help: pc lourdement infecté

Question

Bonjour,

Mon pac semble trés infecté, il rame énormémement et je ne sais vraiment pas quoi faire... J'ai fait un combofix dont voici le rapport, je ne sais pas si ça vous sera utile. Alors si quelqu'un aurait la getillesse de m'aider, ce serait vraiment trés sympa sachant que je travaille beaucoup avec mon pc.

merci d'avance

ComboFix 07-12-21.4 - Benjamin 2007-12-26 15:57:12.16 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.1.1252.1.1036.18.159 [GMT 1:00]
Running from: C:\Documents and Settings\Benjamin\Bureau\ComboFix.exe
* Created a new restore point
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\4_exception.nls
C:\WINDOWS\system32\ddcdd.dll
C:\WINDOWS\system32\ddcdd.ini
C:\WINDOWS\system32\ddcdd.ini2
C:\WINDOWS\system32\wvuvurp.dll
C:\WINDOWS\system32\xxywwut.dll
C:\WINDOWS\TEMP\233593.exe

.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-11-26 to 2007-12-26 ))))))))))))))))))))))))))))))))))))
.

2007-12-26 16:06 . 2007-12-26 16:06 331,776 --------- C:\WINDOWS\system32\ddcdd.dll
2007-12-26 16:06 . 2007-12-26 16:06 37,376 --a------ C:\WINDOWS\system32\iifccby.dll
2007-12-26 16:06 . 2007-12-26 16:06 0 --a------ C:\WINDOWS\system32\5_exception.nls
2007-12-26 15:50 . 2007-12-26 15:50 335,360 --a------ C:\WINDOWS\system32\RCX21.tmp
2007-12-26 15:49 . 2007-12-26 15:49 34,816 --ah----- C:\WINDOWS\system32\bdhp.exe
2007-12-26 15:49 . 2007-12-26 15:49 7,928 --ah----- C:\WINDOWS\system32\wztcn.exe
2007-12-26 12:07 . 2007-12-26 16:05 335,360 --a------ C:\WINDOWS\system32\ddcdd.exe
2007-12-26 00:43 . 2007-07-30 19:19 549,720 --a------ C:\WINDOWS\system32\wuapi.dll
2007-12-26 00:43 . 2007-07-30 19:19 325,976 --a------ C:\WINDOWS\system32\wucltui.dll
2007-12-26 00:43 . 2007-07-30 19:19 216,408 --a------ C:\WINDOWS\system32\wuaucpl.cpl
2007-12-26 00:43 . 2007-07-30 19:19 203,096 --a------ C:\WINDOWS\system32\wuweb.dll
2007-12-26 00:43 . 2004-08-03 14:00 187,160 --a------ C:\WINDOWS\system32\wuaueng1.dll
2007-12-26 00:43 . 2004-08-03 13:59 170,776 --a------ C:\WINDOWS\system32\wuauclt1.exe
2007-12-26 00:43 . 2007-07-30 19:18 33,624 --a------ C:\WINDOWS\system32\wups.dll
2007-12-25 00:54 . 2007-12-26 16:06 66,055 --a------ C:\WINDOWS\system32\lssas .exe
2007-12-23 18:22 . 2007-12-23 18:22 66,055 --a------ C:\WINDOWS\system32\oieo .exe
2007-12-23 18:22 . 2007-12-23 18:22 62,464 --ah----- C:\WINDOWS\system32\ftjei.exe
2007-12-23 18:22 . 2007-12-23 18:22 38,048 --ah----- C:\WINDOWS\system32\waoe.exe
2007-12-23 18:22 . 2007-12-23 18:22 118 --a------ C:\WINDOWS\system32\zkchh.bat
2007-12-23 18:21 . 2007-12-23 18:21 66,055 --a------ C:\WINDOWS\system32\jkkr .exe
2007-12-23 18:20 . 2007-12-25 21:28 406,016 --ah----- C:\WINDOWS\system32\oieo.exe
2007-12-23 18:20 . 2007-12-23 18:20 24,616 --ah----- C:\WINDOWS\system32\muhyrpnh.exe
2007-12-23 17:40 . 2007-12-26 14:48 <REP> d-------- C:\Program Files\Fichiers communs\Symantec Shared
2007-12-23 17:38 . 2007-12-26 16:05 <REP> d-------- C:\Program Files\Spyware Doctor
2007-12-23 17:38 . 2007-12-26 11:58 <REP> d-------- C:\Program Files\Norton Security Scan
2007-12-23 17:38 . 2007-12-23 17:38 <REP> d-------- C:\Documents and Settings\Benjamin\Application Data\PC Tools
2007-12-23 17:38 . 2007-12-26 16:06 <REP> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP
2007-12-23 17:38 . 2005-09-23 07:29 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll
2007-12-23 17:38 . 2007-10-04 17:10 79,688 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2007-12-23 17:38 . 2007-10-04 17:10 62,280 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2007-12-23 17:38 . 2007-10-04 17:10 41,288 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2007-12-23 17:38 . 2007-10-04 17:11 29,000 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2007-12-23 17:37 . 2007-12-26 12:06 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Google Updater
2007-12-23 17:34 . 2007-12-23 17:34 32,456 --a------ C:\WINDOWS\system32\jncuorqa.exe
2007-12-23 17:22 . 2007-12-23 17:22 32,456 --a------ C:\WINDOWS\system32\zupso.exe
2007-12-23 15:37 . 2007-12-23 15:37 32,456 --a------ C:\WINDOWS\system32\wjkdv.exe
2007-12-23 15:33 . 2007-12-23 15:33 32,456 --a------ C:\WINDOWS\system32\stbqcoey.exe
2007-12-23 15:15 . 2007-12-23 15:15 32,456 --a------ C:\WINDOWS\system32\ofbep.exe
2007-12-23 15:11 . 2007-12-23 15:11 32,456 --a------ C:\WINDOWS\system32\jenxdms.exe
2007-12-23 15:06 . 2007-12-23 15:06 32,456 --a------ C:\WINDOWS\system32\jpaxbkv.exe
2007-12-23 00:57 . 2007-12-23 00:57 32,456 --a------ C:\WINDOWS\system32\xvhhro.exe
2007-12-21 20:14 . 2007-12-21 20:14 32,456 --a------ C:\WINDOWS\system32\cbwyr.exe
2007-12-21 12:01 . 2007-12-21 12:01 32,456 --a------ C:\WINDOWS\system32\kwpdf.exe
2007-12-21 11:59 . 2007-12-21 11:59 32,456 --a------ C:\WINDOWS\system32\atush.exe
2007-12-21 08:51 . 2007-12-21 08:51 32,456 --a------ C:\WINDOWS\system32\nietiu.exe
2007-12-20 22:44 . 2007-12-20 22:44 32,456 --a------ C:\WINDOWS\system32\bggh.exe
2007-12-20 16:19 . 2007-12-20 16:19 32,456 --a------ C:\WINDOWS\system32\yxaiye.exe
2007-12-20 12:42 . 2007-12-20 12:42 4,033 --a------ C:\WINDOWS\system32\ixalgeq.exe
2007-12-20 09:34 . 2007-12-20 09:34 32,456 --a------ C:\WINDOWS\system32\cbyjlbl.exe
2007-12-20 01:08 . 2007-12-20 01:08 32,456 --a------ C:\WINDOWS\system32\nxdosv.exe
2007-12-20 01:07 . 2007-12-20 01:07 32,456 --a------ C:\WINDOWS\system32\ggohnxzg.exe
2007-12-19 17:45 . 2007-12-19 17:45 32,456 --a------ C:\WINDOWS\system32\beon.exe
2007-12-19 17:44 . 2007-12-19 17:44 32,456 --a------ C:\WINDOWS\system32\ojnuiof.exe
2007-12-19 16:49 . 2007-12-19 16:49 32,456 --a------ C:\WINDOWS\system32\mglhxmyr.exe
2007-12-19 16:48 . 2007-12-19 16:48 32,456 --a------ C:\WINDOWS\system32\ptzoiy.exe
2007-12-19 16:44 . 2007-12-19 16:44 32,456 --a------ C:\WINDOWS\system32\ypyi.exe
2007-12-19 16:44 . 2007-12-19 16:44 32,456 --a------ C:\WINDOWS\system32\opvpobwe.exe
2007-12-19 16:42 . 2007-12-19 16:42 0 --ah----- C:\WINDOWS\system32\giznwa.exe
2007-12-19 15:08 . 2007-12-19 15:08 32,456 --a------ C:\WINDOWS\system32\aymdg.exe
2007-12-19 15:07 . 2007-12-19 15:07 76,540 --a------ C:\WINDOWS\system32\xbpe.exe
2007-12-19 15:07 . 2007-12-19 15:07 32,456 --a------ C:\WINDOWS\system32\tcmauz.exe
2007-12-19 15:07 . 2007-12-19 15:07 32,456 --a------ C:\WINDOWS\system32\fkwf.exe
2007-12-19 15:07 . 2007-12-19 15:07 114 --a------ C:\WINDOWS\system32\wheb.bat
2007-12-19 09:56 . 2007-12-26 16:04 21,760 --a------ C:\WINDOWS\Qvb40.sys
2007-12-19 09:42 . 2007-12-19 09:42 32,456 --a------ C:\WINDOWS\system32\vanmzja.exe
2007-12-19 09:28 . 2007-12-19 09:28 32,456 --a------ C:\WINDOWS\system32\miear.exe
2007-12-19 09:28 . 2007-12-19 09:28 32,456 --a------ C:\WINDOWS\system32\heppjcbe.exe
2007-12-19 09:26 . 2007-12-19 09:26 32,456 --a------ C:\WINDOWS\system32\wtheivsm.exe
2007-12-19 00:30 . 2007-12-19 00:30 32,456 --a------ C:\WINDOWS\system32\lgzrs.exe
2007-12-19 00:30 . 2007-12-19 00:30 32,456 --a------ C:\WINDOWS\system32\fwjqa.exe
2007-12-19 00:25 . 2007-12-19 00:25 32,456 --a------ C:\WINDOWS\system32\lluxki.exe
2007-12-19 00:25 . 2007-12-19 00:25 32,456 --a------ C:\WINDOWS\system32\gxoumd.exe
2007-12-19 00:22 . 2007-12-19 16:48 548,510 --a------ C:\WINDOWS\Britney_Spears_jpg.zip
2007-12-19 00:22 . 2007-12-19 16:51 40,960 --a------ C:\6i2n4r9g1l2.exe
2007-12-19 00:19 . 2007-12-19 00:19 32,456 --a------ C:\WINDOWS\system32\auzrfnm.exe
2007-12-19 00:14 . 2007-12-19 00:14 1,460 --ah----- C:\WINDOWS\system32\jrahnth.exe
2007-12-17 11:41 . 2007-12-26 15:43 143 --a------ C:\WINDOWS\system32\mcrh.tmp
2007-12-17 11:40 . 2007-12-19 00:24 21,760 --a------ C:\WINDOWS\system32\drivers\Qvb40.sys
2007-12-15 15:48 . 2007-12-23 18:08 <REP> d--hs---- C:\WINDOWS\QmVuamk
2007-12-15 15:47 . 2007-12-25 21:14 <REP> d-------- C:\WINDOWS\system32\rey2
2007-12-15 15:47 . 2007-12-17 14:16 <REP> d-------- C:\WINDOWS\system32\ref1
2007-12-15 15:47 . 2007-12-25 22:04 <REP> d-------- C:\WINDOWS\system32\ineWc01
2007-12-15 15:47 . 2007-12-15 15:48 <REP> d-------- C:\Temp\tpBe12
2007-12-15 15:47 . 2007-12-20 10:00 <REP> d-------- C:\Temp
2007-12-15 10:38 . 2007-12-17 13:22 952,752 ---hs---- C:\WINDOWS\system32\mqkbjiqt.ini
2007-12-14 14:18 . 2007-12-15 09:22 941,585 ---hs---- C:\WINDOWS\system32\aculifcu.ini
2007-12-13 11:46 . 2007-12-13 11:46 929,496 ---hs---- C:\WINDOWS\system32\shfimyre.ini
2007-12-12 11:56 . 2007-12-12 11:56 66,055 --ah----- C:\WINDOWS\system32\swbz.exe
2007-12-12 11:45 . 2007-12-13 08:37 913,965 ---hs---- C:\WINDOWS\system32\gewofray.ini
2007-12-12 01:59 . 2007-12-12 01:59 127 --a------ C:\WINDOWS\system32\ftyig.bat
2007-12-11 21:36 . 2007-12-12 01:59 913,442 ---hs---- C:\WINDOWS\system32\glncpxjj.ini
2007-12-11 17:35 . 2007-12-11 17:35 <REP> d-------- C:\Program Files\Lavasoft
2007-12-11 17:35 . 2007-12-11 17:35 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft
2007-12-11 17:34 . 2007-12-11 17:34 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
2007-12-11 11:01 . 2007-12-11 11:01 148 --a------ C:\WINDOWS\wininit.ini
2007-12-10 19:32 . 2007-12-11 21:33 897,204 ---hs---- C:\WINDOWS\system32\nakguggi.ini
2007-12-10 10:11 . 2007-12-10 10:11 66,055 --ah----- C:\WINDOWS\system32\jpxbfwr.exe
2007-12-10 09:35 . 2007-02-09 10:26 184,320 --a------ C:\WINDOWS\system32\delnext.exe
2007-12-10 09:35 . 2005-03-11 04:29 82,188 --a------ C:\WINDOWS\system32\zip.exe
2007-12-09 23:01 . 2007-12-09 23:01 <REP> d-------- C:\Documents and Settings\Benjamin\Application Data\Grisoft

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-26 15:09 --------- d-----w C:\Documents and Settings\Benjamin\Application Data\utorrent
2007-12-26 15:05 406,016 ----a-w C:\WINDOWS\system32\lssas.exe
2007-12-26 15:05 --------- d-----w C:\Program Files\uTorrent
2007-12-26 14:51 65,024 ------w C:\WINDOWS\bukmon.exe
2007-12-26 14:37 --------- d-----w C:\Program Files\QuickTime
2007-12-23 16:37 --------- d-----w C:\Program Files\Google
2007-12-19 15:48 44,032 ----a-w C:\WINDOWS\system32\ftp.exe
2007-12-19 15:48 17,920 ----a-w C:\WINDOWS\system32\tftp.exe
2007-12-12 16:08 --------- d--h--w C:\Program Files\InstallShield Installation Information
2007-12-12 16:08 --------- d-----w C:\Program Files\EA GAMES
2007-12-12 16:05 --------- d-----w C:\Program Files\GameSpy Arcade
2007-12-06 15:30 135,168 ----a-w C:\WINDOWS\system32\sfc_os.dll
2007-12-05 15:28 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2007-12-05 15:26 107,832 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2007-11-23 09:11 --------- d-----w C:\Program Files\Fichiers communs\Ulead Systems
2007-11-23 09:11 --------- d-----w C:\Documents and Settings\All Users\Application Data\Ulead Systems
2007-11-23 09:08 --------- d-----w C:\Program Files\CyberLink
2007-11-19 08:09 --------- d-----w C:\Documents and Settings\Benjamin\Application Data\BSplayer Pro
2007-11-16 16:08 685,816 ----a-w C:\WINDOWS\system32\drivers\sptd.sys
2007-09-30 20:01 66,872 ----a-w C:\WINDOWS\system32\PnkBstrA.exe
2007-04-12 14:50 44,912 ----a-w C:\Documents and Settings\Benjamin\Application Data\GDIPFONTCACHEV1.DAT
2007-02-07 20:56 645,670 ----a-w C:\Program Files\uTorrent-1.6-install.exe
2006-12-17 09:53 16,277,288 ----a-w C:\Program Files\Install_Messenger.exe
2005-05-19 17:25 56 --sh--r C:\WINDOWS\system32\E6766994AD.sys
2006-08-20 20:17 848 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((((((((((((((((((( AWF ))))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
----a-w 617,984 2002-12-06 14:07:48 C:\Program Files\ASUS\Probe\bak\AsusProb.exe

----a-w 180,269 2005-05-19 17:29:37 C:\Program Files\Fichiers communs\Real\Update_OB\bak\realsched.exe

----a-w 81,920 2004-05-28 03:50:20 C:\Program Files\Fichiers communs\Ulead Systems\DVD\bak\USISrv.exe

----a-w 122,368 2006-08-20 20:10:22 C:\Program Files\Google\Google Desktop Search\bak\GoogleDesktop.exe

----a-w 49,152 2004-09-13 13:49:00 C:\Program Files\HP\HP Software Update\bak\HPWuSchd2.exe
----a-w 49,152 2006-02-19 00:41:10 C:\Program Files\HP\HP Software Update\hpwuSchd2.exe

----a-w 892,928 2003-12-01 09:38:16 C:\Program Files\Logitech\iTouch\bak\iTouch.exe

----a-w 269,104 2006-06-29 23:54:45 C:\Program Files\Microsoft LifeCam\bak\LifeExp.exe

----a-w 12,288 2003-04-02 02:20:37 C:\Program Files\Winamp\bak\Winampa.exe

----a-w 707,376 2006-06-29 23:42:59 C:\WINDOWS\bak\vVX1000.exe

----a-w 155,648 2001-07-09 09:50:42 C:\WINDOWS\system32\bak\NeroCheck.exe

.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Google Desktop Search"="C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" []
"µTorrent"="C:\Program Files\utorrent\utorrent.exe" [2007-12-26 16:05]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" [2007-12-26 16:05]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-12-26 16:05]
"DAEMON Tools"="F:\daemon tools\daemon.exe" [2007-09-18 15:16]
"Fgrkoel"="C:\Documents and Settings\Benjamin\Application Data\?racle\?ti2evxx.exe" []
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2007-12-26 16:05]
"Aaaa"="C:\DOCUME~1\Benjamin\APPLIC~1\RACLE~1\dexplore.exe" []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Logitech Utility"="Logi_MwX.Exe" [2003-11-07 10:50 C:\WINDOWS\LOGI_MWX.EXE]
"Babylon Client"="C:\Program Files\Babylon\Babylon-Pro\Babylon.exe" []
"NeroFilterCheck"="C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2007-12-26 16:05]
"QuickTime Task"="C:\Program Files\QuickTime\qttask .exe" []
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-12-26 16:05]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-12-26 16:05]
"Windows Network Firewall"="C:\WINDOWS\System32\firewall.exe" []
"SDTray"="C:\Program Files\Spyware Doctor\SDTrayApp.exe" [2007-12-26 16:05]
"Local Security Authority Service"="C:\WINDOWS\System32\lssas.exe" [2007-12-26 16:05]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2002-08-29 12:45]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{7A5565EF-A594-46E4-AF56-FE71AEAFD7D5}"= C:\WINDOWS\System32\iifccby.dll [2007-12-26 16:06 37376]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\iifccby]
iifccby.dll 2007-12-26 16:06 37376 C:\WINDOWS\system32\iifccby.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\qommnlj]
qommnlj.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 C:\\WINDOWS\\System32\\ddcdd

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice]
@=""

R0 Qvb40;Qvb40;C:\WINDOWS\System32\Drivers\Qvb40.sys [2007-12-19 00:24]
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2007-08-09 13:04]
R1 fwdrv;Firewall Driver;C:\WINDOWS\System32\drivers\fwdrv.sys [2007-04-26 10:21]
R1 khips;Kerio HIPS Driver;C:\WINDOWS\System32\drivers\khips.sys [2007-04-26 10:21]
R2 MSCamSvc;MSCamSvc;"C:\Program Files\Microsoft LifeCam\MSCamSvc.exe" [2006-06-30 00:54]
R2 SMTPSVC;Simple Mail Transfer Protocol (SMTP);C:\WINDOWS\System32\inetsrv\inetinfo.exe [2001-08-28 15:00]
R2 SPF4;Sunbelt Personal Firewall 4;"C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe" [2007-04-26 10:21]
S2 Microsoft register shield;Microsoft register shield;"C:\WINDOWS\Mrshield.exe" []
S3 Brndis;External USB Cable Modem;C:\WINDOWS\System32\DRIVERS\Brndis.sys [2004-02-06 05:44]
S3 VX1000;VX-1000;C:\WINDOWS\System32\DRIVERS\VX1000.sys [2006-06-30 00:42]

.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2007-12-26 15:00:01 C:\WINDOWS\Tasks\HPpromotions journeysoftware.job"
"2007-12-23 16:38:14 C:\WINDOWS\Tasks\Norton Security Scan.job"
- C:\Program Files\Norton Security Scan\Nss.exe
.
**************************************************************************

catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-26 16:06:35
Windows 5.1.2600 Service Pack 1 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\lsass.exe [5.01.2600.1106]
-> C:\Program Files\Google\Google Desktop Search\GoogleDesktopNetwork1.dll

PROCESS: C:\WINDOWS\Explorer.EXE [6.00.2800.1106]
-> C:\WINDOWS\System32\ddcdd.dll
-> C:\Program Files\Google\Google Desktop Search\GoogleDesktopNetwork1.dll
-> C:\WINDOWS\System32\iifccby.dll
.
Completion time: 2007-12-26 16:16:24 - machine was rebooted

Afficher la suite

FillPCA · Answer

Salut,
Peux-tu éditer un rapport Hijackthis ?
http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe
Démo en image
http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm


Fais un scan et poste l'analyse.

