GROSSE infection! help me!

Question

Bonjour,
Je viens de récupérer le pc de mon petit frères parce que ça fait des semaines qu'il me gonfle pour que je lui nettoie.
J'ai fait ce que j'ai pu avec mes maigres compétences. J'ai tout d'abord installé spybot, puis Ccleaner histoire de faire un peu le ménage(et croyez moi yen avait besoin).
spybot à détecté 48 menaces(spyware a foison, 1 trojan, 1 rootkit et pas mal d'autre menaces nomé "PUPS"?) et les as soit disant supprimé.
Le scanner d'avast ne détecte plus rien.
J'ai par précaution fait un scan en ligne avec panda. Il a détecté 2 outils de piratages, 7 spywares et 1 virus qu'il a automatiquement supprimé. Problème: Je n'est pas pu récupérer le rapport car internet a planté pendant le chargement de la page. Donc impossible de localisé les menaces pour éventuellement les supprimer en mode sans échec.
J'ai pas lâché l'affaire et j'ai fait un autre scan avec kaspersky. Lui ne me détecte qu'une seul menace sans vraiment préciser ce que c'est.
Il appel ca un "fichier suspect".
Et finalement me voila la souris entre les jambe avec mon rapport Hijack :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:30:35, on 06/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32
vsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Inventel\Gateway\wlancfg.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\windows\system\hpsysdrv.exe
C:\HP\KBD\KBD.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\ALCXMNTR.EXE
C:\PROGRA~1\CLUB-I~1\LECOMP~1\SMARTB~1\MotiveSB.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Fichiers communs\Logitech\LComMgr\Communications_Helper.exe
C:\Program Files\Logitech\QuickCam10\QuickCam10.exe
C:\Program Files\Fichiers communs\Logitech\LComMgr\LVComSX.exe
C:\PROGRA~1\PRESAR~1\Presario\XPHWWRS4\plugin\bin\pchbutton.exe
C:\Program Files\Weflirt\weflirt.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32undll32.exe
C:\Program Files\Windows Desktop Search\WindowsSearch.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Fichiers communs\Logishrd\LQCVFX\COCIManager.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\hijackthis\HijackThis.exe
C:\WINDOWS\system32\SearchProtocolHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr?cobrand=compaq-desktop.msn.com&ocid=HPDHP&pc=CPDTDF
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP =  
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file)
R3 - URLSearchHook: (no name) - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Video DivX 3.12 - {36490B2D-77CC-4CC2-B6A6-8A16EC550DAB} - C:\WINDOWS\system32\sysdivx.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\CLUB-I~1\LECOMP~1\SMARTB~1\MotiveSB.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Fichiers communs\Logitech\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\QuickCam10\QuickCam10.exe" /hide
O4 - HKLM\..\Run: [LVCOMSX] "C:\Program Files\Fichiers communs\Logitech\LComMgr\LVComSX.exe"
O4 - HKLM\..\RunOnce: [NoIE4StubProcessing] C:\WINDOWS\system32eg.exe DELETE "HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components" /v "NoIE4StubProcessing" /f
O4 - HKCU\..\Run: [Acme.PCHButton] C:\PROGRA~1\PRESAR~1\Presario\XPHWWRS4\plugin\bin\pchbutton.exe
O4 - HKCU\..\Run: [Weflirt] "C:\Program Files\Weflirt\weflirt.exe" -background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MSMsgSvc] C:\WINDOWS\System\MSMSGSVC.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [ALUAlert] C:\Program Files\Symantec\LiveUpdate\ALUNotify.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [ALUAlert] C:\Program Files\Symantec\LiveUpdate\ALUNotify.exe (User 'Default user')
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: LE COMPAGNON CLUB.lnk = C:\Program Files\Club-Internet\Le Compagnon Club\bin\matcli.exe
O4 - Global Startup: Pense-bête.lnk = C:\Program Files\Broderbund\PrintMaster\PMREMIND.EXE
O4 - Global Startup: Windows Desktop Search.lnk = C:\Program Files\Windows Desktop Search\WindowsSearch.exe
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://195.225.177.13/20647/online.chm::/on-line.exe
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7m.cab
O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111113458} - file://c:\x.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5308E02B-4ABA-48E4-AA9E-8A7693661473} (GameCtl Class) - http://jeuxenligne.orange.fr/GisActiveX/Ax/GameAx.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game04.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {C9E17F58-564C-41C6-989F-AB0FE0D2C9D1} (PopcapLoader Object) - http://jeuxenligne.orange.fr/orange2.0/OnlineHSS/zuma/Popcap.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab
O18 - Filter hijack: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - (no file)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Fichiers communs\Logitech\SrvLnch\SrvLnch.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: Service de lancement de WlanCfg (Wlancfg) - Inventel - C:\Program Files\Inventel\Gateway\wlancfg.exe

gringrin · Answer

https://www.trendmicro.com/en_us/forHome/products/housecall.html

essaye ca aussi

la grande dinde · Answer

bonjour,
meri pour le coup de main mais impossible d'effectuer le scan. A chaque fois internet plante. J'ai essayé au moin 10 fois et c'est toujours pareil.
J'ai beaucoup de difficulté a faire fonctionner internet. Ca plante une fois sur deux. De plus a chaque fois que je lance une recherche avec google je tombe sur un site de cul.
Exemple : je tape 'commentcamarche.net'.
 le premier site de la liste s'affiche comme étant le site de commentcamarche.net.
Sauf que, quand je clic, je tombe toujours sur le meme site de cul!
C'est vraiment la m....!
Donc encore une fois HELP ME

la grande dinde · Answer

Re,
finalement ca a fini par fonctionner. j'ai réussi a virer tous ce qui a été trouvé par le scan et yen avait un paquet.
Je pense qu'il reste encore des saloperies. Je m'explique; Depuis le debu un icone appelé "ParisHilton(2)" est affiché sur le bureau.
Il m'est impossible de le supprimer. windows me marque"impossible de supprimer ParisHilton(2) :  Cette ressource est utilisé par une autre personne ou un autre programme".
De plus, a chaque lancement d'internet une deuxieme page, blanche, s'ouvre.
De plus plus, spybot m'alerte constament sur des modificatons de registre.
donc, a votre avis, suis je encore infecté ou pas? et si oui que faire?

Lyonnais92 · Answer

Bonsoir,

oui, il rester des choses.

Tu sembles ne pas avoir de parefeu contrôlant les connexions sortantes, ce qui est un risque de sécurité.

Si c'est le cas tu as le choix entre ces deux possibilités :

Zone Alarm Tuto et lien de téléchargement ici :
https://www.malekal.com/tutoriel-zonealarm-firewall/

Kerio Tuto et lien de téléchargement ici :
http://www.malekal.com/kerio_firewall.php

Il y en a d'autres que tu peux trouver en ouvrant ce lien :
http://www.malekal.com/menu_tutorials_logiciels.php

Il faut que tu désactives le parefeu de Windows (panneau de configuration, parefeu de Windows) après le téléchargement et avant l'installation (déconnecte toi du Net à ce moment là).

Télécharge BTFix de Bibi26
http://cluster1.easy-hebergement.net/ de Bibi26
Dézippe l'archive sur ton Bureau.
Ouvre le dossier BTFix.
Double clique sur BTFix.exe.
Clique sur Rechercher.
Un rapport va apparaître, copie/colle-le dans ta prochaine réponse.

