOWS\system32\hmhohiiw.ini
C:\WINDOWS\system32\phctnyor.ini
C:\WINDOWS\system32\onnmp.bak1
C:\WINDOWS\system32\onnmp.ini
C:\WINDOWS\system32
nsgbcyj.ini
C:\WINDOWS\system32\aybeg.bak2
C:\WINDOWS\system32\lorcweoc.ini
C:\WINDOWS\system32\kiuqfhmc.ini
C:\WINDOWS\system32qtwa.bak2
C:\WINDOWS\system32\voaicfmu.ini
C:\WINDOWS\system32\uyhnaypn.ini
C:\WINDOWS\system32qtwa.bak1
C:\WINDOWS\system32qtwa.ini
C:\WINDOWS\system32\bcbeg.bak2
C:\WINDOWS\system32\orqss.bak2
C:\WINDOWS\system32\abeeg.bak2
C:\WINDOWS\system32\llkkj.bak2
C:\WINDOWS\system32\yycdd.bak2
C:\WINDOWS\system32\ututv.bak1
C:\WINDOWS\system32\gjkmp.bak1
C:\WINDOWS\system32\ycbeg.bak2
C:\WINDOWS\system32\aybeg.bak1
C:\WINDOWS\system32\stvwa.bak2
C:\WINDOWS\system32\yycdd.bak1
C:\WINDOWS\system32\yccdd.bak2
C:\WINDOWS\system32
qtwa.bak2
C:\WINDOWS\system32
qtwa.bak1
C:\WINDOWS\system32\abeeg.bak1
C:\WINDOWS\system32\bcbeg.bak1
C:\WINDOWS\system32\stvwa.bak1
C:\WINDOWS\system32	tutv.bak1
C:\WINDOWS\system32\imqbjahq.exe
C:\WINDOWS\system32
xmrmcxs.exe
C:\WINDOWS\system32\monciqyy.exe
C:\WINDOWS\system32\awmsyydl.exe
C:\WINDOWS\system32\srutv.bak2
C:\WINDOWS\system32\mabncaji.exe
C:\WINDOWS\system32\srutv.bak1
C:\WINDOWS\system32
qtss.bak2
C:\WINDOWS\system32mpnrcon.exe
C:\WINDOWS\system32\imkigssu.exe
C:\WINDOWS\system32\ahgsjabu.exe
C:\WINDOWS\system32
qtss.bak1
C:\WINDOWS\system32\orqss.ini2
C:\WINDOWS\system32\orqss.bak1
C:\WINDOWS\system32\ddeeg.bak1
C:\WINDOWS\system32\srqss.bak1
C:\WINDOWS\system32\shwuqvna.exe
C:\WINDOWS\system32\llkkj.bak1
C:\WINDOWS\system32dakxxmv.exe
C:\WINDOWS\system32\vpbxjmfa.exe
C:\WINDOWS\system32
gswtxos.exe
C:\WINDOWS\system32gqtejml.exe
C:\WINDOWS\system32\ybeeg.bak2
C:\WINDOWS\system32\ybeeg.ini2
C:\WINDOWS\system32\iftwxakj.exe
C:\WINDOWS\system32\ybeeg.bak1
C:\WINDOWS\system32\fnfcgsnf.exe
C:\WINDOWS\system32\bqsosyky.exe
C:\WINDOWS\system32\ylmnrcte.exe
C:\WINDOWS\system32\orutv.bak1
C:\WINDOWS\system32\qluiqonn.exe
C:\WINDOWS\system32\gdvtdlqw.exe
C:\WINDOWS\system32\lqeoxcay.exe
C:\WINDOWS\system32\aojvsrbo.exe
C:\WINDOWS\system32\mnnmp.bak2
C:\WINDOWS\system32\iviixrfp.exe
C:\WINDOWS\system32\crpylthf.exe
C:\WINDOWS\system32	umikccf.exe
C:\WINDOWS\system32\mnnmp.bak1
C:\WINDOWS\system32\pmcpqthv.exe
C:\WINDOWS\system32\iukkkvan.exe
C:\WINDOWS\system32\xaxeypea.exe
C:\WINDOWS\system32hcrfnoi.exe
C:\WINDOWS\system32\chcokluk.exe
C:\WINDOWS\system32\ihkmp.bak1
C:\WINDOWS\system32\leunpcfu.exe
C:\WINDOWS\system32\dbvxbmgp.exe
C:\WINDOWS\system32\opcyoyeg.exe
C:\WINDOWS\system32\yccdd.ini2
C:\WINDOWS\system32\lkpynlmu.exe
C:\WINDOWS\system32\qtncisdx.exe
C:\WINDOWS\system32\xlngbmhh.exe
C:\WINDOWS\system32\yccdd.bak1
C:\WINDOWS\system32tutv.bak1
C:\WINDOWS\system32\jjkkj.bak1
C:\WINDOWS\system32\jjkkj.bak2
C:\WINDOWS\system32\jjkkj.ini2
C:\WINDOWS\system32\qqtss.bak1
C:\WINDOWS\system32\qqtss.bak2
C:\WINDOWS\system32\qqtss.ini2
C:\WINDOWS\Internet Logs 

Clique sur MoveIt! pour lancer la suppression.
Le résultat apparaîtra dans le cadre Results.
Clique sur Exit pour fermer.