FillPCA

sophie · Answer

salut voici le rapport Hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:22:02, on 26/12/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\EPSON\ESM2\eEBSVC.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Microsoft LifeCam\MSCamSvc.exe
C:\WINDOWS\System32\PnkBstrA.exe
C:\WINDOWS\System32\PnkBstrB.exe
C:\Program Files\Spyware Doctor\svcntaux.exe
C:\Program Files\Spyware Doctor\swdsvc.exe
C:\WINDOWS\System32	cpsvcs.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Spyware Doctor\SDTrayApp .exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\utorrent\utorrent .exe
C:\WINDOWS\System32\lssas.exe
F:\daemon tools\daemon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
E:\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Babylon Client] C:\Program Files\Babylon\Babylon-Pro\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask .exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Windows Network Firewall] C:\WINDOWS\System32\firewall.exe
O4 - HKLM\..\Run: [SDTray] "C:\Program Files\Spyware Doctor\SDTrayApp.exe"
O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\System32\lssas.exe
O4 - HKCU\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKCU\..\Run: [µTorrent] "C:\Program Files\utorrent\utorrent.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [DAEMON Tools] "F:\daemon tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [Fgrkoel] "C:\Documents and Settings\Benjamin\Application Data\?racle\?ti2evxx.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Aaaa] "C:\DOCUME~1\Benjamin\APPLIC~1\RACLE~1\dexplore.exe" -vt ndrv
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: Rappels du Calendrier Microsoft Works.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=https://www.google.fr/?gws_rd=ssl
O15 - Trusted Zone: *.avsystemcare.com
O15 - Trusted Zone: *.gomyhit.com
O15 - Trusted Zone: *.safetydownload.com
O15 - Trusted Zone: *.trustedantivirus.com
O15 - Trusted Zone: *.avsystemcare.com (HKLM)
O15 - Trusted Zone: *.gomyhit.com (HKLM)
O15 - Trusted Zone: *.safetydownload.com (HKLM)
O15 - Trusted Zone: *.trustedantivirus.com (HKLM)
O16 - DPF: {50BD5CDA-4BA8-4048-8FAA-763F222E41D8} - ms-its:mhtml:file://c:\nores.mht!http://adxrnet.net/code/chm/xpre.chm::/xpreload.ocx
O20 - Winlogon Notify: iifccby - C:\WINDOWS\SYSTEM32\iifccby.dll
O20 - Winlogon Notify: qommnlj - qommnlj.dll (file missing)
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Program Files\EPSON\ESM2\eEBSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Unknown owner - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe (file missing)
O23 - Service: Microsoft register shield - Unknown owner - C:\WINDOWS\Mrshield.exe (file missing)
O23 - Service: NBService - Unknown owner - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\System32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\System32\PnkBstrB.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\swdsvc.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Unknown owner - C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindService.exe (file missing)

FillPCA · Answer

Re,

Oula ! Y a du boulot.

Avant d'entamer, tu as le sp1. C'est un choix de ta part, ou ton windows est...exotique ?

Kerio est installé sur ta machine mais ne figure pas au démarrage. Pourquoi ? Kerio est-il actif ?

FillPCA

sophie · Answer

Alors je ne sais pas ce qu'est le sp1...je ne suis vraimernt pas douée! quant à kerio il est actif.

FillPCA · Answer

Re,

Tu n'as pas répondu à question concernant windows. Et Kerio est installé, mais il ne se lance pas au démarrage. Tu es obligé de le lancer manuellement ?

FillPCA

sophie · Answer

je ne sais pas si mon windows est exotique, pourquoi dis tu ça?  sinon kerio se lance automatiquement, je n'ai pas de probleme.

FillPCA · Answer

Re,

Ton windows est-il légal ou a-t-il été installé par quelqu'un d'autre ?

Télécharge FindAWF (de Noahdfear) : http://noahdfear.net/downloads/FindAWF.exe

Sauvegarde le fichier sur ton Bureau.
Double-clique sur l'icône FindAWF. Appuie sur une touche pour poursuivre le lancement de l'outil.

Si une alerte de sécurité apparait, autorise le programme à s'exécuter.
Comme indiqué, presse une touche pour continuer.
Choisis l'option suivante : Press 1 then Enter to scan for bak folders
Le scan peut prendre un peu de temps, donc soit patient.

Quand il a fini, un rapport Find AWF report est généré.
Poste ce rapport Find AWF report dans ta prochaine réponse.

FillPCA

sophie · Answer

Mon windows a malheureusement été installé par quelqu'un d'autre...

voilà le rapport AWF

Find AWF report by noahdfear ©2006
Version 1.40

bak folders found
~~~~~~~~~~~

Le volume dans le lecteur C s'appelle Win XP Pro
Le num‚ro de s‚rie du volume est 3CD8-C4A9

R‚pertoire de C:\WINDOWS\BAK

07/02/2007 10:43 <REP> .
07/02/2007 10:43 <REP> ..
30/06/2006 00:42 707ÿ376 vVX1000.exe
1 fichier(s) 707ÿ376 octets
2 R‚p(s) 8ÿ856ÿ481ÿ792 octets libres
Le volume dans le lecteur C s'appelle Win XP Pro
Le num‚ro de s‚rie du volume est 3CD8-C4A9

R‚pertoire de C:\PROGRA~1\MESSEN~1\BAK

07/02/2007 10:43 <REP> .
07/02/2007 10:43 <REP> ..
0 fichier(s) 0 octets
2 R‚p(s) 8ÿ856ÿ481ÿ792 octets libres
Le volume dans le lecteur C s'appelle Win XP Pro
Le num‚ro de s‚rie du volume est 3CD8-C4A9

R‚pertoire de C:\PROGRA~1\MI6669~1\BAK

07/02/2007 10:43 <REP> .
07/02/2007 10:43 <REP> ..
30/06/2006 00:54 269ÿ104 LifeExp.exe
1 fichier(s) 269ÿ104 octets
2 R‚p(s) 8ÿ856ÿ477ÿ696 octets libres
Le volume dans le lecteur C s'appelle Win XP Pro
Le num‚ro de s‚rie du volume est 3CD8-C4A9

R‚pertoire de C:\PROGRA~1\WINAMP\BAK

07/02/2007 10:43 <REP> .
07/02/2007 10:43 <REP> ..
02/04/2003 03:20 12ÿ288 Winampa.exe
1 fichier(s) 12ÿ288 octets
2 R‚p(s) 8ÿ856ÿ477ÿ696 octets libres
Le volume dans le lecteur C s'appelle Win XP Pro
Le num‚ro de s‚rie du volume est 3CD8-C4A9

R‚pertoire de C:\WINDOWS\SYSTEM32\BAK

16/10/2007 17:06 <REP> .
16/10/2007 17:06 <REP> ..
09/07/2001 10:50 155ÿ648 NeroCheck.exe
1 fichier(s) 155ÿ648 octets
2 R‚p(s) 8ÿ856ÿ477ÿ696 octets libres
Le volume dans le lecteur C s'appelle Win XP Pro
Le num‚ro de s‚rie du volume est 3CD8-C4A9

R‚pertoire de C:\PROGRA~1\ASUS\PROBE\BAK

07/02/2007 10:43 <REP> .
07/02/2007 10:43 <REP> ..
06/12/2002 15:07 617ÿ984 AsusProb.exe
1 fichier(s) 617ÿ984 octets
2 R‚p(s) 8ÿ856ÿ477ÿ696 octets libres
Le volume dans le lecteur C s'appelle Win XP Pro
Le num‚ro de s‚rie du volume est 3CD8-C4A9

R‚pertoire de C:\PROGRA~1\GOOGLE\GOOGLE~1\BAK

07/02/2007 10:43 <REP> .
07/02/2007 10:43 <REP> ..
20/08/2006 21:10 122ÿ368 GoogleDesktop.exe
1 fichier(s) 122ÿ368 octets
2 R‚p(s) 8ÿ856ÿ477ÿ696 octets libres
Le volume dans le lecteur C s'appelle Win XP Pro
Le num‚ro de s‚rie du volume est 3CD8-C4A9

R‚pertoire de C:\PROGRA~1\HP\HPSOFT~1\BAK

07/02/2007 10:43 <REP> .
07/02/2007 10:43 <REP> ..
13/09/2004 14:49 49ÿ152 HPWuSchd2.exe
1 fichier(s) 49ÿ152 octets
2 R‚p(s) 8ÿ856ÿ477ÿ696 octets libres
Le volume dans le lecteur C s'appelle Win XP Pro
Le num‚ro de s‚rie du volume est 3CD8-C4A9

R‚pertoire de C:\PROGRA~1\LOGITECH\ITOUCH\BAK

07/02/2007 10:43 <REP> .
07/02/2007 10:43 <REP> ..
01/12/2003 10:38 892ÿ928 iTouch.exe
1 fichier(s) 892ÿ928 octets
2 R‚p(s) 8ÿ856ÿ477ÿ696 octets libres
Le volume dans le lecteur C s'appelle Win XP Pro
Le num‚ro de s‚rie du volume est 3CD8-C4A9

R‚pertoire de C:\PROGRA~1\FICHIE~1\REAL\UPDATE~1\BAK

07/02/2007 10:43 <REP> .
07/02/2007 10:43 <REP> ..
19/05/2005 18:29 180ÿ269 realsched.exe
1 fichier(s) 180ÿ269 octets
2 R‚p(s) 8ÿ856ÿ477ÿ696 octets libres
Le volume dans le lecteur C s'appelle Win XP Pro
Le num‚ro de s‚rie du volume est 3CD8-C4A9

R‚pertoire de C:\PROGRA~1\FICHIE~1\ULEADS~1\DVD\BAK

07/02/2007 10:43 <REP> .
07/02/2007 10:43 <REP> ..
28/05/2004 04:50 81ÿ920 USISrv.exe
1 fichier(s) 81ÿ920 octets
2 R‚p(s) 8ÿ856ÿ477ÿ696 octets libres

Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~

707376 30 Jun 2006 "C:\WINDOWS\bak\vVX1000.exe"
707376 30 Jun 2006 "C:\Program Files\Microsoft LifeCam\Driver32\VX1000\vVX1000.exe"
707376 13 Oct 2006 "C:\Program Files\Microsoft LifeCam\Patch_113\Files\Driver32\VX1000\vVX1000.exe"
707376 13 Oct 2006 "C:\Program Files\Microsoft LifeCam\Patch_113\Files\Driver64\VX1000\vVX1000.exe"
269104 30 Jun 2006 "C:\Program Files\Microsoft LifeCam\bak\LifeExp.exe"
277296 13 Oct 2006 "C:\Program Files\Microsoft LifeCam\Patch_113\Files\LifeExp.exe"
12288 2 Apr 2003 "C:\Program Files\Winamp\bak\Winampa.exe"
155648 9 Jul 2001 "C:\WINDOWS\system32\bak\NeroCheck.exe"
489472 26 Dec 2007 "C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe"
617984 6 Dec 2002 "C:\Program Files\ASUS\Probe\bak\AsusProb.exe"
52272 21 Jul 2007 "C:\Program Files\Google\googletoolbar2user.exe"
866936 23 Dec 2007 "C:\Documents and Settings\Benjamin\Bureau\Google Updater.exe"
756328 20 Sep 2005 "C:\Program Files\Google\Google Desktop Search\GoogleDesktopSearchSetup.exe"
432128 26 Dec 2007 "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
124400 23 Dec 2007 "C:\Program Files\Google\Google Updater\GoogleUpdater.exe"
138680 23 Dec 2007 "C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe"
122368 20 Aug 2006 "C:\Program Files\Google\Google Desktop Search\bak\GoogleDesktop.exe"
124400 23 Dec 2007 "C:\Program Files\Google\Google Updater\2.2.1070.1219\GoogleUpdaterRestartManager.exe"
49152 19 Feb 2006 "C:\Program Files\HP\HP Software Update\hpwuSchd2.exe"
49152 13 Sep 2004 "C:\Program Files\HP\HP Software Update\bak\HPWuSchd2.exe"
892928 1 Dec 2003 "C:\Program Files\Logitech\iTouch\bak\iTouch.exe"
180269 19 May 2005 "C:\Program Files\Fichiers communs\Real\Update_OB\bak\realsched.exe"
81920 28 May 2004 "C:\Program Files\Fichiers communs\Ulead Systems\DVD\bak\USISrv.exe"

end of report

FillPCA · Answer

Re,

Double-clique sur l'icône FindAWF. Appuie sur une touche pour poursuivre le lancement de l'outil.

Si une alerte de sécurité apparait, autorise le programme à s'exécuter.
Comme indiqué, presse une touche pour continuer.
Choisis l'option suivante : Press 2 then Enter to restore files from bak folders
Appuie sur une touche pour poursuivre.


Un fichier texte s'ouvre appelé : files.txt
Clique en dessous de la ligne et colle la liste de fichiers qui suit :


C:\WINDOWS\bak\vVX1000.exe"
"C:\Program Files\Microsoft LifeCam\bak\LifeExp.exe"
"C:\Program Files\Winamp\bak\Winampa.exe"
C:\WINDOWS\system32\bak\NeroCheck.exe
"C:\Program Files\ASUS\Probe\bak\AsusProb.exe"
"C:\Program Files\Google\Google Desktop Search\bak\GoogleDesktop.exe"
"C:\Program Files\HP\HP Software Update\bak\HPWuSchd2.exe"
"C:\Program Files\Logitech\iTouch\bak\iTouch.exe"
"C:\Program Files\Fichiers communs\Real\Update_OB\bak\realsched.exe"
"C:\Program Files\Fichiers communs\Ulead Systems\DVD\bak\USISrv.exe"


Ensuite, ferme le fichier et clique sur Yes pour sauvegarder les changements.

Une fois que le fichier files.txt est sauvegardé, FindAWF fait ce qui suit:
-Il stoppe les processus nommés dans la liste précédente, si ceux-ci tournent.
-Supprime les rogues dans le dossier parent si présent.
-Copie le fichier original dans le dossier parent.

Quand il aura terminé toutes ces opérations, il commencera automatiquement un noveau scan et ouvrira un nouveau rapport.
Poste ce nouveau rapport FindAWF dans ta prochaine réponse.

FillPCA

sophie · Answer

voilà le rapport

Find AWF report by noahdfear ©2006
Version 1.40

bak folders found
~~~~~~~~~~~

Le volume dans le lecteur C s'appelle Win XP Pro
Le num‚ro de s‚rie du volume est 3CD8-C4A9

R‚pertoire de C:\WINDOWS\BAK

07/02/2007 10:43 <REP> .
07/02/2007 10:43 <REP> ..
30/06/2006 00:42 707ÿ376 vVX1000.exe
1 fichier(s) 707ÿ376 octets
2 R‚p(s) 7ÿ764ÿ774ÿ912 octets libres
Le volume dans le lecteur C s'appelle Win XP Pro
Le num‚ro de s‚rie du volume est 3CD8-C4A9

R‚pertoire de C:\PROGRA~1\MESSEN~1\BAK

07/02/2007 10:43 <REP> .
07/02/2007 10:43 <REP> ..
0 fichier(s) 0 octets
2 R‚p(s) 7ÿ764ÿ774ÿ912 octets libres
Le volume dans le lecteur C s'appelle Win XP Pro
Le num‚ro de s‚rie du volume est 3CD8-C4A9

R‚pertoire de C:\PROGRA~1\MI6669~1\BAK

07/02/2007 10:43 <REP> .
07/02/2007 10:43 <REP> ..
30/06/2006 00:54 269ÿ104 LifeExp.exe
1 fichier(s) 269ÿ104 octets
2 R‚p(s) 7ÿ764ÿ770ÿ816 octets libres
Le volume dans le lecteur C s'appelle Win XP Pro
Le num‚ro de s‚rie du volume est 3CD8-C4A9

R‚pertoire de C:\PROGRA~1\WINAMP\BAK

07/02/2007 10:43 <REP> .
07/02/2007 10:43 <REP> ..
02/04/2003 03:20 12ÿ288 Winampa.exe
1 fichier(s) 12ÿ288 octets
2 R‚p(s) 7ÿ764ÿ770ÿ816 octets libres
Le volume dans le lecteur C s'appelle Win XP Pro
Le num‚ro de s‚rie du volume est 3CD8-C4A9

R‚pertoire de C:\WINDOWS\SYSTEM32\BAK

16/10/2007 17:06 <REP> .
16/10/2007 17:06 <REP> ..
09/07/2001 10:50 155ÿ648 NeroCheck.exe
1 fichier(s) 155ÿ648 octets
2 R‚p(s) 7ÿ764ÿ770ÿ816 octets libres
Le volume dans le lecteur C s'appelle Win XP Pro
Le num‚ro de s‚rie du volume est 3CD8-C4A9