Relance HijackThis.

Choisis Do a scan only

Coche la case devant les lignes suivantes

O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://195.225.177.13/20647/online.chm::/on-line. exe
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7m.cab
O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111113458} - file://c:\x.cab

Ferme toutes les fenêtres (hormis HijackThis), y compris ton navigateur.

Clique sur fix checked.

Ferme Hijackthis.

Ouvre l'explorateur windows, cherche et supprime :

C:\foo.mht!http://195.225.177.13/20647/online.chm::/on-line. exe
c:\ied_s7m.cab
c:\x.cab

redémarre l'ordi.

remets un rapport Hijackthis.

la grande dinde · Answer

salut,
merci pour ton aide.
j'ai deja installé un autre firewall :zonealarm. et aussi un autre anti virus: Antivir. Parce que Avast selon moi c'est de la daube.
BTFix n'a rien trouvé:
BTFix 1.064 (par bibi26) - 07/12/2007 13:51:27 - Analyse
Lancé depuis C:\Documents and Settings\Propriétaire\Bureau\BTFix\BTFix\BTFix.exe

---> Fichiers/Dossiers trouvés


---> Analyse terminée

Quant a ces trois fichiers, 
C:\foo.mht!http://195.225.177.13/20647/online.chm::/on-line. exe 
c:\ied_s7m.cab 
c:\x.cab 
impossible de les trouver pour les supprimer. comment faire?
J'ai, par contre, bien lancé hijackthis, cocher les 4 cases et cliqué sur fix cheked.

Et voici le nouveau rappot hijackthis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:49:31, on 07/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\windows\system\hpsysdrv.exe
C:\HP\KBD\KBD.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\ALCXMNTR.EXE
C:\PROGRA~1\CLUB-I~1\LECOMP~1\SMARTB~1\MotiveSB.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\Fichiers communs\Logitech\LComMgr\Communications_Helper.exe
C:\Program Files\Logitech\QuickCam10\QuickCam10.exe
C:\Program Files\Fichiers communs\Logitech\LComMgr\LVComSX.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\PRESAR~1\Presario\XPHWWRS4\plugin\bin\pchbutton.exe
C:\Program Files\Weflirt\weflirt.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32undll32.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Program Files\Windows Desktop Search\WindowsSearch.exe
C:\WINDOWS\System32
vsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Inventel\Gateway\wlancfg.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Program Files\Fichiers communs\Logishrd\LQCVFX\COCIManager.exe
C:\WINDOWS\system32\wuauclt.exe
C:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr?cobrand=compaq-desktop.msn.com&ocid=HPDHP&pc=CPDTDF
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file)
R3 - URLSearchHook: (no name) - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: (no name) - {36490B2D-77CC-4CC2-B6A6-8A16EC550DAB} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\CLUB-I~1\LECOMP~1\SMARTB~1\MotiveSB.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Fichiers communs\Logitech\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\QuickCam10\QuickCam10.exe" /hide
O4 - HKLM\..\Run: [LVCOMSX] "C:\Program Files\Fichiers communs\Logitech\LComMgr\LVComSX.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\RunOnce: [NoIE4StubProcessing] C:\WINDOWS\system32eg.exe DELETE "HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components" /v "NoIE4StubProcessing" /f
O4 - HKCU\..\Run: [Acme.PCHButton] C:\PROGRA~1\PRESAR~1\Presario\XPHWWRS4\plugin\bin\pchbutton.exe
O4 - HKCU\..\Run: [Weflirt] "C:\Program Files\Weflirt\weflirt.exe" -background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [ALUAlert] C:\Program Files\Symantec\LiveUpdate\ALUNotify.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [ALUAlert] C:\Program Files\Symantec\LiveUpdate\ALUNotify.exe (User 'Default user')
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: LE COMPAGNON CLUB.lnk = C:\Program Files\Club-Internet\Le Compagnon Club\bin\matcli.exe
O4 - Global Startup: Pense-bête.lnk = C:\Program Files\Broderbund\PrintMaster\PMREMIND.EXE
O4 - Global Startup: Windows Desktop Search.lnk = C:\Program Files\Windows Desktop Search\WindowsSearch.exe
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5308E02B-4ABA-48E4-AA9E-8A7693661473} (GameCtl Class) - http://jeuxenligne.orange.fr/GisActiveX/Ax/GameAx.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game04.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {C9E17F58-564C-41C6-989F-AB0FE0D2C9D1} (PopcapLoader Object) - http://jeuxenligne.orange.fr/orange2.0/OnlineHSS/zuma/Popcap.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Filter hijack: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - (no file)
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Fichiers communs\Logitech\SrvLnch\SrvLnch.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Service de lancement de WlanCfg (Wlancfg) - Inventel - C:\Program Files\Inventel\Gateway\wlancfg.exe

Lyonnais92 · Answer

Bonjour,

Télécharge MSNFix.zip (de !aur3n7) sur ton bureau:
http://sosvirus.changelog.fr/MSNFix.zip

Décompresse-le (clic droit >> Extraire ici) et place les fichiers dans C:\MSNFix (très important).

Double cliquer sur le fichier MSNFix.bat.
- Exécutez l'option R.
-- Si l'infection est détectée, un message l'indiquera et il suffira de presser une touche pour lancer le nettoyage

Note :
Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l'ordinateur en mode normal

- Le rapport sera enregistré dans le même dossier que MSNFix sous forme date_heure.txt

télécharge combofix (par sUBs)ici :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe


et enregistre le sur le bureau.

2 double-clique sur combofix.exe et suis les instructions

3 à la fin, il va produire un rapport C:\ComboFix.txt

4 copie/colle ce rapport dans ta prochaine réponse.