Il te sera peut-être demander de redémarrer le pc pour achever la suppression.
si c'est le cas accepte par Yes.

5) Rapport :

--> Poste le rapport d'OTMoveIt situé dans C:\_OTMoveIt\MovedFiles (contenu du fichier C:\_OTMoveIt\MovedFiles\********_******.log - les *** sont des chiffres représentant la date et l'heure)

@ suivre

EpikWiz · Answer

LoadLibrary failed for C:\WINDOWS\system32\sdfixwcs.dll
C:\WINDOWS\system32\sdfixwcs.dll NOT unregistered.
C:\WINDOWS\system32\sdfixwcs.dll moved successfully.
C:\WINDOWS\system32\klkkj.bak1 moved successfully.
C:\WINDOWS\system32\klkkj.ini moved successfully.
C:\WINDOWS\system32tstv.bak1 moved successfully.
C:\WINDOWS\system32tstv.ini moved successfully.
C:\WINDOWS\system32\pqtwa.bak1 moved successfully.
C:\WINDOWS\system32\pqtwa.ini moved successfully.
C:\WINDOWS\system32\vyadd.bak2 moved successfully.
C:\WINDOWS\system32\vyadd.bak1 moved successfully.
C:\WINDOWS\system32\vyadd.ini moved successfully.
C:\WINDOWS\system32\mmllm.bak2 moved successfully.
C:\WINDOWS\system32\mmllm.ini moved successfully.
C:\WINDOWS\system32\mlkkj.bak2 moved successfully.
C:\WINDOWS\system32\mlkkj.bak1 moved successfully.
C:\WINDOWS\system32\mlkkj.ini moved successfully.
C:\WINDOWS\system32\wvvwa.bak2 moved successfully.
C:\WINDOWS\system32\wvvwa.ini moved successfully.
C:\WINDOWS\system32\wvvwa.bak1 moved successfully.
C:\WINDOWS\system32\ututv.bak2 moved successfully.
C:\WINDOWS\system32\bbeeg.ini moved successfully.
C:\WINDOWS\system32\bbeeg.bak1 moved successfully.
C:\WINDOWS\system32ttss.bak2 moved successfully.
C:\WINDOWS\system32qtss.ini moved successfully.
C:\WINDOWS\system32qtss.ini2 moved successfully.
C:\WINDOWS\system32stwa.ini moved successfully.
C:\WINDOWS\system32stwa.ini2 moved successfully.
C:\WINDOWS\system32stwa.tmp moved successfully.
C:\WINDOWS\system32stwa.bak2 moved successfully.
C:\WINDOWS\system32stwa.bak1 moved successfully.
C:\WINDOWS\system32\qrutv.bak2 moved successfully.
C:\WINDOWS\system32\qtvwa.bak2 moved successfully.
C:\WINDOWS\system32\qtvwa.ini moved successfully.
C:\WINDOWS\system32\qtvwa.bak1 moved successfully.
C:\WINDOWS\system32\qstwa.tmp moved successfully.
File/Folder C:\WINDOWS\system32\qrutv.in not found.
C:\WINDOWS\system32\qrutv.bak1 moved successfully.
C:\WINDOWS\system32\edeeg.bak2 moved successfully.
C:\WINDOWS\system32\edeeg.bak1 moved successfully.
C:\WINDOWS\system32\edeeg.ini moved successfully.
C:\WINDOWS\system32ttss.bak1 moved successfully.
C:\WINDOWS\system32ttss.ini moved successfully.
C:\WINDOWS\system32\datenacj.ini moved successfully.
C:\WINDOWS\system32\qllohuje.ini moved successfully.
C:\WINDOWS\system32\hmhohiiw.ini moved successfully.
C:\WINDOWS\system32\phctnyor.ini moved successfully.
C:\WINDOWS\system32\onnmp.bak1 moved successfully.
C:\WINDOWS\system32\onnmp.ini moved successfully.
C:\WINDOWS\system32
nsgbcyj.ini moved successfully.
C:\WINDOWS\system32\aybeg.bak2 moved successfully.
C:\WINDOWS\system32\lorcweoc.ini moved successfully.
C:\WINDOWS\system32\kiuqfhmc.ini moved successfully.
C:\WINDOWS\system32qtwa.bak2 moved successfully.
C:\WINDOWS\system32\voaicfmu.ini moved successfully.
C:\WINDOWS\system32\uyhnaypn.ini moved successfully.
C:\WINDOWS\system32qtwa.bak1 moved successfully.
C:\WINDOWS\system32qtwa.ini moved successfully.
C:\WINDOWS\system32\bcbeg.bak2 moved successfully.
C:\WINDOWS\system32\orqss.bak2 moved successfully.
C:\WINDOWS\system32\abeeg.bak2 moved successfully.
C:\WINDOWS\system32\llkkj.bak2 moved successfully.
C:\WINDOWS\system32\yycdd.bak2 moved successfully.
C:\WINDOWS\system32\ututv.bak1 moved successfully.
C:\WINDOWS\system32\gjkmp.bak1 moved successfully.
C:\WINDOWS\system32\ycbeg.bak2 moved successfully.
C:\WINDOWS\system32\aybeg.bak1 moved successfully.
C:\WINDOWS\system32\stvwa.bak2 moved successfully.
C:\WINDOWS\system32\yycdd.bak1 moved successfully.
C:\WINDOWS\system32\yccdd.bak2 moved successfully.
C:\WINDOWS\system32
qtwa.bak2 moved successfully.
C:\WINDOWS\system32
qtwa.bak1 moved successfully.
C:\WINDOWS\system32\abeeg.bak1 moved successfully.
C:\WINDOWS\system32\bcbeg.bak1 moved successfully.
C:\WINDOWS\system32\stvwa.bak1 moved successfully.
C:\WINDOWS\system32	tutv.bak1 moved successfully.