R‚pertoire de C:\PROGRA~1\ASUS\PROBE\BAK

07/02/2007 10:43 <REP> .
07/02/2007 10:43 <REP> ..
06/12/2002 15:07 617ÿ984 AsusProb.exe
1 fichier(s) 617ÿ984 octets
2 R‚p(s) 7ÿ764ÿ770ÿ816 octets libres
Le volume dans le lecteur C s'appelle Win XP Pro
Le num‚ro de s‚rie du volume est 3CD8-C4A9

R‚pertoire de C:\PROGRA~1\GOOGLE\GOOGLE~1\BAK

07/02/2007 10:43 <REP> .
07/02/2007 10:43 <REP> ..
20/08/2006 21:10 122ÿ368 GoogleDesktop.exe
1 fichier(s) 122ÿ368 octets
2 R‚p(s) 7ÿ764ÿ770ÿ816 octets libres
Le volume dans le lecteur C s'appelle Win XP Pro
Le num‚ro de s‚rie du volume est 3CD8-C4A9

R‚pertoire de C:\PROGRA~1\HP\HPSOFT~1\BAK

07/02/2007 10:43 <REP> .
07/02/2007 10:43 <REP> ..
13/09/2004 14:49 49ÿ152 HPWuSchd2.exe
1 fichier(s) 49ÿ152 octets
2 R‚p(s) 7ÿ764ÿ770ÿ816 octets libres
Le volume dans le lecteur C s'appelle Win XP Pro
Le num‚ro de s‚rie du volume est 3CD8-C4A9

R‚pertoire de C:\PROGRA~1\LOGITECH\ITOUCH\BAK

07/02/2007 10:43 <REP> .
07/02/2007 10:43 <REP> ..
01/12/2003 10:38 892ÿ928 iTouch.exe
1 fichier(s) 892ÿ928 octets
2 R‚p(s) 7ÿ764ÿ770ÿ816 octets libres
Le volume dans le lecteur C s'appelle Win XP Pro
Le num‚ro de s‚rie du volume est 3CD8-C4A9

R‚pertoire de C:\PROGRA~1\FICHIE~1\REAL\UPDATE~1\BAK

07/02/2007 10:43 <REP> .
07/02/2007 10:43 <REP> ..
19/05/2005 18:29 180ÿ269 realsched.exe
1 fichier(s) 180ÿ269 octets
2 R‚p(s) 7ÿ764ÿ770ÿ816 octets libres
Le volume dans le lecteur C s'appelle Win XP Pro
Le num‚ro de s‚rie du volume est 3CD8-C4A9

R‚pertoire de C:\PROGRA~1\FICHIE~1\ULEADS~1\DVD\BAK

07/02/2007 10:43 <REP> .
07/02/2007 10:43 <REP> ..
28/05/2004 04:50 81ÿ920 USISrv.exe
1 fichier(s) 81ÿ920 octets
2 R‚p(s) 7ÿ764ÿ770ÿ816 octets libres

Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~

707376 30 Jun 2006 "C:\WINDOWS\bak\vVX1000.exe"
707376 30 Jun 2006 "C:\Program Files\Microsoft LifeCam\Driver32\VX1000\vVX1000.exe"
707376 13 Oct 2006 "C:\Program Files\Microsoft LifeCam\Patch_113\Files\Driver32\VX1000\vVX1000.exe"
707376 13 Oct 2006 "C:\Program Files\Microsoft LifeCam\Patch_113\Files\Driver64\VX1000\vVX1000.exe"
269104 30 Jun 2006 "C:\Program Files\Microsoft LifeCam\bak\LifeExp.exe"
277296 13 Oct 2006 "C:\Program Files\Microsoft LifeCam\Patch_113\Files\LifeExp.exe"
12288 2 Apr 2003 "C:\Program Files\Winamp\bak\Winampa.exe"
155648 9 Jul 2001 "C:\WINDOWS\system32\bak\NeroCheck.exe"
489472 26 Dec 2007 "C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe"
617984 6 Dec 2002 "C:\Program Files\ASUS\Probe\bak\AsusProb.exe"
52272 21 Jul 2007 "C:\Program Files\Google\googletoolbar2user.exe"
866936 23 Dec 2007 "C:\Documents and Settings\Benjamin\Bureau\Google Updater.exe"
756328 20 Sep 2005 "C:\Program Files\Google\Google Desktop Search\GoogleDesktopSearchSetup.exe"
432128 26 Dec 2007 "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
124400 23 Dec 2007 "C:\Program Files\Google\Google Updater\GoogleUpdater.exe"
138680 23 Dec 2007 "C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe"
122368 20 Aug 2006 "C:\Program Files\Google\Google Desktop Search\bak\GoogleDesktop.exe"
124400 23 Dec 2007 "C:\Program Files\Google\Google Updater\2.2.1070.1219\GoogleUpdaterRestartManager.exe"
49152 19 Feb 2006 "C:\Program Files\HP\HP Software Update\hpwuSchd2.exe"
49152 13 Sep 2004 "C:\Program Files\HP\HP Software Update\bak\HPWuSchd2.exe"
892928 1 Dec 2003 "C:\Program Files\Logitech\iTouch\bak\iTouch.exe"
180269 19 May 2005 "C:\Program Files\Fichiers communs\Real\Update_OB\bak\realsched.exe"
81920 28 May 2004 "C:\Program Files\Fichiers communs\Ulead Systems\DVD\bak\USISrv.exe"

end of report

FillPCA · Answer

Re,

Double-clique sur l'icône FindAWF. Appuie sur une touche pour poursuivre le lancement de l'outil.

Si une alerte de sécurité apparait, autorise le programme à s'exécuter.
Comme indiqué, presse une touche pour continuer.
Choisis l'option suivante : Press 3 then Enter to remove bak folders

Un fichier texte s'ouvre appelé : folders.txt
Clique après la ligne et colle la liste de dossiers qui suit :

C:\WINDOWS\bak
"C:\Program Files\Microsoft LifeCam\bak"
"C:\Program Files\Winamp\bak"
C:\WINDOWS\system32\bak
"C:\Program Files\ASUS\Probe\bak\AsusProb.exe"
"C:\Program Files\Google\Google Desktop Search\bak"
"C:\Program Files\HP\HP Software Update\bak"
"C:\Program Files\Logitech\iTouch\bak"
"C:\Program Files\Fichiers communs\Real\Update_OB\bak"
"C:\Program Files\Fichiers communs\Ulead Systems\DVD\bak"

Ensuite, ferme le fichier et clique sur Yes pour sauvegarder les changements.

Une fois que folders.txt a été sauvegardé, FindAWF fait ce qui suit :
-Il supprime le contenu des dossiers bak
-Supprime les dossiers bak

Quand il a fini ces opérations, il lancera automatiquement un nouveau scan et un nouveau rapport sera généré.
Poste dans ta prochaine réponse ce nouveau rapport FindAWF.

FillPCA

sophie · Answer

voilà

Find AWF report by noahdfear ©2006
Version 1.40

bak folders found
~~~~~~~~~~~

Le volume dans le lecteur C s'appelle Win XP Pro
Le num‚ro de s‚rie du volume est 3CD8-C4A9

R‚pertoire de C:\PROGRA~1\MESSEN~1\BAK

07/02/2007 10:43 <REP> .
07/02/2007 10:43 <REP> ..
0 fichier(s) 0 octets
2 R‚p(s) 6ÿ753ÿ746ÿ944 octets libres
Le volume dans le lecteur C s'appelle Win XP Pro
Le num‚ro de s‚rie du volume est 3CD8-C4A9

R‚pertoire de C:\PROGRA~1\MI6669~1\BAK

07/02/2007 10:43 <REP> .
07/02/2007 10:43 <REP> ..
30/06/2006 00:54 269ÿ104 LifeExp.exe
1 fichier(s) 269ÿ104 octets
2 R‚p(s) 6ÿ753ÿ734ÿ656 octets libres
Le volume dans le lecteur C s'appelle Win XP Pro
Le num‚ro de s‚rie du volume est 3CD8-C4A9

R‚pertoire de C:\PROGRA~1\WINAMP\BAK

07/02/2007 10:43 <REP> .
07/02/2007 10:43 <REP> ..
02/04/2003 03:20 12ÿ288 Winampa.exe
1 fichier(s) 12ÿ288 octets
2 R‚p(s) 6ÿ753ÿ730ÿ560 octets libres
Le volume dans le lecteur C s'appelle Win XP Pro
Le num‚ro de s‚rie du volume est 3CD8-C4A9

R‚pertoire de C:\PROGRA~1\ASUS\PROBE\BAK

07/02/2007 10:43 <REP> .
07/02/2007 10:43 <REP> ..
06/12/2002 15:07 617ÿ984 AsusProb.exe
1 fichier(s) 617ÿ984 octets
2 R‚p(s) 6ÿ753ÿ730ÿ560 octets libres
Le volume dans le lecteur C s'appelle Win XP Pro
Le num‚ro de s‚rie du volume est 3CD8-C4A9

R‚pertoire de C:\PROGRA~1\GOOGLE\GOOGLE~1\BAK

07/02/2007 10:43 <REP> .
07/02/2007 10:43 <REP> ..
20/08/2006 21:10 122ÿ368 GoogleDesktop.exe
1 fichier(s) 122ÿ368 octets
2 R‚p(s) 6ÿ753ÿ730ÿ560 octets libres
Le volume dans le lecteur C s'appelle Win XP Pro
Le num‚ro de s‚rie du volume est 3CD8-C4A9

R‚pertoire de C:\PROGRA~1\HP\HPSOFT~1\BAK

07/02/2007 10:43 <REP> .
07/02/2007 10:43 <REP> ..
13/09/2004 14:49 49ÿ152 HPWuSchd2.exe
1 fichier(s) 49ÿ152 octets
2 R‚p(s) 6ÿ753ÿ730ÿ560 octets libres
Le volume dans le lecteur C s'appelle Win XP Pro
Le num‚ro de s‚rie du volume est 3CD8-C4A9

R‚pertoire de C:\PROGRA~1\LOGITECH\ITOUCH\BAK

07/02/2007 10:43 <REP> .
07/02/2007 10:43 <REP> ..
01/12/2003 10:38 892ÿ928 iTouch.exe
1 fichier(s) 892ÿ928 octets
2 R‚p(s) 6ÿ753ÿ730ÿ560 octets libres
Le volume dans le lecteur C s'appelle Win XP Pro
Le num‚ro de s‚rie du volume est 3CD8-C4A9

R‚pertoire de C:\PROGRA~1\FICHIE~1\REAL\UPDATE~1\BAK

07/02/2007 10:43 <REP> .
07/02/2007 10:43 <REP> ..
19/05/2005 18:29 180ÿ269 realsched.exe
1 fichier(s) 180ÿ269 octets
2 R‚p(s) 6ÿ753ÿ730ÿ560 octets libres
Le volume dans le lecteur C s'appelle Win XP Pro
Le num‚ro de s‚rie du volume est 3CD8-C4A9

R‚pertoire de C:\PROGRA~1\FICHIE~1\ULEADS~1\DVD\BAK

07/02/2007 10:43 <REP> .
07/02/2007 10:43 <REP> ..
28/05/2004 04:50 81ÿ920 USISrv.exe
1 fichier(s) 81ÿ920 octets
2 R‚p(s) 6ÿ753ÿ730ÿ560 octets libres

Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~

269104 30 Jun 2006 "C:\Program Files\Microsoft LifeCam\bak\LifeExp.exe"
277296 13 Oct 2006 "C:\Program Files\Microsoft LifeCam\Patch_113\Files\LifeExp.exe"
12288 2 Apr 2003 "C:\Program Files\Winamp\bak\Winampa.exe"
617984 6 Dec 2002 "C:\Program Files\ASUS\Probe\bak\AsusProb.exe"
52272 21 Jul 2007 "C:\Program Files\Google\googletoolbar2user.exe"
866936 23 Dec 2007 "C:\Documents and Settings\Benjamin\Bureau\Google Updater.exe"
756328 20 Sep 2005 "C:\Program Files\Google\Google Desktop Search\GoogleDesktopSearchSetup.exe"
432128 26 Dec 2007 "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
124400 23 Dec 2007 "C:\Program Files\Google\Google Updater\GoogleUpdater.exe"
138680 23 Dec 2007 "C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe"
122368 20 Aug 2006 "C:\Program Files\Google\Google Desktop Search\bak\GoogleDesktop.exe"
124400 23 Dec 2007 "C:\Program Files\Google\Google Updater\2.2.1070.1219\GoogleUpdaterRestartManager.exe"
49152 19 Feb 2006 "C:\Program Files\HP\HP Software Update\hpwuSchd2.exe"
49152 13 Sep 2004 "C:\Program Files\HP\HP Software Update\bak\HPWuSchd2.exe"
892928 1 Dec 2003 "C:\Program Files\Logitech\iTouch\bak\iTouch.exe"
180269 19 May 2005 "C:\Program Files\Fichiers communs\Real\Update_OB\bak\realsched.exe"
81920 28 May 2004 "C:\Program Files\Fichiers communs\Ulead Systems\DVD\bak\USISrv.exe"

end of report

FillPCA · Answer

Re,

As-tu bien passé l'option 3 ?

FillPCA

sophie · Answer

j'ai refait l'option 3 et voici le rapport

Find AWF report by noahdfear ©2006
Version 1.40
Option 3 run successfully

bak folders found
~~~~~~~~~~~

Le volume dans le lecteur C s'appelle Win XP Pro
Le num‚ro de s‚rie du volume est 3CD8-C4A9

R‚pertoire de C:\PROGRA~1\MESSEN~1\BAK

07/02/2007 10:43 <REP> .
07/02/2007 10:43 <REP> ..
0 fichier(s) 0 octets
2 R‚p(s) 8ÿ469ÿ438ÿ464 octets libres
Le volume dans le lecteur C s'appelle Win XP Pro
Le num‚ro de s‚rie du volume est 3CD8-C4A9

R‚pertoire de C:\PROGRA~1\MI6669~1\BAK

07/02/2007 10:43 <REP> .
07/02/2007 10:43 <REP> ..
30/06/2006 00:54 269ÿ104 LifeExp.exe
1 fichier(s) 269ÿ104 octets
2 R‚p(s) 8ÿ469ÿ438ÿ464 octets libres
Le volume dans le lecteur C s'appelle Win XP Pro
Le num‚ro de s‚rie du volume est 3CD8-C4A9

R‚pertoire de C:\PROGRA~1\WINAMP\BAK

07/02/2007 10:43 <REP> .
07/02/2007 10:43 <REP> ..
02/04/2003 03:20 12ÿ288 Winampa.exe
1 fichier(s) 12ÿ288 octets
2 R‚p(s) 8ÿ469ÿ434ÿ368 octets libres
Le volume dans le lecteur C s'appelle Win XP Pro
Le num‚ro de s‚rie du volume est 3CD8-C4A9

R‚pertoire de C:\PROGRA~1\ASUS\PROBE\BAK

07/02/2007 10:43 <REP> .
07/02/2007 10:43 <REP> ..
06/12/2002 15:07 617ÿ984 AsusProb.exe
1 fichier(s) 617ÿ984 octets
2 R‚p(s) 8ÿ469ÿ434ÿ368 octets libres
Le volume dans le lecteur C s'appelle Win XP Pro
Le num‚ro de s‚rie du volume est 3CD8-C4A9

R‚pertoire de C:\PROGRA~1\GOOGLE\GOOGLE~1\BAK

07/02/2007 10:43 <REP> .
07/02/2007 10:43 <REP> ..
20/08/2006 21:10 122ÿ368 GoogleDesktop.exe
1 fichier(s) 122ÿ368 octets
2 R‚p(s) 8ÿ469ÿ434ÿ368 octets libres
Le volume dans le lecteur C s'appelle Win XP Pro
Le num‚ro de s‚rie du volume est 3CD8-C4A9

R‚pertoire de C:\PROGRA~1\HP\HPSOFT~1\BAK

07/02/2007 10:43 <REP> .
07/02/2007 10:43 <REP> ..
13/09/2004 14:49 49ÿ152 HPWuSchd2.exe
1 fichier(s) 49ÿ152 octets
2 R‚p(s) 8ÿ469ÿ434ÿ368 octets libres
Le volume dans le lecteur C s'appelle Win XP Pro
Le num‚ro de s‚rie du volume est 3CD8-C4A9

R‚pertoire de C:\PROGRA~1\LOGITECH\ITOUCH\BAK

07/02/2007 10:43 <REP> .
07/02/2007 10:43 <REP> ..
01/12/2003 10:38 892ÿ928 iTouch.exe
1 fichier(s) 892ÿ928 octets
2 R‚p(s) 8ÿ469ÿ434ÿ368 octets libres
Le volume dans le lecteur C s'appelle Win XP Pro
Le num‚ro de s‚rie du volume est 3CD8-C4A9

R‚pertoire de C:\PROGRA~1\FICHIE~1\REAL\UPDATE~1\BAK

07/02/2007 10:43 <REP> .
07/02/2007 10:43 <REP> ..
19/05/2005 18:29 180ÿ269 realsched.exe
1 fichier(s) 180ÿ269 octets
2 R‚p(s) 8ÿ469ÿ434ÿ368 octets libres
Le volume dans le lecteur C s'appelle Win XP Pro
Le num‚ro de s‚rie du volume est 3CD8-C4A9

R‚pertoire de C:\PROGRA~1\FICHIE~1\ULEADS~1\DVD\BAK

07/02/2007 10:43 <REP> .
07/02/2007 10:43 <REP> ..
28/05/2004 04:50 81ÿ920 USISrv.exe
1 fichier(s) 81ÿ920 octets
2 R‚p(s) 8ÿ469ÿ434ÿ368 octets libres

Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~

269104 30 Jun 2006 "C:\Program Files\Microsoft LifeCam\bak\LifeExp.exe"
277296 13 Oct 2006 "C:\Program Files\Microsoft LifeCam\Patch_113\Files\LifeExp.exe"
12288 2 Apr 2003 "C:\Program Files\Winamp\bak\Winampa.exe"
617984 6 Dec 2002 "C:\Program Files\ASUS\Probe\bak\AsusProb.exe"
52272 21 Jul 2007 "C:\Program Files\Google\googletoolbar2user.exe"
866936 23 Dec 2007 "C:\Documents and Settings\Benjamin\Bureau\Google Updater.exe"
756328 20 Sep 2005 "C:\Program Files\Google\Google Desktop Search\GoogleDesktopSearchSetup.exe"
432128 26 Dec 2007 "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
124400 23 Dec 2007 "C:\Program Files\Google\Google Updater\GoogleUpdater.exe"
138680 23 Dec 2007 "C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe"
122368 20 Aug 2006 "C:\Program Files\Google\Google Desktop Search\bak\GoogleDesktop.exe"
124400 23 Dec 2007 "C:\Program Files\Google\Google Updater\2.2.1070.1219\GoogleUpdaterRestartManager.exe"
49152 19 Feb 2006 "C:\Program Files\HP\HP Software Update\hpwuSchd2.exe"
49152 13 Sep 2004 "C:\Program Files\HP\HP Software Update\bak\HPWuSchd2.exe"
892928 1 Dec 2003 "C:\Program Files\Logitech\iTouch\bak\iTouch.exe"
180269 19 May 2005 "C:\Program Files\Fichiers communs\Real\Update_OB\bak\realsched.exe"
81920 28 May 2004 "C:\Program Files\Fichiers communs\Ulead Systems\DVD\bak\USISrv.exe"

end of report

FillPCA · Answer

Re,

OK.