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

la grande dinde · Answer

Re, j'ai fait ce que tu m'a dit. rapport MSNFix: MSNFix 1.60 C:\MSNFix\MSNFix Fix exécuté le 07/12/2007 - 20:21:44,17 By Propri‚taire mode normal ************************ Recherche les fichiers présents Aucun Fichier trouvé ************************ Recherche les dossiers présents ... C:\DOCUME~1\ALLUSE~1\APPLIC~1\TEMP\ ... C:\Temp\ ************************ Suppression des fichiers ************************ Suppression des dossiers .. OK ... C:\DOCUME~1\ALLUSE~1\APPLIC~1\TEMP\ .. OK ... C:\Temp\ ************************ Nettoyage du registre ************************ Fichiers suspects Aucun Fichier trouvé Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 07122007_20235528.zip ------------------------------------------------------------------------ Auteur : !aur3n7 Contact: https://www.ionos.fr/ ------------------------------------------------------------------------ --------------------------------------------- END --------------------------------------------- rapport ComboFix ComboFix 07-12-07.3 - Propriétaire 2007-12-07 20:31:45.1 - NTFSx86 Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.385 [GMT 1:00] Running from: C:\Documents and Settings\Propriétaire\Bureau\ComboFix.exe * Created a new restore point . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Documents and Settings\Propriétaire\Local Settings\Application Data\mrzyah.dat C:\Documents and Settings\Propriétaire\Local Settings\Application Data\mrzyah.exe C:\Documents and Settings\Propriétaire\Local Settings\Application Data\mrzyah_nav.dat C:\Documents and Settings\Propriétaire\Local Settings\Application Data\mrzyah_navps.dat D:\Autorun.inf . ((((((((((((((((((((((((((((( Fichiers créés 2007-11-07 to 2007-12-07 )))))))))))))))))))))))))))))))))))) . 2007-12-07 20:19 . 2007-12-07 20:19 d-------- C:\MSNFix 2007-12-07 00:45 . 2007-12-07 00:45 d-------- C:\Program Files\Microsoft CAPICOM 2.1.0.2 2007-12-07 00:21 . 2007-12-07 00:21 d-------- C:\Documents and Settings\All Users\Application Data\MailFrontier 2007-12-07 00:21 . 2007-12-07 00:23 4,212 ---h----- C:\WINDOWS\system32\zllictbl.dat 2007-12-07 00:20 . 2007-12-07 13:43 182,304 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat 2007-12-07 00:20 . 2007-12-07 00:20 75,932 --a------ C:\WINDOWS\system32\drivers\klick.dat 2007-12-07 00:20 . 2007-06-21 21:54 75,248 --a------ C:\WINDOWS\zllsputility.exe 2007-12-07 00:20 . 2007-12-07 00:20 74,396 --a------ C:\WINDOWS\system32\drivers\klin.dat 2007-12-07 00:20 . 2007-06-21 21:55 54,672 --a------ C:\WINDOWS\system32\vsutil_loc040c.dll 2007-12-07 00:20 . 2007-06-21 21:55 42,384 --a------ C:\WINDOWS\zllsputility_loc040c.dll 2007-12-07 00:20 . 2007-06-21 21:55 21,904 --a------ C:\WINDOWS\system32\imsinstall_loc040c.dll 2007-12-07 00:20 . 2007-06-21 21:55 17,808 --a------ C:\WINDOWS\system32\imslsp_install_loc040c.dll 2007-12-07 00:20 . 2004-04-27 04:40 11,264 --a------ C:\WINDOWS\system32\SpOrder.dll 2007-12-07 00:20 . 2007-12-07 13:43 3,212 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx 2007-12-07 00:17 . 2007-12-07 14:05 d-------- C:\WINDOWS\Internet Logs 2007-12-06 22:06 . 2007-12-06 22:06 d-------- C:\Program Files\Avira 2007-12-06 22:06 . 2007-12-06 22:06 d-------- C:\Documents and Settings\All Users\Application Data\Avira 2007-12-06 15:48 . 2007-12-06 21:44 d-------- C:\Documents and Settings\Propriétaire\.housecall6.6 2007-12-06 15:48 . 2007-12-06 21:44 d-------- C:\Documents and Settings\Propriétaire\.housecall6.6 2007-12-06 01:29 . 2007-12-07 13:49 d-------- C:\hijackthis 2007-12-06 01:08 . 2007-08-13 18:54 33,792 --a--c--- C:\WINDOWS\system32\dllcache\custsat.dll 2007-12-05 23:16 . 2007-12-05 23:16 d-------- C:\WINDOWS\system32\Kaspersky Lab 2007-12-05 22:39 . 2007-12-05 22:39 d-------- C:\Documents and Settings\All Users\Application Data View_Profiles 2007-12-05 22:22 . 2007-12-06 23:32 d-------- C:\WINDOWS\system32\ActiveScan 2007-12-05 22:22 . 2007-12-05 22:22 30,590 --a------ C:\WINDOWS\system32\pavas.ico 2007-12-05 22:22 . 2007-12-05 22:22 2,550 --a------ C:\WINDOWS\system32\Uninstall.ico 2007-12-05 22:22 . 2007-12-05 22:22 1,406 --a------ C:\WINDOWS\system32\Help.ico 2007-12-05 21:46 . 2007-12-05 21:46 d-------- C:\Documents and Settings\All Users\Application Data\Yahoo! Companion 2007-12-05 20:32 . 2004-01-01 10:37 d-------- C:\Documents and Settings\Administrateur\WINDOWS 2007-12-05 20:32 . 2004-01-01 08:39 d--h----- C:\Documents and Settings\Administrateur\Voisinage réseau 2007-12-05 20:32 . 2004-01-01 08:39 d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression 2007-12-05 20:32 . 2004-07-22 18:14 d--h----- C:\Documents and Settings\Administrateur\Modèles 2007-12-05 20:32 . 2007-06-17 09:10 dr------- C:\Documents and Settings\Administrateur\Mes documents 2007-12-05 20:32 . 2004-07-22 18:14 dr------- C:\Documents and Settings\Administrateur\Menu Démarrer 2007-12-05 20:32 . 2004-09-19 20:40 dr------- C:\Documents and Settings\Administrateur\Favoris 2007-12-05 20:32 . 2004-01-01 08:39 d-------- C:\Documents and Settings\Administrateur\Bureau 2007-12-05 20:32 . 2004-01-01 11:26 d-------- C:\Documents and Settings\Administrateur\Application Data\SampleView 2007-12-05 20:32 . 2004-01-01 10:28 d-------- C:\Documents and Settings\Administrateur\Application Data\Intervideo 2007-12-05 20:13 . 2007-12-05 20:14 d-------- C:\Program Files\Yahoo! 2007-12-05 20:13 . 2007-12-05 20:14 d-------- C:\Program Files\CCleaner 2007-12-05 20:12 . 2007-12-05 20:14 d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy 2007-12-04 22:05 . 2007-12-05 22:50 d-------- C:\Program Files\Google 2007-12-01 17:51 . 2006-11-11 04:45 121,632 -ra------ C:\WINDOWS\system32\lvcoinst.dll 2007-12-01 17:50 . 2003-02-21 13:42 348,160 -ra------ C:\WINDOWS\system\msvcr71.dll 2007-12-01 17:42 . 2007-12-04 21:23 d-------- C:\Program Files\Logitech 2007-12-01 17:42 . 2007-12-01 17:45 d-------- C:\Program Files\Fichiers communs\Logitech 2007-12-01 17:42 . 2007-12-01 17:42 d-------- C:\Documents and Settings\All Users\Application Data\Logitech 2007-12-01 17:41 . 2007-12-01 17:42 d-------- C:\Program Files\Fichiers communs\logishrd 2007-12-01 17:41 . 2004-08-20 00:09 54,784 --a------ C:\WINDOWS\system32\vfwwdm32.dll 2007-12-01 17:41 . 2004-08-20 00:09 54,784 --a--c--- C:\WINDOWS\system32\dllcache\vfwwdm32.dll 2007-11-30 21:08 . 2007-11-30 21:08 d-------- C:\Program Files\Alwil Software 2007-11-26 18:03 . 2007-11-26 18:03 d-------- C:\Program Files\RamBooster 2.0 2007-11-26 18:01 . 2007-11-26 18:01 d-------- C:\Program Files\SpeederXP 2007-11-26 18:01 . 2007-11-26 18:01 37,473 --a------ C:\WINDOWS\system32\muzika.xm 2007-11-16 12:57 . 