des centaines de couuriers sortant Fermé

Question

Bonjour,

Je viens vers vous car mon pc semble être infecté par un cheval de troie dont je n'arrive pas à me débarrasser. Des centaines de courriers d'inconnus sortant passent par mon ordinateur, rien que 7000 en 1h30.
Que me conseillez vous?
D'avance merci pour votre aide et vos conseils
A bientôt
Helene

ep44 · Answer

Bonsoir
commence par ceci 
Télécharge sur le bureau
ftp://ftp.commentcamarche.com/download/HJTInstall.exe

=> Double-clic dessus
=> installe 
=> Clic Do a system scan and save the log
=> coller le rapport
si problème voir l'aide
http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm

Mundows · Answer

Bonsoir,

Vous êtes infectée par un troyen qui a transformé votre ordinateur en zombie pour le compte d'un spammeur.
La première chose à faire est de déconnecter du réseau l'ordinateur infecté et d'utiliser un autre ordinateur si c'est possible.

Questions:
Avez vous un Antivirus ?
Avez vous un pare feu ? 

Si vous n'avez aps de pare feu installez ceci : Sunbelt personal firewall : https://www.vipre.com/vipre-home-protection-products/ 
Ensuite  celui ci (antivirus) Antivir (si vous avez déjà un antivirus désinstallez le avant)

après avoir installé le pare feu, celui ci vous permettra d'empêcher la connexion a  internet du troyen.

helene · Answer

Merci pour votre réponse
Voici le rapport demandé
J'espère avoir bien suivi vos instructions
A plus tard
Helene

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:12:52, on 01/24/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\Explorer.EXE
C:\ATI-CPanel\atiptaxx.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Intuwave Ltd\Shared\mRouterRunTime\mRouterConfig.exe
C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
C:\PROGRA~1\INTUWA~1\Shared\MROUTE~1\mRouterRuntime.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ustart.org
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ustart.org
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Program Files\Outlook Express\msimn.exe"
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {89A1E40D-0254-4F99-B9AE-B60A2D8754A9} - C:\WINDOWS\system32\cbxxyaa.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Program Files\TGTSoft\StyleXP\TGT_BHO.dll
O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [mRouterConfig] "C:\Program Files\Intuwave Ltd\Shared\mRouterRunTime\mRouterConfig.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-21-1454471165-688789844-839522115-1006\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Serge')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-21-1454471165-688789844-839522115-1006 Startup: Stardock ObjectDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe (User 'Serge')
O4 - S-1-5-21-1454471165-688789844-839522115-1006 Startup: y'z toolbar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe (User 'Serge')
O4 - S-1-5-21-1454471165-688789844-839522115-1006 User Startup: Stardock ObjectDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe (User 'Serge')
O4 - S-1-5-21-1454471165-688789844-839522115-1006 User Startup: y'z toolbar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe (User 'Serge')
O4 - Startup: stardock objectdock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
O8 - Extra context menu item: &Download with TrueDownloader! - C:\Program Files\TrueDownloader\TrueDownloader.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - 
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - http://download.bitdefender.com/resources/scan8/oscan8.cab
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O20 - Winlogon Notify: cbxxyaa - C:\WINDOWS\SYSTEM32\cbxxyaa.dll
O20 - Winlogon Notify: winpsa32 - C:\WINDOWS\SYSTEM32\winpsa32.dll
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe

Mundows · Answer

infection par "C:\WINDOWS\SYSTEM32\winpsa32.dll"

helene · Answer

bonsoir Mundows, 
merci pour le diagnostic, et maintenant, que dois je faire svp pour éradiquer ce truedownloader?
d'avance merci à vous et à ep44
helene

ep44 · Answer

Télécharge sur le Bureau.
http://www.atribune.org/ccount/click.php?id=4

=> Double-clic VundoFix.exe.
=> Clic OK
=> Attendre le redemarrage de Vundofix
=> Clic Scan for Vundo
=> Le scan est assez long , à la fin
=> Clic Remove Vundo
=> Puis yes
=> Le Bureau disparaît un moment lors de la suppression des fichiers.
=> Message shutdown
=> clic OK
=> Redémarrage auto
=> copier le rapport qui est dans C:vundofix.txt


ensuite 

Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
et sauvegarde le sur ton bureau et pas ailleurs!

Double-clic sur combofix,
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
@+

helene · Answer

Merci ep44
je me lance et vous fais signe quand j'ai fini
à plus tard
helene

ep44 · Answer

ok

helene · Answer

dites ep44, pendant que vindofix scanne, je vois qu'après je dois télécharger un logiciel et le sauvegarder sur le bureau et "pas ailleurs"
comment devrais je m'y prendre
merci

ep44 · Answer

et bien tu le télécharge sur ton bureau et pas ailleurs 
donc que sur ton bureau ;-)))

et le tutoiement est de vigueur ;-)))
@++

helene · Answer

me revoici  ep44 avec le rapport vundofix, sauf erreur, je n'ai pas trouvé celui de combofix
mon pc rame de plus en plus
et maintenant, que dois-je faire?
merci pour tout
à plus tard
helene


VundoFix V6.7.7

Checking Java version...

Java version is 1.4.2.3
Old versions of java are exploitable and should be removed.

Java version is 1.5.0.2
Old versions of java are exploitable and should be removed.

Java version is 1.5.0.4
Old versions of java are exploitable and should be removed.

Java version is 1.5.0.6
Old versions of java are exploitable and should be removed.

Java version is 1.5.0.9
Old versions of java are exploitable and should be removed.

Scan started at 21:35:29 01/24/2008

Listing files found while scanning....

C:\WINDOWS\system32\cbxxyaa.dll
C:\WINDOWS\system32\mljgd.dll
C:\WINDOWS\system32\winpsa32.dll

Beginning removal...