Double-clique sur l'icône FindAWF. Appuie sur une touche pour poursuivre le lancement de l'outil.

Si une alerte de sécurité apparait, autorise le programme à s'exécuter.
Comme indiqué, presse une touche pour continuer.
Choisis l'option suivante : Press 4 then Enter to reset domain zones

Appuie sur 1 pour Continuer l'opération

Cela va supprimer toutes les entrées du "domain zones".
Quand le programme a fini, il retourne au menu principal, choisis l'option suivante :
Press E then Enter to EXIT

Edite aussi un rapport HIjackthis.

Il en reste encore pas mal...

FillPCA

FillPCA · Answer

Re,

Je reviens un peu plus tard.

FillPCA

FillPCA · Answer

Re,

Je ne sais pas si tu as vu mon message, mais j'aurais besoin d'un rapport HIjackthis pour continuer.

FillPCA

sophie · Answer

Salut,

désolée de ne pas avoir répondu hier soir. Voilà le nouveau rapport hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:47:04, on 27/12/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\WINDOWS\System32	cpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\System32\algs.exe
C:\WINDOWS\System32undll32.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig .exe /auto
O4 - HKLM\..\Run: [Application Layer Gateway Service] C:\WINDOWS\System32\algs.exe
O4 - HKLM\..\RunOnce: [ScanNClnPostRbt] C:\Program Files\Norton Security Scan\Nss.exe /OnReboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr/
O16 - DPF: {50BD5CDA-4BA8-4048-8FAA-763F222E41D8} - ms-its:mhtml:file://c:\nores.mht!http://adxrnet.net/code/chm/xpre.chm::/xpreload.ocx

FillPCA · Answer

Re,

* Télécharge navilog1 (Merci il.mafioso!) : http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

* Ensuite double clique sur navilog1.exe pour lancer l'installation.
* Une fois l'installation terminée, le fix s'exécutera automatiquement.
* (Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).
* Laisse-toi guider. Au menu principal, choisis 1 et valides.
/*\ Ne fais pas le choix 2,3 ou 4 sans notre avis/accord /*\
* Patiente jusqu'au message : *** Analyse terminée le ..... ***
* Appuie sur une touche comme demandé, le Bloc-notes va s'ouvrir.
* Copie-colle l'intégralité du rapport dans ta prochaine réponse. Referme le Bloc-notes.

* Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

sophie · Answer

voilà le rapport

Search Navipromo version 3.3.8 commencé le 27/12/2007 à 12:21:34,53

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files
avilog1
Mise à jour le 11.12.2007 à 18h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2800.1106 
Système de fichiers : NTFS

Executé en mode normal

*** Recherche Programmes installés ***




*** Recherche dossiers dans C:\WINDOWS ***



*** Recherche dossiers dans C:\Program Files ***



*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***




*** Recherche dossiers dans "C:\Documents and Settings\Benjamin\application data" *** 


*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun Fichier trouvé



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans C:\WINDOWS\system32 *

* Recherche dans "C:\Documents and Settings\Benjamin\local settings\application data" * 



*** Recherche fichiers *** 


C:\WINDOWS\Downloaded Program Files\IaLdr32.inf trouvé !


*** Recherche clés spécifiques dans le Registre ***


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans C:\WINDOWS\system32 :

lfchwmsb.exe trouvé !

* Dans "C:\Documents and Settings\Benjamin\local settings\application data" : 


3)Recherche Certificats :

Certificat Egroup absent !

4)Recherche fichiers connus :

C:\WINDOWS\system32\ddcdd.ini2 trouvé ! infection Vundo possible non traitée par cet outil !


*** Analyse terminée le 27/12/2007 à 12:26:37,95 ***

FillPCA · Answer

Re,

1/ * Double clique sur le raccourci Navilog1 présent sur le bureau et laisse-toi guider.
* Au menu principal, choisis 2 et valide.
* Le fix va t'informer qu'il va alors redémarrer ton PC
* Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts
* Appuie sur une touche comme demandé. (si ton Pc ne redémarre pas automatiquement, fais le toi même)
* Au redémarrage de ton PC, choisis ta session habituelle.
* Patiente jusqu'au message : *** Nettoyage Termine le ..... ***
* Le Bloc-notes va s'ouvrir.
* Sauvegarde le rapport de manière à le retrouver.
* Referme le Bloc-Notes. Ton bureau va réapparaître.

* Note : Si ton bureau ne réapparaît pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
* Rends-toi à l'onglet "Processus", clique en haut à gauche sur > Fichiers et choisis > Exécuter
* Tape > explorer et valide. Celà te fera apparaître ton Bureau.

* Tu posteras le rapport de Navilog1

2/ # Télécharge SDFix (créé par Andy Manchesta) et sauvegarde le sur ton Bureau : http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
# Imprime ceci.
# Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

    * Redémarre ton ordinateur.
    * Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (ou F5).
    * A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
    * Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
    * Choisis ton compte.

# Déroule la liste des instructions ci-dessous :

    * En mode sans échec, double-clique sur le fichier SDFix.exe et clique sur install,
    * Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.cmd pour lancer le script.
    * Appuie sur Y pour commencer le script.
    * Il va supprimer les services de certains trojans, effectuera aussi quelques réparations du Registre et il te demandera d'appuyer sur une touche pour redémarrer.
    * Appuie sur une touche pour redémarrer le PC.
    * Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
    * Après le chargement du Bureau, l'outil terminera son travail et affichera Finished
    * Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
    * Enfin, ouvre le dossier de SDFix sur ton Bureau et copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum.

3/ Relance Combofix.

4/ Edite ces rapports :
Navilog, SDfix, Combofix et un nouveau rapport Hijackthis.