2007-11-19 00:01 d--hsc--- C:\Program Files\Fichiers communs\WindowsLiveInstaller 2007-11-14 20:10 . 2007-12-05 09:28 d-------- C:\WINDOWS\SxsCaPendDel 2007-11-12 16:46 . 2007-11-12 16:46 d-------- C:\Documents and Settings\Propriétaire\Application Data\Windows Desktop Search 2007-11-12 16:46 . 2007-11-12 16:46 d-------- C:\Documents and Settings\Propriétaire\Application Data\Windows Desktop Search . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2007-12-05 21:54 --------- d-----w C:\Program Files\Windows Desktop Search 2007-12-05 17:01 --------- d-----w C:\Program Files\Elaborate Bytes 2007-12-05 08:28 --------- d-----w C:\Program Files\Club-Internet 2007-12-04 20:40 --------- d-----w C:\Program Files\Windows Live Toolbar 2007-12-04 20:39 --------- d-----w C:\Program Files\Windows Live 2007-12-01 16:54 --------- d-----w C:\Documents and Settings\All Users\Application Data\avg7 2007-12-01 16:46 --------- d--h--w C:\Program Files\InstallShield Installation Information 2007-11-28 15:55 --------- d-----w C:\Documents and Settings\Propriétaire\Application Data\AVG7 2007-11-28 15:55 --------- d-----w C:\Documents and Settings\Propriétaire\Application Data\AVG7 2007-11-18 22:59 --------- d-----w C:\Documents and Settings\All Users\Application Data\WLInstaller 2007-11-16 11:32 --------- d-----w C:\Documents and Settings\LocalService\Application Data\AVG7 2007-10-24 13:52 --------- d-----w C:\Program Files\Weflirt 2007-10-24 13:52 --------- d-----w C:\Documents and Settings\Propriétaire\Application Data\Weflirt 2007-10-24 13:52 --------- d-----w C:\Documents and Settings\Propriétaire\Application Data\Weflirt 2007-10-22 21:27 --------- d-----w C:\Documents and Settings\All Users\Application Data\Ahead 2007-10-18 09:06 156,992 ----a-w C:\WINDOWS\system32\DivXCodecVersionChecker.exe 2007-10-12 00:57 195,096 ----a-w C:\WINDOWS\system32\lvci1150.dll 2007-10-11 21:52 --------- d-----w C:\Program Files\Fichiers communs\xing shared 2007-10-11 21:52 --------- d-----w C:\Program Files\Fichiers communs\Real 2007-10-08 12:37 --------- d-----w C:\Documents and Settings\Propriétaire\Application Data\Motive 2007-10-08 12:37 --------- d-----w C:\Documents and Settings\Propriétaire\Application Data\Motive 2007-10-06 11:34 155,995 ----a-w C:\WINDOWS\Java\Packages\ONZ3PNFL.ZIP 2007-09-28 16:07 129,784 ------w C:\WINDOWS\system32\pxafs.dll 2007-09-28 16:07 120,056 ------w C:\WINDOWS\system32\pxcpyi64.exe 2007-09-28 16:07 118,520 ------w C:\WINDOWS\system32\pxinsi64.exe 2004-11-13 12:17 278,528 ----a-w C:\Program Files\Fichiers communs\FDEUnInstaller.exe 2004-10-07 13:29 0 -csha-w C:\WINDOWS\SMINST\HPCD.sys 2004-11-10 12:16 56 --sh--r C:\WINDOWS\system32\4DD9F6D2DC.sys . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{36490B2D-77CC-4CC2-B6A6-8A16EC550DAB}] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Acme.PCHButton"="C:\PROGRA~1\PRESAR~1\Presario\XPHWWRS4\plugin\bin\pchbutton.exe" [2004-01-01 10:57] "Weflirt"="C:\Program Files\Weflirt\weflirt.exe" [2007-10-12 16:39] "swg"="C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe" [] "SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2007-08-31 16:46] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 00:09] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 02:43] "hpsysdrv"="c:\windows\system\hpsysdrv.exe" [1998-05-07 16:04] "KBD"="C:\HP\KBD\KBD.EXE" [2003-02-11 19:02] "Recguard"="C:\WINDOWS\SMINST\RECGUARD.EXE" [2004-04-14 21:43] "VTTimer"="VTTimer.exe" [] "AGRSMMSG"="AGRSMMSG.exe" [2005-03-04 11:01 C:\WINDOWS\AGRSMMSG.exe] "AlcxMonitor"="ALCXMNTR.EXE" [2003-04-03 20:35 C:\WINDOWS\ALCXMNTR.EXE] "eoWeather"="" [] "EoEngine"="" [] "EoComputer"="" [] "Motive SmartBridge"="C:\PROGRA~1\CLUB-I~1\LECOMP~1\SMARTB~1\MotiveSB.exe" [2006-04-21 14:41] "TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB ealsched.exe" [2007-10-11 22:52] "NvCplDaemon"="RUNDLL32.exe" [2004-08-20 00:10 C:\WINDOWS\system32 undll32.exe] "nwiz"="nwiz.exe" [2004-02-23 21:43 C:\WINDOWS\system32 wiz.exe] "LogitechCommunicationsManager"="C:\Program Files\Fichiers communs\Logitech\LComMgr\Communications_Helper.exe" [2006-10-31 01:03] "LogitechQuickCamRibbon"="C:\Program Files\Logitech\QuickCam10\QuickCam10.exe" [2006-11-15 21:58] "LVCOMSX"="C:\Program Files\Fichiers communs\Logitech\LComMgr\LVComSX.exe" [2006-11-15 22:01] "avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-12-06 22:08] "ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-06-21 21:54] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] "NoIE4StubProcessing"="C:\WINDOWS\system32 eg.exe" [2004-08-20 00:10] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "ALUAlert"="C:\Program Files\Symantec\LiveUpdate\ALUNotify.exe" [] C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\ LE COMPAGNON CLUB.lnk - C:\Program Files\Club-Internet\Le Compagnon Club\bin\matcli.exe [2007-10-06 19:54:07] [hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks] "{56F9679E-7826-4C84-81F3-532071A8BCC5}"= C:\Program Files\Windows Desktop Search\MSNLNamespaceMgr.dll [2007-02-05 15:39 294400] S3 Boonty Games;Boonty Games;"C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe" S3 cel90xbe;cel90xbe;\??\C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\cel90xbe.sys S3 SE2Bbus;Sony Ericsson Device 043 Driver driver (WDM);C:\WINDOWS\system32\DRIVERS\SE2Bbus.sys S3 SE2Bmdfl;Sony Ericsson Device 043 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\SE2Bmdfl.sys S3 SE2Bmdm;Sony Ericsson Device 043 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\SE2Bmdm.sys S3 se2Bnd5;Sony Ericsson Device 043 USB Ethernet Emulation SEMC43 (NDIS);C:\WINDOWS\system32\DRIVERS\se2Bnd5.sys S3 SE2Bobex;Sony Ericsson Device 043 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\SE2Bobex.sys S3 se2Bunic;Sony Ericsson Device 043 USB Ethernet Emulation SEMC43 (WDM);C:\WINDOWS\system32\DRIVERS\se2Bunic.sys S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D] \Shell\AutoRun\command - D:\Info.exe folder.htt 480 480 [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4427e9da-0a72-11d9-acab-806d6172696f}] \Shell\AutoRun\command - D:\Info.exe folder.htt 480 480 *Newly Created Service* - CATCHME *Newly Created Service* - PROCEXP90 . ************************************************************************** catchme 0.3.1318 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-12-07 20:35:01 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** . Completion time: 2007-12-07 20:35:55 . --- E O F --- Malheureusement, j'ai toujours ce "ParisHilton(2)" sur le bureau et encore une alerte spybot qui revien sans cesse. Mais il me semble qu'on en a deja enlevé pas mal. Plus de bug pour l'instant.