File move failed. C:\WINDOWS\system32\imqbjahq.exe scheduled to be moved on reboot.
File move failed. C:\WINDOWS\system32
xmrmcxs.exe scheduled to be moved on reboot.
File move failed. C:\WINDOWS\system32\monciqyy.exe scheduled to be moved on reboot.
File move failed. C:\WINDOWS\system32\awmsyydl.exe scheduled to be moved on reboot.
C:\WINDOWS\system32\srutv.bak2 moved successfully.
File move failed. C:\WINDOWS\system32\mabncaji.exe scheduled to be moved on reboot.
C:\WINDOWS\system32\srutv.bak1 moved successfully.
C:\WINDOWS\system32
qtss.bak2 moved successfully.
File move failed. C:\WINDOWS\system32mpnrcon.exe scheduled to be moved on reboot.
File move failed. C:\WINDOWS\system32\imkigssu.exe scheduled to be moved on reboot.
File move failed. C:\WINDOWS\system32\ahgsjabu.exe scheduled to be moved on reboot.
C:\WINDOWS\system32
qtss.bak1 moved successfully.
C:\WINDOWS\system32\orqss.ini2 moved successfully.
C:\WINDOWS\system32\orqss.bak1 moved successfully.
C:\WINDOWS\system32\ddeeg.bak1 moved successfully.
C:\WINDOWS\system32\srqss.bak1 moved successfully.
File move failed. C:\WINDOWS\system32\shwuqvna.exe scheduled to be moved on reboot.
C:\WINDOWS\system32\llkkj.bak1 moved successfully.
File move failed. C:\WINDOWS\system32dakxxmv.exe scheduled to be moved on reboot.
File move failed. C:\WINDOWS\system32\vpbxjmfa.exe scheduled to be moved on reboot.
File move failed. C:\WINDOWS\system32
gswtxos.exe scheduled to be moved on reboot.
File move failed. C:\WINDOWS\system32gqtejml.exe scheduled to be moved on reboot.
C:\WINDOWS\system32\ybeeg.bak2 moved successfully.
C:\WINDOWS\system32\ybeeg.ini2 moved successfully.
File move failed. C:\WINDOWS\system32\iftwxakj.exe scheduled to be moved on reboot.
C:\WINDOWS\system32\ybeeg.bak1 moved successfully.
File move failed. C:\WINDOWS\system32\fnfcgsnf.exe scheduled to be moved on reboot.
File move failed. C:\WINDOWS\system32\bqsosyky.exe scheduled to be moved on reboot.
File move failed. C:\WINDOWS\system32\ylmnrcte.exe scheduled to be moved on reboot.
C:\WINDOWS\system32\orutv.bak1 moved successfully.
File move failed. C:\WINDOWS\system32\qluiqonn.exe scheduled to be moved on reboot.
File move failed. C:\WINDOWS\system32\gdvtdlqw.exe scheduled to be moved on reboot.
File move failed. C:\WINDOWS\system32\lqeoxcay.exe scheduled to be moved on reboot.
File move failed. C:\WINDOWS\system32\aojvsrbo.exe scheduled to be moved on reboot.
C:\WINDOWS\system32\mnnmp.bak2 moved successfully.
File move failed. C:\WINDOWS\system32\iviixrfp.exe scheduled to be moved on reboot.
File move failed. C:\WINDOWS\system32\crpylthf.exe scheduled to be moved on reboot.
File move failed. C:\WINDOWS\system32	umikccf.exe scheduled to be moved on reboot.
C:\WINDOWS\system32\mnnmp.bak1 moved successfully.
File move failed. C:\WINDOWS\system32\pmcpqthv.exe scheduled to be moved on reboot.
File move failed. C:\WINDOWS\system32\iukkkvan.exe scheduled to be moved on reboot.
File move failed. C:\WINDOWS\system32\xaxeypea.exe scheduled to be moved on reboot.
File move failed. C:\WINDOWS\system32hcrfnoi.exe scheduled to be moved on reboot.
File move failed. C:\WINDOWS\system32\chcokluk.exe scheduled to be moved on reboot.
C:\WINDOWS\system32\ihkmp.bak1 moved successfully.
File move failed. C:\WINDOWS\system32\leunpcfu.exe scheduled to be moved on reboot.
File move failed. C:\WINDOWS\system32\dbvxbmgp.exe scheduled to be moved on reboot.
File move failed. C:\WINDOWS\system32\opcyoyeg.exe scheduled to be moved on reboot.
C:\WINDOWS\system32\yccdd.ini2 moved successfully.
File move failed. C:\WINDOWS\system32\lkpynlmu.exe scheduled to be moved on reboot.
File move failed. C:\WINDOWS\system32\qtncisdx.exe scheduled to be moved on reboot.
File move failed. C:\WINDOWS\system32\xlngbmhh.exe scheduled to be moved on reboot.
C:\WINDOWS\system32\yccdd.bak1 moved successfully.
C:\WINDOWS\system32tutv.bak1 moved successfully.
C:\WINDOWS\system32\jjkkj.bak1 moved successfully.
C:\WINDOWS\system32\jjkkj.bak2 moved successfully.
C:\WINDOWS\system32\jjkkj.ini2 moved successfully.
C:\WINDOWS\system32\qqtss.bak1 moved successfully.
C:\WINDOWS\system32\qqtss.bak2 moved successfully.
C:\WINDOWS\system32\qqtss.ini2 moved successfully.
C:\WINDOWS\Internet Logs moved successfully.
 