FillPCA

sophie · Answer

Désolée pour l'attente mais mon pc a planté plusieurs fois... voilà les rapports navilog Clean Navipromo version 3.3.8 commencé le 27/12/2007 à 14:59:25,70 Outil exécuté depuis C:\Program Files avilog1 Mise à jour le 11.12.2007 à 18h00 par IL-MAFIOSO Microsoft Windows XP [version 5.1.2600] Internet Explorer : 6.0.2800.1106 Système de fichiers : NTFS Mode suppression automatique *** fsbl1.txt non trouvé *** (Assurez-vous que Catchme n'avait rien trouvé lors de la recherche) *** Suppression avec sauvegardes résultats GenericNaviSearch *** * Suppression dans C:\WINDOWS\System32 * * Suppression dans "C:\Documents and Settings\Benjamin\local settings\application data" * *** Suppression dossiers dans C:\WINDOWS *** *** Suppression dossiers dans C:\Program Files *** *** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 *** *** Suppression dossiers dans "C:\Documents and Settings\Benjamin\application data" *** *** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 *** *** Suppression fichiers *** C:\WINDOWS\Downloaded Program Files\IaLdr32.inf supprimé ! *** Suppression fichiers temporaires *** Nettoyage contenu C:\WINDOWS\Temp effectué ! Nettoyage contenu C:\Documents and Settings\Benjamin\local settings\Temp effectué ! *** Traitement Recherche complémentaire *** (Recherche fichiers spécifiques) 1)Suppression avec sauvegardes nouveaux fichiers Instant Access : 2)Recherche, création sauvegardes et suppression Heuristique : * Dans C:\WINDOWS\system32 * lfchwmsb.exe trouvé ! Copie lfchwmsb.exe réalisée avec succès ! lfchwmsb.exe supprimé ! * Dans "C:\Documents and Settings\Benjamin\local settings\application data" * *** Sauvegarde du Registre vers dossier Backupnavi *** sauvegarde du Registre réalisée avec succès ! *** Nettoyage Registre *** Nettoyage Registre Ok *** Certificats *** Certificat Egroup absent ! *** Nettoyage terminé le 27/12/2007 à 15:07:00,93 *** SDfix SDFix: Version 1.117 Run by Benjamin on 27/12/2007 at 15:17 Microsoft Windows XP [version 5.1.2600] Running From: C:\SDFix Safe Mode: Checking Services: C:\WINDOWS\system32\Microsoft\backup.ftp Found C:\WINDOWS\system32\Microsoft\backup.tftp Found Checking files: Genuine: C:\WINDOWS\system32\Microsoft\backup.tftp Dummy: C:\WINDOWS\system32\Microsoft\backup.ftp C:\WINDOWS\system32\ftp.exe C:\WINDOWS\system32 ftp.exe C:\WINDOWS\system32\dllcache\ftp.exe C:\WINDOWS\system32\dllcache ftp.exe Files copied to SDFix\Backups Restoring files if backups are found Final Check: Genuine: C:\WINDOWS\system32\Microsoft\backup.tftp C:\WINDOWS\system32 ftp.exe C:\WINDOWS\system32\dllcache ftp.exe Dummy: C:\WINDOWS\system32\Microsoft\backup.ftp C:\WINDOWS\system32\ftp.exe C:\WINDOWS\system32\dllcache\ftp.exe Restoring Windows Registry Values Restoring Windows Default Hosts File Rebooting... Normal Mode: Checking Files: Trojan Files Found: C:\WINDOWS\SYSTEM32\DLCHS.EXE - Deleted C:\WINDOWS\SYSTEM32\GIZNWA.EXE - Deleted C:\PROGRA~1\WINDOW~3\RTEJEZ~1.HTM - Deleted C:\PROGRA~1\WINDOW~3\QUZALE~1 - Deleted C:\PROGRA~1\WINDOW~3\QUZALE~2 - Deleted C:\PROGRA~1\WINDOW~3\QUZALE~3 - Deleted C:\WINDOWS\mrofinu1148.exe.tmp - Deleted C:\Program Files\InetGet2\Installeur.exe - Deleted C:\Program Files\InetGet2\YazzleBundle-1560.exe - Deleted C:\Program Files\Temporary\wininstall.exe - Deleted C:\Program Files\WinAble\winable .exe - Deleted C:\Program Files\WinAble\winable.exe - Deleted C:\Program Files\Fichiers communs\Yazzle1560OinAdmin.exe - Deleted C:\Program Files\Fichiers communs\Yazzle1560OinUninstaller.exe - Deleted C:\Program Files\Fichiers communs\Carlson\carlton - Deleted C:\DOCUME~1\Benjamin\LOCALS~1\Temp emovalfile.bat - Deleted C:\WINDOWS\Britney_Spears_jpg.zip - Deleted C:\WINDOWS\b122.exe - Deleted C:\WINDOWS\b128.exe - Deleted C:\WINDOWS\b138.exe - Deleted C:\WINDOWS\mrofinu1148.exe - Deleted C:\WINDOWS\mrofinu1148.exe.tmp - Deleted C:\WINDOWS\svchost.exe - Deleted C:\WINDOWS\system32\2_exception.nls - Deleted C:\WINDOWS\system32\algs.exe - Deleted C:\WINDOWS\system32\i - Deleted C:\WINDOWS\system32\Microsoft\backup.ftp - Deleted C:\WINDOWS\system32\Microsoft\backup.tftp - Deleted Folder C:\Program Files\InetGet2 - Removed Folder C:\Program Files\Temporary - Removed Folder C:\Program Files\WinAble - Removed Folder C:\Program Files\Fichiers communs\Carlson - Removed Removing Temp Files... ADS Check: C:\WINDOWS No streams found. C:\WINDOWS\system32 No streams found. C:\WINDOWS\system32\svchost.exe No streams found. C:\WINDOWS\system32 toskrnl.exe No streams found. Final Check: catchme 0.3.1262.1 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-12-27 15:25:04 Windows 5.1.2600 Service Pack 1 NTFS scanning hidden processes ... IPC error: 2 Le fichier spécifié est introuvable. scanning hidden services & system hive ... [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04] "p0"="C:\Program Files\Alcohol Soft\Alcohol 52\" "h0"=dword:00000001 "ujdew"=hex:cb,63,eb,6e,4b,53,69,2c,0c,94,94,40,0e,dc,a8,5f,76,78,7c,4a,b9,.. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4] "h0"=dword:00000000 "khjeh"=hex:75,85,d0,76,60,71,76,f4,eb,b5,93,75,15,5c,4e,91,90,4f,95,f2,11,.. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg] "s1"=dword:eaf5973b "s2"=dword:5ea2f835 "h0"=dword:00000002 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04] "p0"="C:\Program Files\Alcohol Soft\Alcohol 52\" "h0"=dword:00000001 "ujdew"=hex:cb,63,eb,6e,4b,53,69,2c,0c,94,94,40,0e,dc,a8,5f,76,78,7c,4a,b9,.. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4] "h0"=dword:00000000 "khjeh"=hex:75,85,d0,76,60,71,76,f4,eb,b5,93,75,15,5c,4e,91,90,4f,95,f2,11,.. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04] "p0"="C:\Program Files\Alcohol Soft\Alcohol 52\" "h0"=dword:00000001 "ujdew"=hex:cb,63,eb,6e,4b,53,69,2c,0c,94,94,40,0e,dc,a8,5f,76,78,7c,4a,b9,.. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4] "h0"=dword:00000000 "khjeh"=hex:75,85,d0,76,60,71,76,f4,eb,b5,93,75,15,5c,4e,91,90,4f,95,f2,11,.. scanning hidden registry entries ... scanning hidden files ... C:\Documents and Settings\Benjamin\Local Settings\Application Data\Microsoft\Messenger\baj14@hotmail.fr\SharingMetadata\julienmarie55@hotmail.fr\DFSR\Staging\CS{D7666AA6-430C-1755-FD5E-754704CD9672}\01\10-{D7666AA6-430C-1755-FD5E-754704CD9672}-v1-{741C0C78-B3A3-4962-90CF-50961B2A2F72}-v10-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS 8 bytes hidden from API C:\Documents and Settings\Benjamin\Local Settings\Application Data\Microsoft\Windows\GameExplorer\{DFEF49D9-FC95-4301-99B9-2FB91C6ABA06}\PlayTasks\1\Les Sims™ 2 : Boit@Look.lnk 540 bytes hidden from API scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 2 Remaining Services: ------------------ Authorized Application Key Export: [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] Remaining Files: --------------- File Backups: - C:\SDFix\backups\backups.zip Files with Hidden Attributes: Thu 27 Dec 2007 55,808 ..SH. --- "C:\WINDOWS\system32\a.exe" Wed 26 Dec 2007 34,816 A..H. --- "C:\WINDOWS\system32\bdhp.exe" Thu 27 Dec 2007 288,472 A..H. --- "C:\WINDOWS\system32\bdqxxwod.exe" Thu 27 Dec 2007 12,344 A..H. --- "C:\WINDOWS\system32\cbnxo.exe" Thu 27 Dec 2007 258,104 A..H. --- "C:\WINDOWS\system32\cqvidqpi.exe" Thu 27 Dec 2007 235,008 A..H. --- "C:\WINDOWS\system32\dvnjzba.exe" Thu 19 May 2005 56 ..SHR --- "C:\WINDOWS\system32\E6766994AD.sys" Thu 27 Dec 2007 167,336 A..H. --- "C:\WINDOWS\system32\gdaaexwa.exe" Thu 27 Dec 2007 126,976 A..H. --- "C:\WINDOWS\system32\inkqlkh.exe" Thu 27 Dec 2007 1,460 A..H. --- "C:\WINDOWS\system32\ipwqxo.exe" Thu 27 Dec 2007 302,840 A..H. --- "C:\WINDOWS\system32\isbgeyre.exe" Mon 10 Dec 2007 66,055 A..H. --- "C:\WINDOWS\system32\jpxbfwr.exe" Wed 19 Dec 2007 1,460 A..H. --- "C:\WINDOWS\system32\jrahnth.exe" Thu 27 Dec 2007 305,664 A..H. --- "C:\WINDOWS\system32\kgwfeq.exe" Sun 20 Aug 2006 848 A.SH. --- "C:\WINDOWS\system32\KGyGaAvL.sys" Thu 27 Dec 2007 53,760 A..H. --- "C:\WINDOWS\system32\kngwuh.exe" Thu 27 Dec 2007 66,055 A..H. --- "C:\WINDOWS\system32\leip.exe" Thu 27 Dec 2007 45,680 A..H. --- "C:\WINDOWS\system32\mdqmsy.exe" Sun 23 Dec 2007 24,616 A..H. --- "C:\WINDOWS\system32\muhyrpnh.exe" Tue 25 Dec 2007 406,016 A..H. --- "C:\WINDOWS\system32\oieo.exe" Thu 27 Dec 2007 41,984 A..H. --- "C:\WINDOWS\system32\opxiennk.exe" Thu 27 Dec 2007 242,176 A..H. --- "C:\WINDOWS\system32\otrfbyh.exe" Thu 27 Dec 2007 381,952 A..H. --- "C:\WINDOWS\system32 fou.exe" Wed 12 Dec 2007 66,055 A..H. --- "C:\WINDOWS\system32\swbz.exe" Thu 27 Dec 2007 8,760 A..H. --- "C:\WINDOWS\system32\syzyhf.exe" Thu 27 Dec 2007 87,440 A..H. --- "C:\WINDOWS\system32\uzlqv.exe" Thu 27 Dec 2007 11,680 A..H. --- "C:\WINDOWS\system32\vfvcwxfo.exe" Thu 27 Dec 2007 170,232 A..H. --- "C:\WINDOWS\system32\vyks.exe" Thu 27 Dec 2007 110,592 A..H. --- "C:\WINDOWS\system32\vzxc.exe" Sun 23 Dec 2007 38,048 A..H. --- "C:\WINDOWS\system32\waoe.exe" Thu 27 Dec 2007 18,868 A..H. --- "C:\WINDOWS\system32\wygysqr.exe" Wed 26 Dec 2007 7,928 A..H. --- "C:\WINDOWS\system32\wztcn.exe" Thu 27 Dec 2007 29,808 A..H. --- "C:\WINDOWS\system32\xkbrawzj.exe" Thu 27 Dec 2007 222,928 A..H. --- "C:\WINDOWS\system32\xopgh.exe" Thu 27 Dec 2007 54,196 A..H. --- "C:\WINDOWS\system32\yfultwuo.exe" Mon 6 Nov 2006 4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak" Thu 13 Apr 2006 74,240 ...H. --- "C:\Documents and Settings\Benjamin\Mes documents\~WRL0882.tmp" Wed 23 May 2007 39,424 ...H. --- "C:\Documents and Settings\Benjamin\Mes documents\~WRL1516.tmp" Wed 23 May 2007 24,064 ...H. --- "C:\Documents and Settings\Benjamin\Mes documents\~WRL2617.tmp" Wed 23 May 2007 48,128 ...H. --- "C:\Documents and Settings\Benjamin\Mes documents\~WRL2922.tmp" Thu 27 Dec 2007 408,064 ..SHR --- "C:\Documents and Settings\Benjamin\Application Data\T?sks\msiexec.exe" Finished! combofix ComboFix 07-12-21.4 - Benjamin 2007-12-27 15:34:43.17 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.1.1252.1.1036.18.139 [GMT 1:00] Running from: C:\Documents and Settings\Benjamin\Bureau\ComboFix.exe . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Documents and Settings\Benjamin\Application Data\TSKS~1 C:\Documents and Settings\Benjamin\Application Data\TSKS~1\msiexec .exe C:\Documents and Settings\Benjamin\Application Data\TSKS~1\msiexec.exe C:\Documents and Settings\Benjamin\Application Data\TSKS~1\T?sks\ C:\WINDOWS\b151.exe C:\WINDOWS\system32\4_exception.nls C:\WINDOWS\system32\a.exe C:\WINDOWS\system32\awtqo.dll C:\WINDOWS\system32\awtss.dll C:\WINDOWS\system32\awttrrs.dll C:\WINDOWS\system32\cbxuuvt.dll C:\WINDOWS\system32\ddcdd.dll C:\WINDOWS\system32\ddcdd.ini C:\WINDOWS\system32\ddcdd.ini2 C:\WINDOWS\system32\fcccyax.dll C:\WINDOWS\system32\fccyaax.dll C:\WINDOWS\system32\gebcbcc.dll C:\WINDOWS\system32\hgdaxwv.dll C:\WINDOWS\system32\hgghihg.dll C:\WINDOWS\system32\iifccby.dll C:\WINDOWS\system32\khfgecc.dll C:\WINDOWS\system32\ljjkihi.dll C:\WINDOWS\system32\ljjkllk.dll C:\WINDOWS\system32\mljgggd.dll C:\WINDOWS\system32\mljhfcd.dll C:\WINDOWS\system32\opnmjjh.dll C:\WINDOWS\system32\opnmkjh.dll C:\WINDOWS\system32\opnmljh.dll C:\WINDOWS\system32\pmkjh.dll C:\WINDOWS\system32\pmnonmn.dll C:\WINDOWS\system32\qomlijk.dll C:\WINDOWS\system32\ssqpm.dll C:\WINDOWS\system32\ssttu.dll C:\WINDOWS\system32 uvtrpn.dll C:\WINDOWS\system32\urqommn.dll C:\WINDOWS\system32\urqrrqp.dll C:\WINDOWS\system32\wvuur.dll C:\WINDOWS\system32\yayywxw.dll . ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-11-27 to 2007-12-27 )))))))))))))))))))))))))))))))))))) . 2007-12-27 15:47 . 2007-12-27 15:47 331,776 --------- C:\WINDOWS\system32\ddcdd.dll 2007-12-27 15:47 . 2007-12-27 15:47 0 --a------ C:\WINDOWS\system32\6_exception.nls 2007-12-27 15:15 . 2007-12-27 15:46 335,360 --a------ C:\WINDOWS\system32\ddcdd.exe 2007-12-27 14:18 . 2007-12-27 14:18 335,360 --a------ C:\WINDOWS\system32\RCX4C.tmp 2007-12-27 14:10 . 2007-12-27 14:10 335,360 --a------ C:\WINDOWS\system32\RCX41.tmp 2007-12-27 13:55 . 2007-12-27 13:55 335,360 --a------ C:\WINDOWS\system32\RCX3D.tmp 2007-12-27 13:39 . 2007-12-27 13:47 40,960 --a------ C:\9w3l6u1g1.exe 2007-12-27 13:15 . 2007-12-27 13:15 66,055 --a------ C:\WINDOWS\system32\hynz .exe 2007-12-27 13:15 . 2007-12-27 13:15 66,055 --a------ C:\WINDOWS\system32\ekbeyqjf .exe 2007-12-27 13:15 . 2007-12-27 13:15 45,680 --ah----- C:\WINDOWS\system32\mdqmsy.exe 2007-12-27 13:15 . 2007-12-27 13:15 8,760 --ah----- C:\WINDOWS\system32\syzyhf.exe 2007-12-27 13:14 . 2007-12-27 13:15 110,592 --ah----- C:\WINDOWS\system32\vzxc.exe 2007-12-27 13:14 . 2007-12-27 13:14 66,055 --a------ C:\WINDOWS\system32\pedt .exe 2007-12-27 13:13 . 2007-12-27 13:13 66,055 --a------ C:\WINDOWS\system32\hqfy .exe 2007-12-27 13:12 . 2007-12-27 13:13 87,440 --ah----- C:\WINDOWS\system32\uzlqv.exe 2007-12-27 13:01 . 2007-12-27 13:02 126,976 --ah----- C:\WINDOWS\system32\inkqlkh.exe 2007-12-27 13:01 . 2007-12-27 13:01 66,055 --a------ C:\WINDOWS\system32\qpial .exe 2007-12-27 13:01 . 2007-12-27 13:01 66,055 --a------ C:\WINDOWS\system32\ezlp .exe 2007-12-27 13:00 . 2007-12-27 13:02 288,472 --ah----- C:\WINDOWS\system32\bdqxxwod.exe 2007-12-27 13:00 . 2007-12-27 13:00 66,055 --a------ C:\WINDOWS\system32\wzzesys .exe 2007-12-27 12:59 . 2007-12-27 12:59 66,055 --a------ C:\WINDOWS\system32\eyvouxm .exe 2007-12-27 12:51 . 2007-12-27 15:46 d-------- C:\Program Files\Router 2007-12-27 12:51 . 2007-12-27 12:52 242,176 --ah----- C:\WINDOWS\system32\otrfbyh.exe 2007-12-27 12:50 . 2007-12-27 12:52 235,008 --ah----- C:\WINDOWS\system32\dvnjzba.exe 2007-12-27 12:43 . 2007-12-27 12:44 305,664 --ah----- C:\WINDOWS\system32\kgwfeq.exe 2007-12-27 12:43 . 2007-12-27 12:44 170,232 --ah----- C:\WINDOWS\system32\vyks.exe 2007-12-27 12:43 . 2007-12-27 12:43 66,055 --a------ C:\WINDOWS\system32\swbhketn .exe 2007-12-27 12:43 . 2007-12-27 12:43 66,055 --a------ C:\WINDOWS\system32\juus .exe 2007-12-27 12:43 . 2007-12-27 12:43 18,868 --ah----- C:\WINDOWS\system32\wygysqr.exe 2007-12-27 12:42 . 2007-12-27 12:42 66,055 --a------ C:\WINDOWS\system32 hltzw .exe 2007-12-27 12:41 . 2007-12-27 12:41 66,055 --a------ C:\WINDOWS\system32 pfu .exe 2007-12-27 12:33 . 2007-12-27 12:34 167,336 --ah----- C:\WINDOWS\system32\gdaaexwa.exe 2007-12-27 12:25 . 2007-12-27 12:26 381,952 --ah----- C:\WINDOWS\system32 fou.exe 2007-12-27 12:25 . 2007-12-27 12:26 222,928 --ah----- C:\WINDOWS\system32\xopgh.exe 2007-12-27 12:24 . 2007-12-27 12:24 66,055 --a------ C:\WINDOWS\system32\zayywo .exe 2007-12-27 12:24 . 2007-12-27 12:24 66,055 --a------ C:\WINDOWS\system32\oixpauwi .exe 2007-12-27 12:23 . 2007-12-27 12:23 66,055 --a------ C:\WINDOWS\system32\jdlpij .exe 2007-12-27 12:20 . 2007-12-27 15:07 d-------- C:\Program Files\Navilog1 2007-12-27 12:16 . 2007-12-27 12:16 53,760 --ah----- C:\WINDOWS\system32\kngwuh.exe 2007-12-27 12:16 . 2007-12-27 12:16 11,680 --ah----- C:\WINDOWS\system32\vfvcwxfo.exe 2007-12-27 12:15 . 2007-12-27 12:16 302,840 --ah----- C:\WINDOWS\system32\isbgeyre.exe 2007-12-27 12:15 . 2007-12-27 12:16 258,104 --ah----- C:\WINDOWS\system32\cqvidqpi.exe 2007-12-27 12:15 . 2007-12-27 12:15 66,055 --a------ C:\WINDOWS\system32 rlncabb .exe 2007-12-27 12:15 . 2007-12-27 12:15 66,055 --a------ C:\WINDOWS\system32\iujtee .exe 2007-12-27 12:14 . 2007-12-27 12:14 66,055 --a------ C:\WINDOWS\system32 mkztr .exe 2007-12-27 12:14 . 2007-12-27 12:14 66,055 --a------ C:\WINDOWS\system32\klgepvzg .exe 2007-12-27 12:13 . 2007-12-27 12:13 66,055 --a------ C:\WINDOWS\system32\pulpopb .exe 2007-12-27 12:12 . 2007-12-27 12:12 66,055 --a------ C:\WINDOWS\system32\kbmg .exe 2007-12-27 12:12 . 2007-12-27 12:12 66,055 --a------ C:\WINDOWS\system32\ivqoljs .exe 2007-12-27 12:10 . 2007-12-27 12:10 66,055 --a------ C:\WINDOWS\system32\ekuedta .exe 2007-12-27 12:10 . 2007-12-27 12:10 66,055 --a------ C:\WINDOWS\system32\biqxioth .exe 2007-12-27 12:10 . 2007-12-27 12:10 66,055 --a------ C:\WINDOWS\system32\axleosv .exe 2007-12-27 12:09 . 2007-12-27 12:09 66,055 --a------ C:\WINDOWS\system32 enhts .exe 2007-12-27 12:09 . 2007-12-27 12:09 66,055 --a------ C:\WINDOWS\system32\jftxa .exe 2007-12-27 12:03 . 2007-12-27 15:07 66,055 --a------ C:\WINDOWS\system32\algs .exe 2007-12-27 12:00 . 2007-12-27 12:00 12,344 --ah----- C:\WINDOWS\system32\cbnxo.exe 2007-12-27 11:59 . 2007-12-27 11:59 29,808 --ah----- C:\WINDOWS\system32\xkbrawzj.exe 2007-12-27 11:50 . 2007-12-27 11:50 66,055 --a------ C:\WINDOWS\system32\yjca .exe 2007-12-27 11:46 . 2007-06-28 14:36 401,720 --a------ C:\HijackThis.exe 2007-12-27 11:45 . 2007-12-27 11:45 66,055 --a------ C:\WINDOWS\system32\vvygkd .exe 2007-12-27 11:44 . 2007-12-27 11:44 318,369 --a------ C:\HiJackThis.zip et hijack Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:51:48, on 27/12/2007 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Program Files\EPSON\ESM2\eEBSVC.exe C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe C:\WINDOWS\System32\alg.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe C:\WINDOWS\System32\inetsrv\inetinfo.exe C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe C:\Program Files\Microsoft LifeCam\MSCamSvc.exe C:\WINDOWS\System32\HPZipm12.exe C:\WINDOWS\System32\PnkBstrA.exe C:\WINDOWS\System32\PnkBstrB.exe C:\Program Files\Spyware Doctor\svcntaux.exe C:\Program Files\Spyware Doctor\swdsvc.exe C:\WINDOWS\System32 cpsvcs.exe C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\wdfmgr.exe C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe C:\Program Files\Spyware Doctor\SDTrayApp .exe C:\WINDOWS\System32\wuauclt.exe C:\Program Files\Logitech\MouseWare\system\em_exec.exe C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl .exe C:\Program Files\Router\Router .exe C:\Program Files\utorrent\utorrent .exe C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe C:\Program Files\Google\Google Updater\GoogleUpdater.exe C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe C:\WINDOWS\system32 otepad.exe C:\HijackThis.exe C:\WINDOWS\System32\wbem\wmiprvse.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.google.fr/?gws_rd=ssl R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll O4 - HKLM\..\Run: [SDTray] "C:\Program Files\Spyware Doctor\SDTrayApp.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask .exe" -atboottime O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [Babylon Client] C:\Program Files\Babylon\Babylon-Pro\Babylon.exe -AutoStart O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKCU\..\Run: [Router] C:\Program Files\Router\Router.exe O4 - HKCU\..\Run: [Aaaa] "C:\DOCUME~1\Benjamin\APPLIC~1\RACLE~1\dexplore.exe" -vt ndrv O4 - HKCU\..\Run: [µTorrent] "C:\Program Files\utorrent\utorrent.exe" O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup O4 - HKCU\..\Run: [Fgrkoel] "C:\Documents and Settings\Benjamin\Application Data\?racle\?ti2evxx.exe" O4 - HKCU\..\Run: [DAEMON Tools] "F:\daemon tools\daemon.exe" -lang 1033 O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe O4 - Global Startup: Rappels du Calendrier Microsoft Works.lnk = ? O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O14 - IERESET.INF: START_PAGE_URL=https://www.google.fr/?gws_rd=ssl O16 - DPF: {50BD5CDA-4BA8-4048-8FAA-763F222E41D8} - ms-its:mhtml:file://c:\nores.mht!http://adxrnet.net/code/chm/xpre.chm::/xpreload.ocx O20 - Winlogon Notify: qommnlj - qommnlj.dll (file missing) O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Program Files\EPSON\ESM2\eEBSVC.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Kerio Personal Firewall 4 (KPF4) - Unknown owner - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe (file missing) O23 - Service: NBService - Unknown owner - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe (file missing) O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\System32\PnkBstrA.exe O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\System32\PnkBstrB.exe O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\svcntaux.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\swdsvc.exe O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Unknown owner - C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindService.exe (file missing)

FillPCA · Answer

Re,

OK. On continue :
    *  Télécharge MSNfix (de Régis59 et !aur3n7) sur ton bureau : http://sosvirus.changelog.fr/MSNFix.zip
    * Dézippe-le en faisant un clic droit puis extraire ici.
    * Double-clique sur MSNfix.bat.
    * Choisis l'option R. Si l'infection est détectée, il te suffit d'appuyer sur une touche du clavier. Un redémarrage du PC peut être demandé.
    * Le rapport est enregistré dans le même dossier que MSNfix (date.txt). Copie-colle son contenu dans ta prochaine réponse.

FillPCA

sophie · Answer

rapport MSNfix

MSNFix 1.611  
 
C:\Documents and Settings\Benjamin\Bureau\MSNFix 
Fix exécuté le 27/12/2007 - 16:47:53,51 By Benjamin 
mode normal    
    
************************ Recherche les fichiers présents      
    
... C:\DOCUME~1\ALLUSE~1\MENUDM~1\carlton 

************************  MSNCHK ***** /!\ beta test /!\


 
************************ Recherche les dossiers présents       
 
... C:\DOCUME~1\ALLUSE~1\APPLIC~1\TEMP\ 
... C:\Temp\ 
 
 
 
 
************************ Suppression des fichiers       
    
.. OK ... C:\DOCUME~1\ALLUSE~1\MENUDM~1\carlton  
.. OK ... C:\9w3l6u1g1.exe 
 
 
************************ Suppression des dossiers       
 
.. OK ... C:\DOCUME~1\ALLUSE~1\APPLIC~1\TEMP\   
.. OK ... C:\Temp\   
 
 
************************ Nettoyage du registre 
 
 
 
************************ Fichiers suspects 
 
/!\ ces fichiers nécessitent un avis expérimenté avant toute intervention 
 
[C:\HiJackThis.zip] ABF906FE4DF76912BC71046A1CD521C8 
[C:\eMule0.47c-Installer.exe] D388CDC4DDA65263F7DB385989AF7160 
[C:\HijackThis.exe] E8269245566BE948F6A219135B434160 
[C:\setupfre.exe] 344BFAC571828B079F2595FAC6FC1458 
[C:\spybotsd15.exe] 9286D3952F8CB08AD1BB4F3122E144CC 
[C:\PROGRA~1\Install_Messenger.exe] 4408BC2F0845D823E24B8C8B1B69895E 
[C:\PROGRA~1\uTorrent-1.6-install.exe] A4FA400AEC5E3E6AFD9ECF5774F8CAD4 

[color=#FF0000][b]==>[/b][/color] SVP merci d'envoyer le fichier  [b] C:\DOCUME~1\Benjamin\Bureau\Upload_Me.zip [/b] sur http://upload.changelog.fr

 
  
Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 27122007_17052667.zip
 
 
------------------------------------------------------------------------  
Auteur : !aur3n7                     Contact: https://www.ionos.fr/     
------------------------------------------------------------------------   
 
---------------------------------------------   END   ---------------------------------------------

FillPCA · Answer

Re,

Merci à Lazzzy

    * Télécharger lopxpMH : http://www.alt-shift-return.org/Info/Fichiers/lopxpMH2.zip
    * Dézippe-le au moyen d'un clic droit et extrais-le sur le bureau.
    * Edite le rapport généré.

Edite aussi un rapport Hijackthis.