Lyonnais92 · Answer

Re,

fais ça :

Clique sur ce lien :
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
pour télécharger navilog1.exe.

Choisis Enregistrer

et enregistre-le sur ton bureau.

Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).

Laisse-toi guider. Au menu principal, choisis 1 et valides.
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)

Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le blocnote va s'ouvrir.
Copie-colle l'intégralité du rapport dans ta réponse. Referme le blocnote.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

on éradiquera à la prochaine étape.

la grande dinde · Answer

Re,
voila le rapport:
Search Navipromo version 3.3.6 commencé le 07/12/2007 à 22:22:39,32

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files
avilog1
Mise à jour le 14.11.2007 à 18h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.13 


*** Recherche Programmes installés ***




*** Recherche dossiers dans C:\WINDOWS ***



*** Recherche dossiers dans C:\Program Files ***



*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




*** Recherche dossiers dans C:\Documents and Settings\Propri‚taire\Application Data ***


*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun fichier trouvé dans :

- C:\WINDOWS\system32
- C:\DOCUME~1\PROPRI~1\LOCALS~1\APPLIC~1



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans C:\WINDOWS\system32 *

* Recherche dans C:\DOCUME~1\PROPRI~1\LOCALS~1\APPLIC~1 *



*** Recherche fichiers *** 




*** Recherche clés spécifiques dans le Registre ***


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:

2)Recherche Heuristique :



3)Recherche Certificats :

Certificat Egroup absent !


*** Analyse terminée le 07/12/2007 à 22:23:22,95 ***

Lyonnais92 · Answer

Re,

navilog était assez inutile.

ParisHilton sur ton bureau, c'est un fichier .zip ?

Il ne veut pas se supprimer ?

Tu peux me donner son nom exact ? il est dans c:\propriétaire\documents and settings\bureau

la grande dinde · Answer

Re,
c'est pas un fichier zip mais une application. Impossible de le supprimer.son nom c'est comme j'ai dit "ParisHilton(2)" et il est bien dans  C:\Documents and Settings\Propriétaire\Bureau.

Lyonnais92 · Answer

Re,

Télécharge OAD http://sosvirus.changelog.fr/OAD.exe
- Enregistre le sur ton bureau

Double clique sur le OAD pour le lancer

- nom de fichier à rechercher tape ou fais un copier coller de : ParisHilton(2)
- Type de recherche : sélectionne l'option 6 puis valide [entree]

OAD va maintenant rechercher le fichier. Laisse le travailler jusqu'à ce qu'il en ai terminé.
Le rapport de recherche s'affichera automatiquement à dès qu'il en aura terminé.

- Fais un copier / coller de ce rapport dans ton prochain post.

Note importante : Suivant la taille des disques dur cette recherche peut prendre plusieurs minutes. Sois patient(e) 

La suite au jour.

la grande dinde · Answer

Salut,
OAD n'a rien trouvé. Je craaaaque!
 08/12/2007 ---- 14:13:49,65  

----------------------------------
§§§§§§ [ParisHilton(2)] §§§§§§
----------------------------------
[X] Registre
 
-------------- [  ] rapide
-- Fichier --- [  ] disque systeme
 ------------- [X] complete


********************
     [Registre] 
********************

Aucune entrée détectée

*******************
     [Fichier] 
*******************

c:\Documents and Settings\Propri‚taire\Bureau\ParisHilton(2).exe


*********************
     [Même date] 
*********************

Aucun fichier créé à la même date détecté


Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§ 
----------------------------------


il me semble qu'on est pas très avancé.
A tu une autre idée?
A si j'ai oublié un truc. AntiVir a détécté 2 virus : "HTML/Exploit.Mhtml dans system Volume Information\_restore" et "Contains detection pattern of the Windows virus W95/Blumbleb dans Windows\system32\ActiveScan\psKavs.dll".
Il me semble que les virus situé dans les fichiers de restauration reviennent constament. doit je désactiver la restauration system?
J'attend ta réponse.

la grande dinde · Answer

Re,
 un des trojan qu'on avait réussi a supprimer a été détecté par antiVir et supprimé. Comment ce fait il qu'il soit revenu?

Lyonnais92 · Answer

Re,

Clique sur ce lien :
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
pour télécharger navilog1.exe.

Choisis Enregistrer

et enregistre-le sur ton bureau.

Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).

Laisse-toi guider. Au menu principal, choisis 1 et valides.
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)

Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le blocnote va s'ouvrir.
Copie-colle l'intégralité du rapport dans ta réponse. Referme le blocnote.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

la grande dinde · Answer

Re 
tu m'a deja fait faire ca et ca n'a rien donné. pourquoi ca marcherai maintenant?

Lyonnais92 · Answer

Re,

Ferme tout tes navigateurs (donc copie ou imprime les instructions avant)

Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

Driver::
cel90xbe 

File::
C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\cel90xbe.sys
c:\Documents and Settings\Propri‚taire\Bureau\ParisHilton(2).exe 
C:\WINDOWS\system32\muzika.xm
C:\WINDOWS\Temp\~dp1.exe

Registry::
[-HKEY_LOCAL_MACHINE\SOFTWARE\Elaborate Bytes]

Enregistre ce fichier sous le nom CFscrïpt

    * 
Fait un glisser/déposer de ce fichier CFscrïpt sur le fichier ComboFix.exe

Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer. 

    * Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

    * Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

    * Une fois le scan achevé, un rapport va s'afficher: poste son contenu.


    * Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

la grande dinde · Answer

Re,
voila le rapport
ComboFix 07-12-09.1 - Propriétaire 2007-12-08 22:42:09.2 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.235 [GMT 1:00]
Running from: C:\Documents and Settings\Propriétaire\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\Propriétaire\Bureau\CFscript.txt
* Created a new restore point

FILE
C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\cel90xbe.sys
c:\Documents and Settings\Propri‚taire\Bureau\ParisHilton(2).exe
C:\WINDOWS\system32\muzika.xm
C:\WINDOWS\Temp\~dp1.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\muzika.xm

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_CEL90XBE
-------\cel90xbe

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-11-09 to 2007-12-09 ))))))))))))))))))))))))))))))))))))
.