Created on 12-17-2007 11:15:45

Le sioux · Answer

Bonsoir EpikWizz

Peux tu me poster un nouveau rapport HijackThis stp.

Comment va le PC ?

@ plus

EpikWiz · Answer

Je dois avouer que la vitesse a augmenter considérablement ! Merci a ta patience !
Et pour répondre a une de tes questions précédentes: Oui j'ai déja eu ZoneAlarm sur mon pc mais vraiment pas longtemps. Je l'ai suprimer le jour ou il a décidé de barrer l'accès a des sites web que je fréquente quotidiennement, a bloquer msn et d'autres cossins fatiguant du genre. Je sais que tout ces problèmes devaient se règler dans les paramètres mais après avoir quelques peu regarder, je n'ai rien trouver...

Voila le log hijackthis:
___________________________________________________

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:15:38, on 2007-12-17
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\UStorSrv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Logitech\SetPoint\KEM.exe
C:\Program Files\Logitech\SetPoint\KHALMNPR.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;*.local
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-20\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-21-1417001333-1972579041-725345543-1004\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background (User '?')
O4 - HKUS\S-1-5-21-1417001333-1972579041-725345543-1004\..\Run: [PowerBar] "C:\Program Files\CyberLink DVD Solution\Multimedia Launcher\PowerBar.exe" /AtBootTime (User '?')
O4 - HKUS\S-1-5-21-1417001333-1972579041-725345543-1004\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\KEM.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - https://onedrive.live.com/
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/EN-CA/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A54032D-31F7-400D-B184-83B33BDE65FA} (MSN File Upload Control) - http://sc.groups.msn.com/controls/FileUC/MsnUpld.cab
O16 - DPF: {AA07EBD2-EBDD-4BD6-9F8F-114BD513492C} (NeffyLauncherCtl Class) - http://disteng.nefficient.com/disteng/neffy/NeffyLauncher.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O20 - AppInit_DLLs:  
O20 - Winlogon Notify: awvvs - C:\WINDOWS\system32\awvvs.dll (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: UStorage Server Service - OTi - C:\WINDOWS\system32\UStorSrv.exe

Le sioux · Answer

Bonsoir EpikWiz

C est cool, je vois pour continuer avec toi plus tard des quepossible.

@plus

Analyse du log Hijackthis de mon pc

45 réponses

Votre réponse

Newsletters