FillPCA

sophie · Answer

rapport lopxpMH Rapport lopxpMH2 version 2.0 fait à 17:46:31,71 le 27/12/2007 C:\Documents and Settings\Benjamin\Bureau\lopxpMH2 ****************************************** ## Répertoires Application Data Le volume dans le lecteur C s'appelle Win XP Pro Le numéro de série du volume est 3CD8-C4A9 Répertoire de C:\Documents and Settings\All Users\Application Data 18/05/2005 17:54 . 18/05/2005 17:54 .. 19/05/2007 01:43 Adobe 18/05/2005 11:22 Ahead 01/06/2007 22:33 Apple Computer 08/12/2007 19:06 Avira 15/11/2006 21:27 Babylon 19/05/2005 18:26 CyberLink 04/11/2006 19:22 Google 23/12/2007 17:37 Google Updater 09/12/2007 23:00 Grisoft 31/08/2006 15:40 HP 11/12/2007 17:35 Lavasoft 18/05/2005 17:54 Microsoft 19/05/2005 18:26 MSN Messenger 6.2.0137 17/04/2007 19:28 Nero 06/12/2007 16:51 Spybot - Search & Destroy 19/05/2005 18:55 Symantec 19/05/2005 20:47 Ulead Systems 24/10/2007 13:57 WinZip 19/02/2007 16:26 41 .zreglib 08/12/2007 23:50 305 addr_file.html 18/05/2005 17:54 62 desktop.ini 31/08/2006 15:20 1 500 hpzinstall.log 4 fichier(s) 1 908 octets 20 Rép(s) 9 696 718 848 octets libres Le volume dans le lecteur C s'appelle Win XP Pro Le numéro de série du volume est 3CD8-C4A9 Répertoire de C:\Documents and Settings\Benjamin\Application Data 18/05/2005 11:10 . 18/05/2005 11:10 .. 19/05/2005 20:42 Adobe 18/02/2007 17:20 Ahead 01/06/2007 22:51 Apple Computer 15/11/2006 21:26 Babylon 30/12/2006 11:16 BSplayer Pro 19/05/2005 18:27 CyberLink 13/10/2006 21:23 dvdcss 04/11/2006 19:44 Google 09/12/2007 23:01 Grisoft 10/04/2006 21:38 Help 15/04/2007 16:04 HP 18/05/2005 11:11 Identities 29/03/2007 16:19 Image Zone Express 27/12/2007 11:05 InstallShield 19/05/2005 20:42 InterTrust 19/05/2005 19:39 Macromedia 18/05/2005 11:10 Microsoft 23/12/2007 17:38 PC Tools 19/05/2005 18:29 Real 03/07/2007 16:22 SecuROM 19/02/2007 16:34 SlySoft 19/05/2005 18:55 Symantec 25/06/2005 18:31 Ulead Systems 19/01/2007 21:34 utorrent 20/08/2006 21:23 vlc 18/05/2005 11:10 62 desktop.ini 16/01/2006 19:56 44 912 GDIPFONTCACHEV1.DAT 16/04/2007 09:58 38 458 Microsoft Access.ADR 16/04/2007 09:47 38 457 Microsoft Excel.ADR 4 fichier(s) 121 889 octets 27 Rép(s) 9 696 718 848 octets libres Le volume dans le lecteur C s'appelle Win XP Pro Le numéro de série du volume est 3CD8-C4A9 Répertoire de C:\Documents and Settings\Benjamin\Local Settings\Application Data 18/05/2005 11:10 . 18/05/2005 11:10 .. 19/05/2007 01:43 Adobe 17/01/2006 23:03 Ahead 07/06/2007 21:23 Apple Computer 31/08/2006 22:09 ApplicationHistory 15/11/2006 21:29 Babylon 08/09/2005 13:52 Google 10/04/2006 21:38 Help 31/08/2006 22:09 HP 19/05/2005 19:34 Identities 11/09/2006 14:20 IsolatedStorage 18/05/2005 11:10 Microsoft 30/05/2005 20:16 81 408 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini 31/08/2006 22:09 131 fusioncache.dat 31/08/2006 22:09 44 912 GDIPFONTCACHEV1.DAT 19/05/2005 18:36 6 291 456 IconCache.db 4 fichier(s) 6 417 907 octets 13 Rép(s) 9 696 714 752 octets libres Le volume dans le lecteur C s'appelle Win XP Pro Le numéro de série du volume est 3CD8-C4A9 Répertoire de C:\Documents and Settings\Default User\Application Data 18/05/2005 17:54 . 18/05/2005 17:54 .. 18/05/2005 17:54 Microsoft 18/05/2005 17:54 62 desktop.ini 1 fichier(s) 62 octets 3 Rép(s) 9 696 714 752 octets libres Le volume dans le lecteur C s'appelle Win XP Pro Le numéro de série du volume est 3CD8-C4A9 Répertoire de C:\Documents and Settings\Default User\Local Settings\Application Data 18/05/2005 17:54 . 18/05/2005 17:54 .. 18/05/2005 11:06 Microsoft 0 fichier(s) 0 octets 3 Rép(s) 9 696 706 560 octets libres Le volume dans le lecteur C s'appelle Win XP Pro Le numéro de série du volume est 3CD8-C4A9 Répertoire de C:\Documents and Settings\LocalService\Application Data 18/05/2005 11:10 . 18/05/2005 11:10 .. 18/05/2005 11:10 Microsoft 0 fichier(s) 0 octets 3 Rép(s) 9 696 706 560 octets libres Le volume dans le lecteur C s'appelle Win XP Pro Le numéro de série du volume est 3CD8-C4A9 Répertoire de C:\Documents and Settings\LocalService\Local Settings\Application Data 18/05/2005 11:10 . 18/05/2005 11:10 .. 19/05/2007 09:14 Adobe 18/05/2005 11:10 Microsoft 0 fichier(s) 0 octets 4 Rép(s) 9 696 706 560 octets libres Le volume dans le lecteur C s'appelle Win XP Pro Le numéro de série du volume est 3CD8-C4A9 Répertoire de C:\Documents and Settings\NetworkService\Application Data 18/05/2005 11:10 . 18/05/2005 11:10 .. 18/05/2005 11:10 Microsoft 0 fichier(s) 0 octets 3 Rép(s) 9 696 706 560 octets libres Le volume dans le lecteur C s'appelle Win XP Pro Le numéro de série du volume est 3CD8-C4A9 Répertoire de C:\Documents and Settings\NetworkService\Local Settings\Application Data 18/05/2005 11:10 . 18/05/2005 11:10 .. 18/05/2005 11:10 Microsoft 0 fichier(s) 0 octets 3 Rép(s) 9 696 706 560 octets libres Le volume dans le lecteur C s'appelle Win XP Pro Le numéro de série du volume est 3CD8-C4A9 Répertoire de C:\WINDOWS\system32\config\systemprofile\Application Data 18/05/2005 11:09 . 18/05/2005 11:09 .. 18/05/2005 11:09 Microsoft 19/05/2005 19:28 Symantec 18/05/2005 11:09 62 desktop.ini 1 fichier(s) 62 octets 4 Rép(s) 9 696 706 560 octets libres Le volume dans le lecteur C s'appelle Win XP Pro Le numéro de série du volume est 3CD8-C4A9 Répertoire de C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data 18/05/2005 11:09 . 18/05/2005 11:09 .. 18/05/2005 11:09 Microsoft 0 fichier(s) 0 octets 3 Rép(s) 9 696 706 560 octets libres ****************************************** Recherche des taches planifiées dans C:\WINDOWS asks C:\WINDOWS\Tasks\HPpromotions HPpromotions inexploitable C:\WINDOWS\Tasks\Norton Norton inexploitable ****************************************** ## Répertoires de C:\Program Files Le volume dans le lecteur C s'appelle Win XP Pro Le numéro de série du volume est 3CD8-C4A9 Répertoire de C:\Program Files 27/12/2007 15:24 . 27/12/2007 15:24 .. 27/07/2007 11:43 Adobe 17/04/2007 19:22 Ahead 04/11/2006 19:57 Alwil Software 19/05/2005 20:42 ASUS 20/05/2005 10:29 ATI Technologies 08/12/2007 19:22 Avira 18/05/2005 11:02 ComPlus Applications 23/11/2007 10:08 CyberLink 19/05/2005 18:31 DFX 05/04/2007 18:07 directx 20/01/2007 18:38 DivX 12/12/2007 17:08 EA GAMES 14/12/2006 12:00 EPSON 27/12/2007 15:25 Fichiers communs 12/12/2007 17:05 GameSpy Arcade 23/12/2007 17:37 Google 31/08/2006 15:36 Hewlett-Packard 29/03/2007 16:09 HP 17/12/2006 10:53 16 277 288 Install_Messenger.exe 20/12/2007 09:59 Internet Explorer 11/12/2007 17:35 Lavasoft 18/05/2005 22:21 Logitech 27/12/2007 16:46 Messenger 19/06/2007 12:27 Micro Application 18/05/2005 11:07 microsoft frontpage 30/03/2007 15:58 Microsoft LifeCam 19/05/2005 19:11 Microsoft Office 19/05/2005 19:12 Microsoft Visual Studio 03/10/2006 10:53 Microsoft Works 18/05/2005 11:03 Movie Maker 13/08/2007 09:46 MSECACHE 25/06/2005 00:48 MSN Apps 18/05/2005 11:01 MSN Gaming Zone 29/03/2007 15:53 MSN Messenger 27/12/2007 15:07 Navilog1 17/04/2007 19:28 Nero 19/05/2005 18:43 NetMeeting 27/12/2007 15:23 Norton Security Scan 18/05/2005 11:03 Outlook Express 21/06/2007 18:43 ParallelGraphics 27/12/2007 11:06 Philips 26/12/2007 15:37 QuickTime 19/05/2005 18:29 Real 27/12/2007 16:46 Router 06/11/2006 09:57 Services en ligne 19/02/2007 17:01 SlySoft 19/02/2007 13:58 Smart Projects 06/12/2007 16:51 Spybot - Search & Destroy 27/12/2007 16:46 Spyware Doctor 08/12/2007 17:54 Sunbelt Software 30/03/2007 16:33 test 27/12/2007 16:46 uTorrent 07/02/2007 21:56 645 670 uTorrent-1.6-install.exe 30/12/2006 11:16 Webteh 30/03/2007 15:58 Winamp 13/08/2007 09:45 Windows Installer Clean Up 27/12/2007 11:13 Windows Media Player 18/05/2005 11:01 Windows NT 23/11/2007 10:22 WinZip 18/05/2005 11:07 xerox 08/12/2007 17:47 Zone Labs 2 fichier(s) 16 922 958 octets 61 Rép(s) 9 696 694 272 octets libres ****************************************** ## Popups autorisées * Internet Explorer ! REG.EXE VERSION 3.0 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow PopupMgr REG_SZ yes * Mozilla Firefox (1 autorisé 2 interdit) ****************************************** ## Registre * [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] Search Bar REG_SZ http://www.google.com/toolbar/ie8/sidebar.html * [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] Aaaa REG_SZ "C:\DOCUME~1\Benjamin\APPLIC~1\RACLE~1\dexplore.exe" -vt ndrv Fgrkoel REG_SZ "C:\Documents and Settings\Benjamin\Application Data\?racle\?ti2evxx.exe" ****************************************** ## Zones de sécurité * HKCU Domains (4) * P3P History (5) ****************************************** ## Recherche C:\WINDOWS\*.htm, "C:\WINDOWS\*.gif" *************** Fin du rapport **************** hijack Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:47:20, on 27/12/2007 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Program Files\EPSON\ESM2\eEBSVC.exe C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe C:\WINDOWS\System32\alg.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe C:\WINDOWS\System32\inetsrv\inetinfo.exe C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe C:\Program Files\Microsoft LifeCam\MSCamSvc.exe C:\WINDOWS\System32\PnkBstrA.exe C:\WINDOWS\System32\PnkBstrB.exe C:\Program Files\Spyware Doctor\svcntaux.exe C:\Program Files\Spyware Doctor\swdsvc.exe C:\WINDOWS\System32 cpsvcs.exe C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\wdfmgr.exe C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\wuauclt.exe C:\Program Files\Spyware Doctor\SDTrayApp .exe C:\Program Files\Logitech\MouseWare\system\em_exec.exe C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe C:\Program Files\Google\Google Updater\GoogleUpdater.exe C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe C:\Program Files\MSN Messenger\msnmsgr.exe C:\Program Files\MSN Messenger\usnsvc.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe C:\WINDOWS\system32 otepad.exe C:\HijackThis.exe C:\WINDOWS\System32\wbem\wmiprvse.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.google.fr/?gws_rd=ssl R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll O4 - HKLM\..\Run: [SDTray] "C:\Program Files\Spyware Doctor\SDTrayApp.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask .exe" -atboottime O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [Babylon Client] C:\Program Files\Babylon\Babylon-Pro\Babylon.exe -AutoStart O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKCU\..\Run: [Router] C:\Program Files\Router\Router.exe O4 - HKCU\..\Run: [Aaaa] "C:\DOCUME~1\Benjamin\APPLIC~1\RACLE~1\dexplore.exe" -vt ndrv O4 - HKCU\..\Run: [µTorrent] "C:\Program Files\utorrent\utorrent.exe" O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup O4 - HKCU\..\Run: [Fgrkoel] "C:\Documents and Settings\Benjamin\Application Data\?racle\?ti2evxx.exe" O4 - HKCU\..\Run: [DAEMON Tools] "F:\daemon tools\daemon.exe" -lang 1033 O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe O4 - Global Startup: Rappels du Calendrier Microsoft Works.lnk = ? O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O14 - IERESET.INF: START_PAGE_URL=https://www.google.fr/?gws_rd=ssl O16 - DPF: {50BD5CDA-4BA8-4048-8FAA-763F222E41D8} - ms-its:mhtml:file://c:\nores.mht!http://adxrnet.net/code/chm/xpre.chm::/xpreload.ocx O20 - Winlogon Notify: qommnlj - qommnlj.dll (file missing) O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Program Files\EPSON\ESM2\eEBSVC.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Kerio Personal Firewall 4 (KPF4) - Unknown owner - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe (file missing) O23 - Service: NBService - Unknown owner - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe (file missing) O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\System32\PnkBstrA.exe O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\System32\PnkBstrB.exe O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\svcntaux.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\swdsvc.exe O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Unknown owner - C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindService.exe (file missing)

FillPCA · Answer

Re,

1/ 
    *  Sélectionne le texte suivant :

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Aaaa"=-
"Fgrkoel"=-
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\qommnlj]

File::
C:\WINDOWS\system32\ddcdd.dll
C:\WINDOWS\system32\iifccby.dll
C:\WINDOWS\system32\RCX21.tmp
C:\WINDOWS\system32\bdhp.exe
C:\WINDOWS\system32\wztcn.exe
C:\WINDOWS\system32\ddcdd.exe
C:\WINDOWS\system32\oieo .exe
C:\WINDOWS\system32\ftjei.exe
C:\WINDOWS\system32\waoe.exe
C:\WINDOWS\system32\zkchh.bat
C:\WINDOWS\system32\jkkr .exe
C:\WINDOWS\system32\oieo.exe
C:\WINDOWS\system32\muhyrpnh.exe
C:\WINDOWS\system32\jncuorqa.exe
C:\WINDOWS\system32\zupso.exe
C:\WINDOWS\system32\wjkdv.exe
C:\WINDOWS\system32\stbqcoey.exe
C:\WINDOWS\system32\ofbep.exe
C:\WINDOWS\system32\jenxdms.exe
C:\WINDOWS\system32\jpaxbkv.exe
C:\WINDOWS\system32\xvhhro.exe
C:\WINDOWS\system32\cbwyr.exe
C:\WINDOWS\system32\kwpdf.exe
C:\WINDOWS\system32\atush.exe
C:\WINDOWS\system32
ietiu.exe
C:\WINDOWS\system32\bggh.exe
C:\WINDOWS\system32\yxaiye.exe
C:\WINDOWS\system32\ixalgeq.exe
C:\WINDOWS\system32\cbyjlbl.exe
C:\WINDOWS\system32
xdosv.exe
C:\WINDOWS\system32\ggohnxzg.exe
C:\WINDOWS\system32\beon.exe
C:\WINDOWS\system32\ojnuiof.exe
C:\WINDOWS\system32\mglhxmyr.exe
C:\WINDOWS\system32\ptzoiy.exe
C:\WINDOWS\system32\ypyi.exe
C:\WINDOWS\system32\opvpobwe.exe
C:\WINDOWS\system32\giznwa.exe
C:\WINDOWS\system32\aymdg.exe
C:\WINDOWS\system32\xbpe.exe
C:\WINDOWS\system32	cmauz.exe
C:\WINDOWS\system32\fkwf.exe
C:\WINDOWS\system32\wheb.bat
C:\WINDOWS\Qvb40.sys
C:\WINDOWS\system32\vanmzja.exe
C:\WINDOWS\system32\miear.exe
C:\WINDOWS\system32\heppjcbe.exe
C:\WINDOWS\system32\wtheivsm.exe
C:\WINDOWS\system32\lgzrs.exe
C:\WINDOWS\system32\fwjqa.exe
C:\WINDOWS\system32\lluxki.exe
C:\WINDOWS\system32\gxoumd.exe
C:\WINDOWS\Britney_Spears_jpg.zip
C:\6i2n4r9g1l2.exe
C:\WINDOWS\system32\auzrfnm.exe
C:\WINDOWS\system32\jrahnth.exe
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\drivers\Qvb40.sys
C:\WINDOWS\system32\mqkbjiqt.ini
C:\WINDOWS\system32\aculifcu.ini
C:\WINDOWS\system32\shfimyre.ini
C:\WINDOWS\system32\swbz.exe
C:\WINDOWS\system32\gewofray.ini
C:\WINDOWS\system32\ftyig.bat
C:\WINDOWS\system32\glncpxjj.ini 
C:\WINDOWS\system32
akguggi.ini
C:\WINDOWS\system32\jpxbfwr.exe
C:\WINDOWS\system32\delnext.exe
C:\WINDOWS\system32\zip.exe
C:\WINDOWS\system32\E6766994AD.sys

Folder::
C:\WINDOWS\QmVuamk
C:\WINDOWS\system32ey2
C:\WINDOWS\system32ef1
C:\WINDOWS\system32\ineWc01
C:\Temp

    * Copie le texte sélectionné (CTRL+C).
    * Ouvre le bloc-note (programme>Accessoire>bloc-note).
    * Colle le texte copié dans ce bloc-note (CTRL+V).
    * Sauvegarde ce fichier sous le nom de CFScript.txt
    * Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe

    * Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
    * Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
      Ne touche à rien tant que le scan n'est pas terminé.
    * Une fois le scan achevé, un rapport va s'afficher: Poste son contenu.
    * Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

2/ Télécharge Ccleaner Basic https://www.ccleaner.com/ccleaner/download

Ouvre Ccleaner, clique sur "lancer le nettoyage".

3/ Télécharge AVGantispyware : https://www.avg.com/en-ww/free-antivirus-download
Tu l'installes.
Lance AVG Anti-Spyware et clique sur le bouton Mise à jour. Patiente.

Clique sur le bouton Analyse (de la barre d'outils)
Puis sur l'onglets Comment réagir, clique sur Actions recommandées. Sélectionne Quarantaine.
Reviens à l'onglet Analyse. Clique sur Analyse complète du système.
A la fin du scan, choisis l'option " Appliquer toutes les actions " en bas. Ensuite.
Clique sur "Enregistrer le rapport". Ceci génère un rapport en fichier texte qui se trouve dans le dossier Reports du dossier d'AVG Anti-Spyware. 

4/     *  Fais un scan en ligne en cliquant ici : http://assiste.com.free.fr/...
    * Choisis Kaspersky.
    * Tu dois réaliser le scan en utilisant Internet explorer. Une information apparait en haut, près de la barre d'état. Tu dois accepter et installer l'activeX proposé. La mise à jour de l'antivirus se lance.
    * Réalise un scan complet du système.
    * Sauvegarde le rapport en mode texte à l'issue du scan.

5/ Edite ces rapports :
Combofix, AVGantispyware, Kaspersky et un nouveau rapport Hijackthis.