2007-12-08 18:09 . 2007-12-08 18:09 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
2007-12-08 18:09 . 2007-05-30 13:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2007-12-07 22:20 . 2007-12-08 20:04 <REP> d-------- C:\Program Files\Navilog1
2007-12-07 00:45 . 2007-12-07 00:45 <REP> d-------- C:\Program Files\Microsoft CAPICOM 2.1.0.2
2007-12-07 00:21 . 2007-12-07 00:21 <REP> d-------- C:\Documents and Settings\All Users\Application Data\MailFrontier
2007-12-07 00:21 . 2007-12-07 00:23 4,212 ---h----- C:\WINDOWS\system32\zllictbl.dat
2007-12-07 00:20 . 2007-12-09 22:50 671,776 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2007-12-07 00:20 . 2007-12-07 00:20 75,932 --a------ C:\WINDOWS\system32\drivers\klick.dat
2007-12-07 00:20 . 2007-06-21 21:54 75,248 --a------ C:\WINDOWS\zllsputility.exe
2007-12-07 00:20 . 2007-12-07 00:20 74,396 --a------ C:\WINDOWS\system32\drivers\klin.dat
2007-12-07 00:20 . 2007-06-21 21:55 54,672 --a------ C:\WINDOWS\system32\vsutil_loc040c.dll
2007-12-07 00:20 . 2007-06-21 21:55 42,384 --a------ C:\WINDOWS\zllsputility_loc040c.dll
2007-12-07 00:20 . 2007-06-21 21:55 21,904 --a------ C:\WINDOWS\system32\imsinstall_loc040c.dll
2007-12-07 00:20 . 2007-06-21 21:55 17,808 --a------ C:\WINDOWS\system32\imslsp_install_loc040c.dll
2007-12-07 00:20 . 2004-04-27 04:40 11,264 --a------ C:\WINDOWS\system32\SpOrder.dll
2007-12-07 00:20 . 2007-12-09 22:49 8,900 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2007-12-07 00:17 . 2007-12-09 22:42 <REP> d-------- C:\WINDOWS\Internet Logs
2007-12-06 22:06 . 2007-12-06 22:06 <REP> d-------- C:\Program Files\Avira
2007-12-06 22:06 . 2007-12-06 22:06 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2007-12-06 01:29 . 2007-12-07 13:49 <REP> d-------- C:\hijackthis
2007-12-06 01:08 . 2007-08-13 18:54 33,792 --a--c--- C:\WINDOWS\system32\dllcache\custsat.dll
2007-12-05 23:16 . 2007-12-05 23:16 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab
2007-12-05 22:39 . 2007-12-05 22:39 <REP> d-------- C:\Documents and Settings\All Users\Application Data\nView_Profiles
2007-12-05 22:22 . 2007-12-08 15:22 <REP> d-------- C:\WINDOWS\system32\ActiveScan
2007-12-05 22:22 . 2007-12-08 15:03 30,590 --a------ C:\WINDOWS\system32\pavas.ico
2007-12-05 22:22 . 2007-12-08 15:03 2,550 --a------ C:\WINDOWS\system32\Uninstall.ico
2007-12-05 22:22 . 2007-12-08 15:03 1,406 --a------ C:\WINDOWS\system32\Help.ico
2007-12-05 21:46 . 2007-12-05 21:46 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Yahoo! Companion
2007-12-05 20:32 . 2004-01-01 10:37 <REP> d-------- C:\Documents and Settings\Administrateur\WINDOWS
2007-12-05 20:32 . 2004-01-01 08:39 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage r‚seau
2007-12-05 20:32 . 2004-01-01 08:39 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression
2007-12-05 20:32 . 2004-07-22 18:14 <REP> d--h----- C:\Documents and Settings\Administrateur\ModŠles
2007-12-05 20:32 . 2007-06-17 09:10 <REP> dr------- C:\Documents and Settings\Administrateur\Mes documents
2007-12-05 20:32 . 2004-07-22 18:14 <REP> dr------- C:\Documents and Settings\Administrateur\Menu D‚marrer
2007-12-05 20:32 . 2004-09-19 20:40 <REP> dr------- C:\Documents and Settings\Administrateur\Favoris
2007-12-05 20:32 . 2004-01-01 08:39 <REP> d-------- C:\Documents and Settings\Administrateur\Bureau
2007-12-05 20:32 . 2004-01-01 11:26 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\SampleView
2007-12-05 20:32 . 2004-01-01 10:28 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Intervideo
2007-12-05 20:13 . 2007-12-05 20:14 <REP> d-------- C:\Program Files\Yahoo!
2007-12-05 20:13 . 2007-12-05 20:14 <REP> d-------- C:\Program Files\CCleaner
2007-12-05 20:12 . 2007-12-05 20:14 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2007-12-04 22:05 . 2007-12-08 15:13 <REP> d-------- C:\Program Files\Google
2007-12-01 17:51 . 2006-11-11 04:45 121,632 -ra------ C:\WINDOWS\system32\lvcoinst.dll
2007-12-01 17:50 . 2003-02-21 13:42 348,160 -ra------ C:\WINDOWS\system\msvcr71.dll
2007-12-01 17:42 . 2007-12-04 21:23 <REP> d-------- C:\Program Files\Logitech
2007-12-01 17:42 . 2007-12-01 17:45 <REP> d-------- C:\Program Files\Fichiers communs\Logitech
2007-12-01 17:42 . 2007-12-01 17:42 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Logitech
2007-12-01 17:41 . 2007-12-01 17:42 <REP> d-------- C:\Program Files\Fichiers communs\logishrd
2007-12-01 17:41 . 2004-08-20 00:09 54,784 --a------ C:\WINDOWS\system32\vfwwdm32.dll
2007-12-01 17:41 . 2004-08-20 00:09 54,784 --a--c--- C:\WINDOWS\system32\dllcache\vfwwdm32.dll
2007-11-30 21:08 . 2007-11-30 21:08 <REP> d-------- C:\Program Files\Alwil Software
2007-11-26 18:03 . 2007-11-26 18:03 <REP> d-------- C:\Program Files\RamBooster 2.0
2007-11-26 18:01 . 2007-11-26 18:01 <REP> d-------- C:\Program Files\SpeederXP
2007-11-16 12:57 . 2007-11-19 00:01 <REP> d--hsc--- C:\Program Files\Fichiers communs\WindowsLiveInstaller
2007-11-14 20:10 . 2007-12-05 09:28 <REP> d-------- C:\WINDOWS\SxsCaPendDel

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-08 14:15 --------- d-----w C:\Program Files\Windows Desktop Search
2007-12-05 17:01 --------- d-----w C:\Program Files\Elaborate Bytes
2007-12-05 08:28 --------- d-----w C:\Program Files\Club-Internet
2007-12-04 20:40 --------- d-----w C:\Program Files\Windows Live Toolbar
2007-12-04 20:39 --------- d-----w C:\Program Files\Windows Live
2007-12-01 16:54 --------- d-----w C:\Documents and Settings\All Users\Application Data\avg7
2007-12-01 16:46 --------- d--h--w C:\Program Files\InstallShield Installation Information
2007-11-18 22:59 --------- d-----w C:\Documents and Settings\All Users\Application Data\WLInstaller
2007-11-16 11:32 --------- d-----w C:\Documents and Settings\LocalService\Application Data\AVG7
2007-10-24 13:52 --------- d-----w C:\Program Files\Weflirt
2007-10-22 21:27 --------- d-----w C:\Documents and Settings\All Users\Application Data\Ahead
2007-10-11 21:52 --------- d-----w C:\Program Files\Fichiers communs\xing shared
2007-10-11 21:52 --------- d-----w C:\Program Files\Fichiers communs\Real
2007-10-06 11:34 155,995 ----a-w C:\WINDOWS\Java\Packages\ONZ3PNFL.ZIP
2004-11-13 12:17 278,528 ----a-w C:\Program Files\Fichiers communs\FDEUnInstaller.exe
2004-10-07 13:29 0 -csha-w C:\WINDOWS\SMINST\HPCD.sys
2004-11-10 12:16 56 --sh--r C:\WINDOWS\system32\4DD9F6D2DC.sys
.