FillPCA

sophie · Answer

rapport combofix ComboFix 07-12-21.4 - Benjamin 2007-12-27 18:16:46.18 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.1.1252.1.1036.18.96 [GMT 1:00] Running from: C:\Documents and Settings\Benjamin\Bureau\ComboFix.exe Command switches used :: C:\Documents and Settings\Benjamin\Bureau\CFScript.txt * Created a new restore point FILE C:\6i2n4r9g1l2.exe C:\WINDOWS\Britney_Spears_jpg.zip C:\WINDOWS\Qvb40.sys C:\WINDOWS\system32\aculifcu.ini C:\WINDOWS\system32\atush.exe C:\WINDOWS\system32\auzrfnm.exe C:\WINDOWS\system32\aymdg.exe C:\WINDOWS\system32\bdhp.exe C:\WINDOWS\system32\beon.exe C:\WINDOWS\system32\bggh.exe C:\WINDOWS\system32\cbwyr.exe C:\WINDOWS\system32\cbyjlbl.exe C:\WINDOWS\system32\ddcdd.dll C:\WINDOWS\system32\ddcdd.exe C:\WINDOWS\system32\delnext.exe C:\WINDOWS\system32\drivers\Qvb40.sys C:\WINDOWS\system32\E6766994AD.sys C:\WINDOWS\system32\fkwf.exe C:\WINDOWS\system32\ftjei.exe C:\WINDOWS\system32\ftyig.bat C:\WINDOWS\system32\fwjqa.exe C:\WINDOWS\system32\gewofray.ini C:\WINDOWS\system32\ggohnxzg.exe C:\WINDOWS\system32\giznwa.exe C:\WINDOWS\system32\glncpxjj.ini C:\WINDOWS\system32\gxoumd.exe C:\WINDOWS\system32\heppjcbe.exe C:\WINDOWS\system32\iifccby.dll C:\WINDOWS\system32\ixalgeq.exe C:\WINDOWS\system32\jenxdms.exe C:\WINDOWS\system32\jkkr .exe C:\WINDOWS\system32\jncuorqa.exe C:\WINDOWS\system32\jpaxbkv.exe C:\WINDOWS\system32\jpxbfwr.exe C:\WINDOWS\system32\jrahnth.exe C:\WINDOWS\system32\kwpdf.exe C:\WINDOWS\system32\lgzrs.exe C:\WINDOWS\system32\lluxki.exe C:\WINDOWS\system32\mcrh.tmp C:\WINDOWS\system32\mglhxmyr.exe C:\WINDOWS\system32\miear.exe C:\WINDOWS\system32\mqkbjiqt.ini C:\WINDOWS\system32\muhyrpnh.exe C:\WINDOWS\system32 akguggi.ini C:\WINDOWS\system32 ietiu.exe C:\WINDOWS\system32 xdosv.exe C:\WINDOWS\system32\ofbep.exe C:\WINDOWS\system32\oieo .exe C:\WINDOWS\system32\oieo.exe C:\WINDOWS\system32\ojnuiof.exe C:\WINDOWS\system32\opvpobwe.exe C:\WINDOWS\system32\ptzoiy.exe C:\WINDOWS\system32\RCX21.tmp C:\WINDOWS\system32\shfimyre.ini C:\WINDOWS\system32\stbqcoey.exe C:\WINDOWS\system32\swbz.exe C:\WINDOWS\system32 cmauz.exe C:\WINDOWS\system32\vanmzja.exe C:\WINDOWS\system32\waoe.exe C:\WINDOWS\system32\wheb.bat C:\WINDOWS\system32\wjkdv.exe C:\WINDOWS\system32\wtheivsm.exe C:\WINDOWS\system32\wztcn.exe C:\WINDOWS\system32\xbpe.exe C:\WINDOWS\system32\xvhhro.exe C:\WINDOWS\system32\ypyi.exe C:\WINDOWS\system32\yxaiye.exe C:\WINDOWS\system32\zip.exe C:\WINDOWS\system32\zkchh.bat C:\WINDOWS\system32\zupso.exe . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\QmVuamk C:\WINDOWS\Qvb40.sys C:\WINDOWS\system32\5_exception.nls C:\WINDOWS\system32\aculifcu.ini C:\WINDOWS\system32\atush.exe C:\WINDOWS\system32\auzrfnm.exe C:\WINDOWS\system32\aymdg.exe C:\WINDOWS\system32\bdhp.exe C:\WINDOWS\system32\beon.exe C:\WINDOWS\system32\bggh.exe C:\WINDOWS\system32\cbwyr.exe C:\WINDOWS\system32\cbyjlbl.exe C:\WINDOWS\system32\ddcdd.dll C:\WINDOWS\system32\ddcdd.exe C:\WINDOWS\system32\ddcdd.ini C:\WINDOWS\system32\ddcdd.ini2 C:\WINDOWS\system32\delnext.exe C:\WINDOWS\system32\drivers\Qvb40.sys C:\WINDOWS\system32\E6766994AD.sys C:\WINDOWS\system32\fkwf.exe C:\WINDOWS\system32\ftyig.bat C:\WINDOWS\system32\fwjqa.exe C:\WINDOWS\system32\gewofray.ini C:\WINDOWS\system32\ggohnxzg.exe C:\WINDOWS\system32\glncpxjj.ini C:\WINDOWS\system32\gxoumd.exe C:\WINDOWS\system32\heppjcbe.exe C:\WINDOWS\system32\ineWc01 C:\WINDOWS\system32\ixalgeq.exe C:\WINDOWS\system32\jenxdms.exe C:\WINDOWS\system32\jkkr .exe C:\WINDOWS\system32\jncuorqa.exe C:\WINDOWS\system32\jpaxbkv.exe C:\WINDOWS\system32\jpxbfwr.exe C:\WINDOWS\system32\jrahnth.exe C:\WINDOWS\system32\kwpdf.exe C:\WINDOWS\system32\lgzrs.exe C:\WINDOWS\system32\lluxki.exe C:\WINDOWS\system32\mcrh.tmp C:\WINDOWS\system32\mglhxmyr.exe C:\WINDOWS\system32\miear.exe C:\WINDOWS\system32\mqkbjiqt.ini C:\WINDOWS\system32\muhyrpnh.exe C:\WINDOWS\system32 akguggi.ini C:\WINDOWS\system32 ietiu.exe C:\WINDOWS\system32 xdosv.exe C:\WINDOWS\system32\ofbep.exe C:\WINDOWS\system32\oieo .exe C:\WINDOWS\system32\oieo.exe C:\WINDOWS\system32\ojnuiof.exe C:\WINDOWS\system32\opvpobwe.exe C:\WINDOWS\system32\ptzoiy.exe C:\WINDOWS\system32 ef1 C:\WINDOWS\system32 ey2 C:\WINDOWS\system32\shfimyre.ini C:\WINDOWS\system32\stbqcoey.exe C:\WINDOWS\system32\swbz.exe C:\WINDOWS\system32 cmauz.exe C:\WINDOWS\system32\vanmzja.exe C:\WINDOWS\system32\waoe.exe C:\WINDOWS\system32\wheb.bat C:\WINDOWS\system32\wjkdv.exe C:\WINDOWS\system32\wtheivsm.exe C:\WINDOWS\system32\wztcn.exe C:\WINDOWS\system32\xbpe.exe C:\WINDOWS\system32\xvhhro.exe C:\WINDOWS\system32\ypyi.exe C:\WINDOWS\system32\yxaiye.exe C:\WINDOWS\system32\zip.exe C:\WINDOWS\system32\zkchh.bat C:\WINDOWS\system32\zupso.exe C:\WINDOWS\system32\ddcdd.dll . . . . Echec de suppression . ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-11-27 to 2007-12-27 )))))))))))))))))))))))))))))))))))) . 2007-12-27 18:26 . 2007-12-27 18:26 331,776 --------- C:\WINDOWS\system32\ddcdd.dll 2007-12-27 18:10 . 2007-12-27 18:28 d-a------ C:\Documents and Settings\All Users\Application Data\TEMP 2007-12-27 14:18 . 2007-12-27 14:18 335,360 --a------ C:\WINDOWS\system32\RCX4C.tmp 2007-12-27 14:10 . 2007-12-27 14:10 335,360 --a------ C:\WINDOWS\system32\RCX41.tmp 2007-12-27 13:55 . 2007-12-27 13:55 335,360 --a------ C:\WINDOWS\system32\RCX3D.tmp 2007-12-27 13:15 . 2007-12-27 13:15 66,055 --a------ C:\WINDOWS\system32\hynz .exe 2007-12-27 13:15 . 2007-12-27 13:15 66,055 --a------ C:\WINDOWS\system32\ekbeyqjf .exe 2007-12-27 13:15 . 2007-12-27 13:15 45,680 --ah----- C:\WINDOWS\system32\mdqmsy.exe 2007-12-27 13:15 . 2007-12-27 13:15 8,760 --ah----- C:\WINDOWS\system32\syzyhf.exe 2007-12-27 13:14 . 2007-12-27 13:15 110,592 --ah----- C:\WINDOWS\system32\vzxc.exe 2007-12-27 13:14 . 2007-12-27 13:14 66,055 --a------ C:\WINDOWS\system32\pedt .exe 2007-12-27 13:13 . 2007-12-27 13:13 66,055 --a------ C:\WINDOWS\system32\hqfy .exe 2007-12-27 13:12 . 2007-12-27 13:13 87,440 --ah----- C:\WINDOWS\system32\uzlqv.exe 2007-12-27 13:01 . 2007-12-27 13:02 126,976 --ah----- C:\WINDOWS\system32\inkqlkh.exe 2007-12-27 13:01 . 2007-12-27 13:01 66,055 --a------ C:\WINDOWS\system32\qpial .exe 2007-12-27 13:01 . 2007-12-27 13:01 66,055 --a------ C:\WINDOWS\system32\ezlp .exe 2007-12-27 13:00 . 2007-12-27 13:02 288,472 --ah----- C:\WINDOWS\system32\bdqxxwod.exe 2007-12-27 13:00 . 2007-12-27 13:00 66,055 --a------ C:\WINDOWS\system32\wzzesys .exe 2007-12-27 12:59 . 2007-12-27 12:59 66,055 --a------ C:\WINDOWS\system32\eyvouxm .exe 2007-12-27 12:51 . 2007-12-27 18:26 d-------- C:\Program Files\Router 2007-12-27 12:51 . 2007-12-27 12:52 242,176 --ah----- C:\WINDOWS\system32\otrfbyh.exe 2007-12-27 12:50 . 2007-12-27 12:52 235,008 --ah----- C:\WINDOWS\system32\dvnjzba.exe 2007-12-27 12:43 . 2007-12-27 12:44 305,664 --ah----- C:\WINDOWS\system32\kgwfeq.exe 2007-12-27 12:43 . 2007-12-27 12:44 170,232 --ah----- C:\WINDOWS\system32\vyks.exe 2007-12-27 12:43 . 2007-12-27 12:43 66,055 --a------ C:\WINDOWS\system32\swbhketn .exe 2007-12-27 12:43 . 2007-12-27 12:43 66,055 --a------ C:\WINDOWS\system32\juus .exe 2007-12-27 12:43 . 2007-12-27 12:43 18,868 --ah----- C:\WINDOWS\system32\wygysqr.exe 2007-12-27 12:42 . 2007-12-27 12:42 66,055 --a------ C:\WINDOWS\system32 hltzw .exe 2007-12-27 12:41 . 2007-12-27 12:41 66,055 --a------ C:\WINDOWS\system32 pfu .exe 2007-12-27 12:33 . 2007-12-27 12:34 167,336 --ah----- C:\WINDOWS\system32\gdaaexwa.exe 2007-12-27 12:25 . 2007-12-27 12:26 381,952 --ah----- C:\WINDOWS\system32 fou.exe 2007-12-27 12:25 . 2007-12-27 12:26 222,928 --ah----- C:\WINDOWS\system32\xopgh.exe 2007-12-27 12:24 . 2007-12-27 12:24 66,055 --a------ C:\WINDOWS\system32\zayywo .exe 2007-12-27 12:24 . 2007-12-27 12:24 66,055 --a------ C:\WINDOWS\system32\oixpauwi .exe 2007-12-27 12:23 . 2007-12-27 12:23 66,055 --a------ C:\WINDOWS\system32\jdlpij .exe 2007-12-27 12:20 . 2007-12-27 15:07 d-------- C:\Program Files\Navilog1 2007-12-27 12:16 . 2007-12-27 12:16 53,760 --ah----- C:\WINDOWS\system32\kngwuh.exe 2007-12-27 12:16 . 2007-12-27 12:16 11,680 --ah----- C:\WINDOWS\system32\vfvcwxfo.exe 2007-12-27 12:15 . 2007-12-27 12:16 302,840 --ah----- C:\WINDOWS\system32\isbgeyre.exe 2007-12-27 12:15 . 2007-12-27 12:16 258,104 --ah----- C:\WINDOWS\system32\cqvidqpi.exe 2007-12-27 12:15 . 2007-12-27 12:15 66,055 --a------ C:\WINDOWS\system32 rlncabb .exe 2007-12-27 12:15 . 2007-12-27 12:15 66,055 --a------ C:\WINDOWS\system32\iujtee .exe 2007-12-27 12:14 . 2007-12-27 12:14 66,055 --a------ C:\WINDOWS\system32 mkztr .exe 2007-12-27 12:14 . 2007-12-27 12:14 66,055 --a------ C:\WINDOWS\system32\klgepvzg .exe 2007-12-27 12:13 . 2007-12-27 12:13 66,055 --a------ C:\WINDOWS\system32\pulpopb .exe 2007-12-27 12:12 . 2007-12-27 12:12 66,055 --a------ C:\WINDOWS\system32\kbmg .exe 2007-12-27 12:12 . 2007-12-27 12:12 66,055 --a------ C:\WINDOWS\system32\ivqoljs .exe 2007-12-27 12:10 . 2007-12-27 12:10 66,055 --a------ C:\WINDOWS\system32\ekuedta .exe 2007-12-27 12:10 . 2007-12-27 12:10 66,055 --a------ C:\WINDOWS\system32\biqxioth .exe 2007-12-27 12:10 . 2007-12-27 12:10 66,055 --a------ C:\WINDOWS\system32\axleosv .exe 2007-12-27 12:09 . 2007-12-27 12:09 66,055 --a------ C:\WINDOWS\system32 enhts .exe 2007-12-27 12:09 . 2007-12-27 12:09 66,055 --a------ C:\WINDOWS\system32\jftxa .exe 2007-12-27 12:03 . 2007-12-27 15:07 66,055 --a------ C:\WINDOWS\system32\algs .exe 2007-12-27 12:00 . 2007-12-27 12:00 12,344 --ah----- C:\WINDOWS\system32\cbnxo.exe 2007-12-27 11:59 . 2007-12-27 11:59 29,808 --ah----- C:\WINDOWS\system32\xkbrawzj.exe 2007-12-27 11:50 . 2007-12-27 11:50 66,055 --a------ C:\WINDOWS\system32\yjca .exe 2007-12-27 11:46 . 2007-06-28 14:36 401,720 --a------ C:\HijackThis.exe 2007-12-27 11:45 . 2007-12-27 11:45 66,055 --a------ C:\WINDOWS\system32\vvygkd .exe 2007-12-27 11:44 . 2007-12-27 11:44 318,369 --a------ C:\HiJackThis.zip 2007-12-27 11:38 . 2007-12-27 11:38 46,592 --a------ C:\WINDOWS\system32\dxdllreg .exe 2007-12-27 11:34 . 2007-07-30 19:19 549,720 --a------ C:\WINDOWS\system32\wuapi.dll 2007-12-27 11:34 . 2007-07-30 19:19 92,504 --a--c--- C:\WINDOWS\system32\dllcache\cdm.dll 2007-12-27 11:34 . 2007-07-30 19:19 92,504 --a------ C:\WINDOWS\system32\cdm.dll 2007-12-27 11:34 . 2007-12-27 11:34 66,055 --ah----- C:\WINDOWS\system32\leip.exe 2007-12-27 11:34 . 2007-12-27 11:34 54,196 --ah----- C:\WINDOWS\system32\yfultwuo.exe 2007-12-27 11:34 . 2007-12-27 11:34 41,984 --ah----- C:\WINDOWS\system32\opxiennk.exe 2007-12-27 11:34 . 2007-12-27 11:34 1,460 --ah----- C:\WINDOWS\system32\ipwqxo.exe 2007-12-27 11:07 . 2003-05-30 08:00 1,962,496 --a------ C:\WINDOWS\system32\quartz.dll 2007-12-27 11:06 . 2007-12-27 11:06 d-------- C:\Program Files\Philips 2007-12-27 11:06 . 2007-01-04 15:38 19,840 --a------ C:\WINDOWS\system32\drivers\StMp3Rec.sys 2007-12-27 11:05 . 2007-12-27 11:05 d-------- C:\Documents and Settings\Benjamin\Application Data\InstallShield 2007-12-26 18:17 . 2002-08-29 12:44 272,896 --a------ C:\WINDOWS\system32\kerberos.dll 2007-12-26 18:13 . 2006-05-19 01:51 185,856 --a------ C:\WINDOWS\system32\xpob2res.dll 2007-12-26 18:09 . 2002-08-29 12:45 204,288 --a------ C:\WINDOWS\system32\dllcache\wordpad.exe 2007-12-26 17:58 . 2002-08-29 12:45 115,976 --a------ C:\WINDOWS\system32\drivers dpwd.sys 2007-12-26 17:55 . 2002-08-29 12:32 1,813,888 --a------ C:\WINDOWS\system32\win32k.sys 2007-12-26 17:55 . 2002-08-29 12:45 561,152 --a------ C:\WINDOWS\system32\user32.dll 2007-12-26 17:53 . 2001-08-28 15:00 368,128 --a------ C:\WINDOWS\system32\ipsmsnap.dll 2007-12-26 17:53 . 2001-08-28 15:00 368,128 --a--c--- C:\WINDOWS\system32\dllcache\ipsmsnap.dll 2007-12-26 17:53 . 2001-08-28 15:00 344,576 --a------ C:\WINDOWS\system32\ipsecsnp.dll 2007-12-26 17:53 . 2001-08-28 15:00 344,576 --a--c--- C:\WINDOWS\system32\dllcache\ipsecsnp.dll 2007-12-26 17:53 . 2002-08-29 12:44 329,728 --a------ C:\WINDOWS\system32\oakley.dll 2007-12-26 17:53 . 2002-08-29 12:44 329,728 --a--c--- C:\WINDOWS\system32\dllcache\oakley.dll 2007-12-26 17:53 . 2002-08-29 12:44 157,184 --a------ C:\WINDOWS\system32\ipsecsvc.dll 2007-12-26 17:53 . 2002-08-29 12:44 157,184 --a--c--- C:\WINDOWS\system32\dllcache\ipsecsvc.dll 2007-12-26 17:52 . 2002-08-29 12:44 158,720 --a--c--- C:\WINDOWS\system32\dllcache asmans.dll 2007-12-26 17:52 . 2001-08-28 15:00 88,576 --a------ C:\WINDOWS\system32\polstore.dll 2007-12-26 17:52 . 2001-08-28 15:00 88,576 --a--c--- C:\WINDOWS\system32\dllcache\polstore.dll 2007-12-26 17:52 . 2002-08-29 03:07 57,984 --a------ C:\WINDOWS\system32\drivers\ipsec.sys 2007-12-26 17:52 . 2002-08-29 03:07 57,984 --a--c--- C:\WINDOWS\system32\dllcache\ipsec.sys 2007-12-26 17:52 . 2001-08-28 15:00 25,600 --a------ C:\WINDOWS\system32\winipsec.dll 2007-12-26 17:52 . 2001-08-28 15:00 25,600 --a--c--- C:\WINDOWS\system32\dllcache\winipsec.dll 2007-12-26 17:51 . 2002-08-29 12:45 99,840 --a------ C:\WINDOWS\system32\win32spl.dll 2007-12-26 17:47 . 2007-12-27 10:50 d-------- C:\WINDOWS\system32\bits 2007-12-26 17:47 . 2002-08-29 12:45 310,272 --a------ C:\WINDOWS\system32\winhttp.dll 2007-12-26 17:37 . 2001-08-28 15:00 1,034,240 --a------ C:\WINDOWS\system32\esent.dll 2007-12-26 17:30 . 2002-08-29 12:44 1,169,920 --a------ C:\WINDOWS\system32\ole32.dll 2007-12-26 17:30 . 2002-08-29 12:44 1,169,920 --a--c--- C:\WINDOWS\system32\dllcache\ole32.dll 2007-12-26 17:30 . 2002-08-29 12:44 530,432 --a------ C:\WINDOWS\system32 pcrt4.dll 2007-12-26 17:30 . 2002-08-29 12:44 530,432 --a--c--- C:\WINDOWS\system32\dllcache pcrt4.dll . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2007-12-27 17:29 --------- d-----w C:\Documents and Settings\Benjamin\Application Data\utorrent 2007-12-27 17:26 335,360 ----a-w C:\WINDOWS\system32\ddcdd.exe 2007-12-27 17:26 --------- d-----w C:\Program Files\uTorrent 2007-12-27 13:18 44,032 ----a-w C:\WINDOWS\system32\ftp.exe 2007-12-27 12:06 147,968 ----a-w C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig .exe 2007-12-27 11:54 485,888 ----a-w C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig .exe 2007-12-27 10:06 --------- d--h--w C:\Program Files\InstallShield Installation Information 2007-12-26 17:55 485,888 ----a-w C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe 2007-12-26 14:37 --------- d-----w C:\Program Files\QuickTime 2007-12-23 16:37 --------- d-----w C:\Program Files\Google 2007-12-12 16:08 --------- d-----w C:\Program Files\EA GAMES 2007-12-12 16:05 --------- d-----w C:\Program Files\GameSpy Arcade 2007-12-06 15:30 135,168 ----a-w C:\WINDOWS\system32\sfc_os.dll 2007-12-05 15:28 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys 2007-12-05 15:26 107,832 ----a-w C:\WINDOWS\system32\PnkBstrB.exe 2007-11-23 09:11 --------- d-----w C:\Program Files\Fichiers communs\Ulead Systems 2007-11-23 09:11 --------- d-----w C:\Documents and Settings\All Users\Application Data\Ulead Systems 2007-11-23 09:08 --------- d-----w C:\Program Files\CyberLink 2007-11-19 08:09 --------- d-----w C:\Documents and Settings\Benjamin\Application Data\BSplayer Pro 2007-11-16 16:08 685,816 ----a-w C:\WINDOWS\system32\drivers\sptd.sys 2007-09-30 20:01 66,872 ----a-w C:\WINDOWS\system32\PnkBstrA.exe 2007-04-12 14:50 44,912 ----a-w C:\Documents and Settings\Benjamin\Application Data\GDIPFONTCACHEV1.DAT 2007-02-07 20:56 645,670 ----a-w C:\Program Files\uTorrent-1.6-install.exe 2006-12-17 09:53 16,277,288 ----a-w C:\Program Files\Install_Messenger.exe 2006-08-20 20:17 848 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys . ((((((((((((((((((((((((((((( snapshot_2007-12-27_15.49.11.96 ))))))))))))))))))))))))))))))))))))))))) . + 2004-08-03 13:00:34 71,448 ----a-w C:\WINDOWS\LastGood\System32\cdm.dll + 2004-08-03 13:05:14 422,680 ----a-w C:\WINDOWS\LastGood\System32\wuapi.dll + 2004-08-03 13:01:20 115,480 ----a-w C:\WINDOWS\LastGood\System32\wuauclt.exe + 2004-08-03 13:00:26 1,081,112 ----a-w C:\WINDOWS\LastGood\System32\wuaueng.dll + 2004-08-03 13:01:56 120,088 ----a-w C:\WINDOWS\LastGood\System32\wucltui.dll + 2004-08-03 12:57:58 39,704 ----a-w C:\WINDOWS\LastGood\System32\wups.dll + 2004-08-03 12:58:34 120,288 ----a-w C:\WINDOWS\LastGood\System32\wuweb.dll - 2007-12-27 14:46:49 208,512 ----a-w C:\WINDOWS\system32\inetsrv\MetaBase.bin + 2007-12-27 17:27:12 208,517 ----a-w C:\WINDOWS\system32\inetsrv\MetaBase.bin - 2004-08-03 13:01:20 115,480 ----a-w C:\WINDOWS\system32\wuauclt.exe + 2007-07-30 18:19:16 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe - 2004-08-03 13:00:26 1,081,112 ----a-w C:\WINDOWS\system32\wuaueng.dll + 2007-07-30 18:19:42 1,712,984 ----a-w C:\WINDOWS\system32\wuaueng.dll - 2004-08-03 13:01:56 120,088 ----a-w C:\WINDOWS\system32\wucltui.dll + 2007-07-30 18:19:32 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll - 2004-08-03 12:57:58 39,704 ----a-w C:\WINDOWS\system32\wups.dll + 2007-07-30 18:18:40 33,624 ----a-w C:\WINDOWS\system32\wups.dll - 2004-08-03 12:58:34 120,288 ----a-w C:\WINDOWS\system32\wuweb.dll + 2007-07-30 18:19:28 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll . ((((((((((((((((((((((((((((((((((((((((((((( AWF )))))))))))))))))))))))))))))))))))))))))))))))))))))))))) . ----a-w 617,984 2002-12-06 14:07:48 C:\Program Files\ASUS\Probe\bak\AsusProb.exe ----a-w 180,269 2005-05-19 17:29:37 C:\Program Files\Fichiers communs\Real\Update_OB\bak ealsched.exe ----a-w 81,920 2004-05-28 03:50:20 C:\Program Files\Fichiers communs\Ulead Systems\DVD\bak\USISrv.exe ----a-w 122,368 2006-08-20 20:10:22 C:\Program Files\Google\Google Desktop Search\bak\GoogleDesktop.exe ----a-w 49,152 2004-09-13 13:49:00 C:\Program Files\HP\HP Software Update\bak\HPWuSchd2.exe ----a-w 49,152 2006-02-19 00:41:10 C:\Program Files\HP\HP Software Update\hpwuSchd2.exe ----a-w 892,928 2003-12-01 09:38:16 C:\Program Files\Logitech\iTouch\bak\iTouch.exe ----a-w 269,104 2006-06-29 23:54:45 C:\Program Files\Microsoft LifeCam\bak\LifeExp.exe ----a-w 12,288 2003-04-02 02:20:37 C:\Program Files\Winamp\bak\Winampa.exe . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E8C1AEFE-5C8A-4245-8101-1692CBCD7BCB}] 2007-12-27 18:26 331776 --------- C:\WINDOWS\System32\ddcdd.dll [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Router"="C:\Program Files\Router\Router.exe" [2007-12-27 18:26] "µTorrent"="C:\Program Files\utorrent\utorrent.exe" [2007-12-27 18:26] "swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-12-27 18:26] "Google Desktop Search"="C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" [] "DAEMON Tools"="F:\daemon tools\daemon.exe" [] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" [2007-12-27 18:26] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SDTray"="C:\Program Files\Spyware Doctor\SDTrayApp.exe" [2007-12-27 18:09] "QuickTime Task"="C:\Program Files\QuickTime\qttask .exe" [] "NeroFilterCheck"="C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2007-12-27 18:26] "Logitech Utility"="Logi_MwX.Exe" [2003-11-07 10:50 C:\WINDOWS\LOGI_MWX.EXE] "Babylon Client"="C:\Program Files\Babylon\Babylon-Pro\Babylon.exe" [] "avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-12-27 18:26] "Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-12-27 18:26] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2002-08-29 12:45] [HKEY_CURRENT_USER\software\microsoft\windows nt\currentversion\windows] "load"=C:\WINDOWS\System32\ddcdd.exe [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] Authentication Packages REG_MULTI_SZ msv1_0 C:\WINDOWS\System32\ddcdd [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice] @="" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice] @="" R0 Qvb40;Qvb40;C:\WINDOWS\System32\Drivers\Qvb40.sys [] R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2007-08-09 13:04] R1 fwdrv;Firewall Driver;C:\WINDOWS\System32\drivers\fwdrv.sys [2007-04-26 10:21] R1 khips;Kerio HIPS Driver;C:\WINDOWS\System32\drivers\khips.sys [2007-04-26 10:21] R2 MSCamSvc;MSCamSvc;"C:\Program Files\Microsoft LifeCam\MSCamSvc.exe" [2006-06-30 00:54] R2 SMTPSVC;Simple Mail Transfer Protocol (SMTP);C:\WINDOWS\System32\inetsrv\inetinfo.exe [2001-08-28 15:00] R2 SPF4;Sunbelt Personal Firewall 4;"C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe" [2007-04-26 10:21] S3 Brndis;External USB Cable Modem;C:\WINDOWS\System32\DRIVERS\Brndis.sys [2004-02-06 05:44] S3 VX1000;VX-1000;C:\WINDOWS\System32\DRIVERS\VX1000.sys [2006-06-30 00:42] . Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es' "2007-12-27 15:00:00 C:\WINDOWS\Tasks\HPpromotions journeysoftware.job" - C:\Program Files\hp\digital imaging\bin\hp promotions\journeysoftware\HPpromo.exe "2007-12-23 16:38:14 C:\WINDOWS\Tasks\Norton Security Scan.job" - C:\Program Files\Norton Security Scan\Nss.exe . ************************************************************************** catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-12-27 18:28:27 Windows 5.1.2600 Service Pack 1 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** . --------------------- DLLs Loaded Under Running Processes --------------------- PROCESS: C:\WINDOWS\system32\lsass.exe [5.01.2600.1106] -> C:\Program Files\Google\Google Desktop Search\GoogleDesktopNetwork1.dll PROCESS: C:\WINDOWS\Explorer.EXE [6.00.2800.1106] -> C:\WINDOWS\System32\ddcdd.dll -> C:\Program Files\Google\Google Desktop Search\GoogleDesktopNetwork1.dll . Completion time: 2007-12-27 18:31:29 - machine was rebooted C:\ComboFix2.txt ... 2007-12-27 15:51 . 2007-12-26 17:19:24 --- E O F --- hijack Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 22:13:43, on 27/12/2007 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Program Files\EPSON\ESM2\eEBSVC.exe C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe C:\WINDOWS\System32\alg.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe C:\WINDOWS\System32\inetsrv\inetinfo.exe C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe C:\Program Files\Microsoft LifeCam\MSCamSvc.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\System32\PnkBstrA.exe C:\WINDOWS\System32\PnkBstrB.exe C:\Program Files\Spyware Doctor\svcntaux.exe C:\Program Files\Spyware Doctor\swdsvc.exe C:\WINDOWS\System32 cpsvcs.exe C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\wdfmgr.exe C:\Program Files\Spyware Doctor\SDTrayApp .exe C:\WINDOWS\System32 undll32.exe C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe C:\Program Files\Logitech\MouseWare\system\em_exec.exe C:\Program Files\utorrent\utorrent .exe C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe C:\Program Files\Google\Google Updater\GoogleUpdater.exe C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe C:\WINDOWS\System32\wuauclt.exe C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe C:\Program Files\MSN Messenger\msnmsgr.exe C:\Program Files\MSN Messenger\usnsvc.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\WINDOWS\explorer.exe C:\HijackThis.exe C:\WINDOWS\System32\wbem\wmiprvse.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.google.fr/?gws_rd=ssl R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens F3 - REG:win.ini: load=C:\WINDOWS\System32\ddcdd.exe O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll O4 - HKLM\..\Run: [SDTray] "C:\Program Files\Spyware Doctor\SDTrayApp.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask .exe" -atboottime O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [Babylon Client] C:\Program Files\Babylon\Babylon-Pro\Babylon.exe -AutoStart O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized O4 - HKCU\..\Run: [Router] C:\Program Files\Router\Router.exe O4 - HKCU\..\Run: [µTorrent] "C:\Program Files\utorrent\utorrent.exe" O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup O4 - HKCU\..\Run: [DAEMON Tools] "F:\daemon tools\daemon.exe" -lang 1033 O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe O4 - Global Startup: Rappels du Calendrier Microsoft Works.lnk = ? O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O14 - IERESET.INF: START_PAGE_URL=https://www.google.fr/?gws_rd=ssl O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/71365/kavwebscan_unicode.cab O16 - DPF: {50BD5CDA-4BA8-4048-8FAA-763F222E41D8} - ms-its:mhtml:file://c:\nores.mht!http://adxrnet.net/code/chm/xpre.chm::/xpreload.ocx O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Program Files\EPSON\ESM2\eEBSVC.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Kerio Personal Firewall 4 (KPF4) - Unknown owner - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe (file missing) O23 - Service: NBService - Unknown owner - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe (file missing) O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\System32\PnkBstrA.exe O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\System32\PnkBstrB.exe O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\svcntaux.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\swdsvc.exe O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Unknown owner - C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindService.exe (file missing)