((((((((((((((((((((((((((((( snapshot@2007-12-07_20.35.14,54 )))))))))))))))))))))))))))))))))))))))))
.
- 2007-11-27 02:58:11 140,288 ----a-w C:\WINDOWS\catchme.exe
+ 2007-12-08 02:32:45 141,824 ----a-w C:\WINDOWS\catchme.exe
+ 2007-03-13 09:57:10 163,328 ----a-w C:\WINDOWS\erdnt\subs\ERDNT.EXE
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{36490B2D-77CC-4CC2-B6A6-8A16EC550DAB}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Acme.PCHButton"="C:\PROGRA~1\PRESAR~1\Presario\XPHWWRS4\plugin\bin\pchbutton.exe" [2004-01-01 10:57]
"Weflirt"="C:\Program Files\Weflirt\weflirt.exe" [2007-10-12 16:39]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe" []
"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2007-08-31 16:46]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 00:09]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 02:43]
"hpsysdrv"="c:\windows\system\hpsysdrv.exe" [1998-05-07 16:04]
"KBD"="C:\HP\KBD\KBD.EXE" [2003-02-11 19:02]
"Recguard"="C:\WINDOWS\SMINST\RECGUARD.EXE" [2004-04-14 21:43]
"VTTimer"="VTTimer.exe" []
"AGRSMMSG"="AGRSMMSG.exe" [2005-03-04 11:01 C:\WINDOWS\AGRSMMSG.exe]
"AlcxMonitor"="ALCXMNTR.EXE" [2003-04-03 20:35 C:\WINDOWS\ALCXMNTR.EXE]
"eoWeather"="" []
"EoEngine"="" []
"EoComputer"="" []
"Motive SmartBridge"="C:\PROGRA~1\CLUB-I~1\LECOMP~1\SMARTB~1\MotiveSB.exe" [2006-04-21 14:41]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2007-10-11 22:52]
"NvCplDaemon"="RUNDLL32.exe" [2004-08-20 00:10 C:\WINDOWS\system32\rundll32.exe]
"nwiz"="nwiz.exe" [2004-02-23 21:43 C:\WINDOWS\system32\nwiz.exe]
"LogitechCommunicationsManager"="C:\Program Files\Fichiers communs\Logitech\LComMgr\Communications_Helper.exe" [2006-10-31 01:03]
"LogitechQuickCamRibbon"="C:\Program Files\Logitech\QuickCam10\QuickCam10.exe" [2006-11-15 21:58]
"LVCOMSX"="C:\Program Files\Fichiers communs\Logitech\LComMgr\LVComSX.exe" [2006-11-15 22:01]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-12-06 22:08]
"ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-06-21 21:54]
"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 10:25]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"ALUAlert"="C:\Program Files\Symantec\LiveUpdate\ALUNotify.exe" []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableRegistryTools"= 0 (0x0)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= C:\Program Files\Windows Desktop Search\MSNLNamespaceMgr.dll [2007-02-05 15:39 294400]

S3 Boonty Games;Boonty Games;"C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe"
S3 SE2Bbus;Sony Ericsson Device 043 Driver driver (WDM);C:\WINDOWS\system32\DRIVERS\SE2Bbus.sys
S3 SE2Bmdfl;Sony Ericsson Device 043 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\SE2Bmdfl.sys
S3 SE2Bmdm;Sony Ericsson Device 043 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\SE2Bmdm.sys
S3 se2Bnd5;Sony Ericsson Device 043 USB Ethernet Emulation SEMC43 (NDIS);C:\WINDOWS\system32\DRIVERS\se2Bnd5.sys
S3 SE2Bobex;Sony Ericsson Device 043 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\SE2Bobex.sys
S3 se2Bunic;Sony Ericsson Device 043 USB Ethernet Emulation SEMC43 (WDM);C:\WINDOWS\system32\DRIVERS\se2Bunic.sys
S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys
S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS

*Newly Created Service* - AVGASCLN
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\Explorer.EXE [6.00.2900.3156]
-> C:\Program Files\ArcSoft\PhotoImpression 5\share\pihook.dll
.
**************************************************************************

catchme 0.3.1331 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-09 22:51:13
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-12-09 22:56:53 - machine was rebooted
.
--- E O F ---

ParisHilton2 est toujours impossible supprimer. Désolé. ca doit te soulé toi aussi.
Encore une autre Idée?

Lyonnais92 · Answer

Re,

j'en ai vu d'autre.

Et puis le jour où ça me saoulera trop, j'arrêterai de venir sur le forum lol.

Bon, là, c'est peut être bêtement ma faute.

Fais ça :

Ferme tout tes navigateurs (donc copie ou imprime les instructions avant)

Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :


File::
c:\Documents and Settings\Propriétaire\Bureau\ParisHilton(2).exe


Enregistre ce fichier sous le nom CFscrïpt

*
Fait un glisser/déposer de ce fichier CFscrïpt sur le fichier ComboFix.exe

Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

* Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

* Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

* Une fois le scan achevé, un rapport va s'afficher: 

Dis moi seulement s'il a supprimé Paris-Hilton ou pas.

la grande dinde · Answer

Salut,
cette fois c'est bon il a été supprimé ce parasite.
Une derniere chose. Depuis le debut de ce foutoir, je te l'ai deja dit, j'ai toujours la meme alerte de spybot. c'est apparement une demande de modification de registre pour un truc qui s'appel "NolE4stubprocessing". c'est quoi ce truc qui revien tout le temps?
Cela voudrait il dire que je suis encore infecté par une , voir, des saloperies?

En tout cas merci encore pour ton aide.

la grande dinde · Answer

une chose encore.
Ca fais deux fois que mes reponse son bloqué et qu'on me demande de rentré un code pour prouvé que je n'envoie pas de spam.
C KOI CE DELIRE?

Lyonnais92 · Answer

Re,

Pour ton problème de code, c'est parce que, à ce moment là, tu n'es pas connecté comme membre. Les membres, connectés comme tel, on sait qui sait. En particulier que ce ne sont pas des robots.

Tous les sites qui acceptent que n'importe qui vienne écrire vérifie que c'est bien un être humain et non un robot qui poste ont une procédure de vérification. Demander de confirmer une suite de caractère est une technique très répandue.

Connecte toi et tu n'auras plus ce problème.  (o reconnecte toi, ton FAI a pu te jouer un tour, ça m'arrive).

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier : C:\Program Files\Weflirt\weflirt.exe

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse. 

Remets aussi un rapport hijackthis.

la grande dinde · Answer

Bonjour,
rapport virus total:
Fichier weflirt.exe reçu le 2007.12.09 13:24:35 (CET)Antivirus Version Dernière mise à jour Résultat 
AhnLab-V3 2007.12.8.0 2007.12.07 - 
AntiVir 7.6.0.40 2007.12.07 - 
Authentium 4.93.8 2007.12.08 - 
Avast 4.7.1098.0 2007.12.08 - 
AVG 7.5.0.503 2007.12.09 - 
BitDefender 7.2 2007.12.09 - 
CAT-QuickHeal 9.00 2007.12.08 - 
ClamAV 0.91.2 2007.12.09 - 
DrWeb 4.44.0.09170 2007.12.09 - 
eSafe 7.0.15.0 2007.12.06 - 
eTrust-Vet 31.3.5361 2007.12.08 - 
Ewido 4.0 2007.12.09 - 
FileAdvisor 1 2007.12.09 - 
Fortinet 3.14.0.0 2007.12.09 - 
F-Prot 4.4.2.54 2007.12.08 - 
F-Secure 6.70.13030.0 2007.12.09 - 
Ikarus T3.1.1.12 2007.12.09 - 
Kaspersky 7.0.0.125 2007.12.09 - 
McAfee 5181 2007.12.08 - 
Microsoft 1.3007 2007.12.09 - 
NOD32v2 2711 2007.12.07 - 
Norman 5.80.02 2007.12.07 - 
Panda 9.0.0.4 2007.12.09 - 
Prevx1 V2 2007.12.09 Heuristic: Suspicious Self Modifying File 
Rising 20.21.42.00 2007.12.07 - 
Sophos 4.24.0 2007.12.09 - 
Sunbelt 2.2.907.0 2007.12.07 - 
Symantec 10 2007.12.09 - 
TheHacker 6.2.9.153 2007.12.07 - 
VBA32 3.12.2.5 2007.12.07 - 
VirusBuster 4.3.26:9 2007.12.08 - 
Webwasher-Gateway 6.6.2 2007.12.08 - 
 
Information additionnelle 
File size: 6574080 bytes 
MD5: 3f162d1c3acb21723121aac31821c9ec 
SHA1: 7f9e1957df63935bb86dd436740d009da92dbd31 
PEiD: - 
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=C112CFF0004EDBF550F164248CE0080013FCCDB4 


 rapport hijackthis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:35:14, on 10/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32
vsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Inventel\Gateway\wlancfg.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\windows\system\hpsysdrv.exe
C:\HP\KBD\KBD.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\ALCXMNTR.EXE
C:\PROGRA~1\CLUB-I~1\LECOMP~1\SMARTB~1\MotiveSB.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\Fichiers communs\Logitech\LComMgr\Communications_Helper.exe
C:\Program Files\Logitech\QuickCam10\QuickCam10.exe
C:\Program Files\Fichiers communs\Logitech\LComMgr\LVComSX.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32undll32.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\PROGRA~1\PRESAR~1\Presario\XPHWWRS4\plugin\bin\pchbutton.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Desktop Search\WindowsSearch.exe
C:\Program Files\Club-Internet\Le Compagnon Club\bin\mpbtn.exe
C:\Program Files\Fichiers communs\Logishrd\LQCVFX\COCIManager.exe
C:\Program Files\internet explorer\iexplore.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file)
R3 - URLSearchHook: (no name) - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: (no name) - {36490B2D-77CC-4CC2-B6A6-8A16EC550DAB} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\CLUB-I~1\LECOMP~1\SMARTB~1\MotiveSB.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Fichiers communs\Logitech\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\QuickCam10\QuickCam10.exe" /hide
O4 - HKLM\..\Run: [LVCOMSX] "C:\Program Files\Fichiers communs\Logitech\LComMgr\LVComSX.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\RunOnce: [NoIE4StubProcessing] C:\WINDOWS\system32eg.exe DELETE "HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components" /v "NoIE4StubProcessing" /f
O4 - HKCU\..\Run: [Acme.PCHButton] C:\PROGRA~1\PRESAR~1\Presario\XPHWWRS4\plugin\bin\pchbutton.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [ALUAlert] C:\Program Files\Symantec\LiveUpdate\ALUNotify.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [ALUAlert] C:\Program Files\Symantec\LiveUpdate\ALUNotify.exe (User 'Default user')
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: LE COMPAGNON CLUB.lnk = C:\Program Files\Club-Internet\Le Compagnon Club\bin\matcli.exe
O4 - Global Startup: Pense-bête.lnk = C:\Program Files\Broderbund\PrintMaster\PMREMIND.EXE
O4 - Global Startup: Windows Desktop Search.lnk = C:\Program Files\Windows Desktop Search\WindowsSearch.exe
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5308E02B-4ABA-48E4-AA9E-8A7693661473} (GameCtl Class) - http://jeuxenligne.orange.fr/GisActiveX/Ax/GameAx.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game04.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {C9E17F58-564C-41C6-989F-AB0FE0D2C9D1} (PopcapLoader Object) - http://jeuxenligne.orange.fr/orange2.0/OnlineHSS/zuma/Popcap.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Fichiers communs\Logitech\SrvLnch\SrvLnch.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Service de lancement de WlanCfg (Wlancfg) - Inventel - C:\Program Files\Inventel\Gateway\wlancfg.exe

Lyonnais92 · Answer

Re,

il ne dois plus y avoir garnd chose.

Mais ce Weflirt, c'est quoi ? tu l'as installé ? tu t'en sers ?

la grande dinde · Answer

Bonsoir,
Comme je l'ai dit dans mon premier post, ce PC n'est pas a moi mais a mon ptit frère, qui apparement, aime un peu trop  les sites de cul,vu toute les merdes qu'il a chopé. 
En ce qui concerne ce Weflirt j'ai pas cherché a comprendre et je l'ai supprimé.
Si tu pense que le pc est sain je vais lui rendre rapido et passer a autre chose.
J'attendrai ton avis .
En tout cas t'est vraiment simpa de m'avoir aidé. en plus j'ai encore appris pas mal de chose sur la désinfection . J'aimerai, un jour, pouvoir aider les mec en gualère comme moi.
@+

Lyonnais92 · Answer

Bonjour,

on ne doit plus être très loin de la fin.

remets un rapport Combofix;

la grande dinde · Answer

Bonsoir,
j'ai rendu son Pc a mon frère. Il en pouvait plus d'attendre. Je l'ai prévenu qu'il pouvait encore y avoir des menaces. a priori il s'en fou(ca fait plaisir de rendre service a ce ptit con). Enfin bref, je lui ai fait un topo sur les choses à faire et a ne pas faire pour éviter les infections.
style: ne pas cliquer sur nimporte quoi(photos de cul, principalement), ne pas allé sur les sites porno(ca va etre très dur), eviter le P2P(encore plus dur)...
Merci encore pour tout et de toute façon si ya encore un souci vous aurez de mes nouvelles.
@++

Lyonnais92 · Answer

Re,

quel age il a le frérot ?

la grande dinde · Answer

Salut,
bin il a 18ans

Lyonnais92 · Answer

salut,

bon bon bon,

tu lui diras de ma part :

- quand on est capable de trouver les sites de cul et le P2P, on est capable de d'aller sur un forum demander de l'aide pour se faire désinfecter, tout seul comme un grand

- tu lui diras aussi que à partir d'un certain stade d'infection, plus rien ne marche et que "formattes" est la seule solution

- tu ajouteras que là où il mets sa souris, c'est là que l'on trouve les bestioles les plus dangereuses du Net, là aussi, le formatage est parfois la seule solution.

Comme je sens que ça ne va pas lui plaire, tu peux dire que je l'avais prévu et qu'il a qu'à fouiller un peu sur le Net pour voir si je dis des conneries.

Pour toi, si tu veux venir nous rejoindre et apprendre, tu seras la bienvenue (voir mon site dans mon profil).

GROSSE infection! help me!

30 réponses

Votre réponse

Discussions similaires

Newsletters