FillPCA · Answer

Re,

Bien joué. Ton rapport Kaspersky n'est pas entier. Cela prendra du temps, mais il faut que tu recommences Kaspersky en choisissant "my computer".

FillPCA

sophie · Answer

voilà le rapport entier 

Thursday, December 27, 2007 8:09:35 PM
Operating System: Microsoft Windows XP Professional, Service Pack 1 (Build 2600)
Kaspersky Online Scanner version: 5.0.98.0
Kaspersky Anti-Virus database last update: 27/12/2007
Kaspersky Anti-Virus database records: 497933
 
 
Scan Settings 
Scan using the following antivirus database extended 
Scan Archives true 
Scan Mail Bases true 
 
Scan Target Critical Areas 
C:\WINDOWS
C:\DOCUME~1\Benjamin\LOCALS~1\Temp\  
 
Scan Statistics 
Total number of scanned objects 14447 
Number of viruses found 2 
Number of infected objects 11 
Number of suspicious objects 0 
Duration of the scan process 00:10:56 

Infected Object Name Virus Name Last Action 
C:\WINDOWS\CSC\00000001  Object is locked  skipped  
 
C:\WINDOWS\Debug\oakley.log  Object is locked  skipped  
 
C:\WINDOWS\Debug\PASSWD.LOG  Object is locked  skipped  
 
C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig .exe  Infected: not-a-virus:AdWare.Win32.Virtumonde.cli  skipped  
 
C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe  Infected: not-a-virus:AdWare.Win32.Virtumonde.cli  skipped  
 
C:\WINDOWS\SchedLgU.Txt  Object is locked  skipped  
 
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log  Object is locked  skipped  
 
C:\WINDOWS\Sti_Trace.log  Object is locked  skipped  
 
C:\WINDOWS\system32\config\AppEvent.Evt  Object is locked  skipped  
 
C:\WINDOWS\system32\config\default  Object is locked  skipped  
 
C:\WINDOWS\system32\config\default.LOG  Object is locked  skipped  
 
C:\WINDOWS\system32\config\SAM  Object is locked  skipped  
 
C:\WINDOWS\system32\config\SAM.LOG  Object is locked  skipped  
 
C:\WINDOWS\system32\config\SecEvent.Evt  Object is locked  skipped  
 
C:\WINDOWS\system32\config\SECURITY  Object is locked  skipped  
 
C:\WINDOWS\system32\config\SECURITY.LOG  Object is locked  skipped  
 
C:\WINDOWS\system32\config\software  Object is locked  skipped  
 
C:\WINDOWS\system32\config\software.LOG  Object is locked  skipped  
 
C:\WINDOWS\system32\config\SysEvent.Evt  Object is locked  skipped  
 
C:\WINDOWS\system32\config\system  Object is locked  skipped  
 
C:\WINDOWS\system32\config\system.LOG  Object is locked  skipped  
 
C:\WINDOWS\system32\cqvidqpi.exe  Infected: not-a-virus:AdWare.Win32.Virtumonde.cli  skipped  
 
C:\WINDOWS\system32\ddcdd.dll  Infected: not-a-virus:AdWare.Win32.Virtumonde.clc  skipped  
 
C:\WINDOWS\system32\drivers\sptd.sys  Object is locked  skipped  
 
C:\WINDOWS\system32\h323log.txt  Object is locked  skipped  
 
C:\WINDOWS\system32\otrfbyh.exe  Infected: not-a-virus:AdWare.Win32.Virtumonde.cli  skipped  
 
C:\WINDOWS\system32\RCX3D.tmp  Infected: not-a-virus:AdWare.Win32.Virtumonde.cli  skipped  
 
C:\WINDOWS\system32\RCX41.tmp  Infected: not-a-virus:AdWare.Win32.Virtumonde.cli  skipped  
 
C:\WINDOWS\system32\RCX4C.tmp  Infected: not-a-virus:AdWare.Win32.Virtumonde.cli  skipped  
 
C:\WINDOWS\system32\rfou.exe  Infected: not-a-virus:AdWare.Win32.Virtumonde.cli  skipped  
 
C:\WINDOWS\system32\vyks.exe  Infected: not-a-virus:AdWare.Win32.Virtumonde.cli  skipped  
 
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR  Object is locked  skipped  
 
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA  Object is locked  skipped  
 
C:\WINDOWS\system32\xopgh.exe  Infected: not-a-virus:AdWare.Win32.Virtumonde.cli  skipped  
 
C:\WINDOWS\wiadebug.log  Object is locked  skipped  
 
C:\WINDOWS\wiaservc.log  Object is locked  skipped  
 
C:\WINDOWS\WindowsUpdate.log  Object is locked  skipped  
 
C:\DOCUME~1\Benjamin\LOCALS~1\Temp\Cookies\index.dat  Object is locked  skipped  
 
C:\DOCUME~1\Benjamin\LOCALS~1\Temp\Historique\History.IE5\index.dat  Object is locked  skipped  
 
C:\DOCUME~1\Benjamin\LOCALS~1\Temp\hpodvd09.log  Object is locked  skipped  
 
C:\DOCUME~1\Benjamin\LOCALS~1\Temp\Perflib_Perfdata_fa8.dat  Object is locked  skipped  
 
C:\DOCUME~1\Benjamin\LOCALS~1\Temp\Temporary Internet Files\Content.IE5\index.dat  Object is locked  skipped  
 
C:\DOCUME~1\Benjamin\LOCALS~1\Temp\~DFE47C.tmp  Object is locked  skipped  
 
Scan process completed.

FillPCA · Answer

Re,

Je n'ai jamais vu un pc aussi infecté. Compte-tenu que tu possèdes un windows probablement cracké, on constate qu'il y a des ré-infections presque automatiques, car ton système non à jour est très vulnérable.

Je veux bien continuer, mais le plus simple serait, dans ce cas précis de formater et de ré-installer.
FillPCA

sophie · Answer

oui c'est ce que je pense aussi, en tout cas je te remercie du temps que tu m'as accordé :-)

FillPCA · Answer

OK.

Tu peux consulter ce lien pour améliorer la sécurité de ton pc : https://forum.pcastuces.com/default.asp

Bonne soirée.

FillPCA

sophie · Answer

merci. Bonne soirée à toi aussi et necore merci

Help: pc lourdement infecté

34 réponses

Votre réponse

Newsletters