 Attempting to delete C:\WINDOWS\system32\cbxxyaa.dll
C:\WINDOWS\system32\cbxxyaa.dll Could not be deleted.

 Attempting to delete C:\WINDOWS\system32\mljgd.dll
C:\WINDOWS\system32\mljgd.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\winpsa32.dll
C:\WINDOWS\system32\winpsa32.dll Has been deleted!

Performing Repairs to the registry.
Done!

Beginning removal...

ep44 · Answer

pour celui de combofix regarde dans c:
tu dois avoir un dossier texte

helene · Answer

Voici les fichiers .txt trouvés dans C:combofix
J'ai toujours des courriers qui arrivent mais en nombre semble t-il plus restreint.
Que disent les rapports?
Encore merci ep44 et à plus tard peut être demain


ComboFix 08-01-23.1B - H‚lŠne 2008-01-24 22:18:20.1 - NTFSx86
Microsoft Windows XP Édition familiale  5.1.2600.2.1252.1.1036.18.204 [GMT 1:00]
Endroit: C:\Documents and Settings\H‚lŠne\Bureau\ComboFix.exe
 * Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]




s/\x3b //g
s/C:\WINDOWS\system32\rundll32\.exe //I
s/C:\WINDOWS\system32\rundll32 //I
s/rundll32\.exe //I
s/rundll32 //I
s/\x22//g
s/^ +//
s/,.*//
s/<NO NAME>/@/
s/	.*	/	/
s/\.exe .*/.exe/I
s/\.dll .*/.dll/I
s/\x25programfiles\x25/C:\Program Files/I
s/\x25systemroot\x25/C:\WINDOWS/I
.





\??\C:
tdetect.com\0\0
\??\C:\boot.ini\0\0
\??\C:
tldr\0\0
\??\C:\WINDOWS\0\0
\??\C:\WINDOWS\explorer.exe\0\0
\??\C:\WINDOWS\system32\csrss.exe\0\0
\??\C:\WINDOWS\system32\lsass.exe\0\0
\??\C:\WINDOWS\system32\services.exe\0\0
\??\C:\WINDOWS\system32\smss.exe\0\0
\??\C:\WINDOWS\system32\svchost.exe\0\0
\??\C:\WINDOWS\system32\userinit.exe\0\0
\??\C:\WINDOWS\system32\winlogon.exe\0\0
\??\C:\WINDOWS\system32\hal.dll\0\0
\??\C:\WINDOWS\system32
tdll.dll\0\0
\??\C:\WINDOWS\system32\config\0\0
\??\C:\WINDOWS\system32\drivers\0\0
\??\C:\WINDOWS\system32\wbem\0\0

ep44 · Answer

ceci n'est pas le rapport de combofix

relance combofix et laise le traviller 
il doit passer environ 40 étapes une fois fini il te met un rapport directement sur le bureau
si tu ne le vois pas il se trouve dans c:
regarde à quoi ressemble un rapport de combofix 
http://www.commentcamarche.net/forum/affich 4252452 ordinateur aun ralentie?page=2#27
@+ 
et à demain sans soucis ;-))

helene · Answer

je sens la sommeil me gagner
à demain donc
bonne nuit et merci 
helene

ep44 · Answer

ok fait ce que je viens de t'indiquer et à demain en fin de soirée pour moi 
@+

helene · Answer

Bonjour ep44

j'ai refait comme tu me l'as dit un combofix, je l'ai laissé "travailler" tranquillement, mais je n'ai toujours pas de rapport ni sur le bureau ni dans C, je dois mal m'y prendre.........
j'ai refait un scan vundofix, voici le rapport, il n'a plus rien trouvé mais j'ai toujours les courriers d'inconnus qui défilent et qui ralentissent le pc
j'attends les nouvelles instructions
à ce soir
merci
helene


Scan started at 11:13:42 2008-01-25

Listing files found while scanning....

No infected files were found.


Beginning removal...

ep44 · Answer

Bonsoir Hélène,

il serait vraiment bien d'avoir ce rapport il nous donnerait vraiment un bon coup de main 
normaleent tu devrais avoir dans c: un dossier texte nommé combofix.txt
est-ce que tu la vraiment téléchargé sur ton bureau ?

Il nous reste ceci à trouver C:\WINDOWS\system32\cbxxyaa.dll
donc regarde bien si tu as ce rapport 
si tu ne trouve pas dit le moi on essaiera autre chose 
@+ ;-)

helene · Answer

Bonjour  ep44
Désolée d'avoir tant tardée à répondre, j'étais absente tout le week end et je retrouve mon pc infectée!!!!!!evidemment...........
Je n'ai définitivement pas trouvé ce fichu rapport! Mais en faisant une recherche avec le nom du "virus", voilà ce que j'ai trouvé:
cbxxyaa.dll.bad dans le dossier C:vundofix backups
cbxxyaa.dll.vir dans le dossier C:qoobox/quarantaine/C;/Windows/system32
Voilà, j'attends toujours des conseils, je suis désolée de ne pas trouver ce rapport
D'avance merci
A bientôt
Helene

ep44 · Answer

Bonsoir 

supprime tout les logiciels que nous avons utilisé 
ensuite tu retélécharge combofix et tu attends qu'il ai fini
 http://download.bleepingcomputer.com/sUBs/ComboFix.exe 
tu doit avoir un rapport qui s'affiche de lui même 
si ce n'est pas le cas regarde dans c: tu doit avoir un dossier texte combofix 
@+

helene · Answer

Bonjour Voici le rapport enfin reçu en suivant tes instructions ComboFix 08-01-29.3 - Hélène 2008-01-29 8:40:20.4 - NTFSx86 Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.221 [GMT 1:00] Endroit: C:\Documents and Settings\Hélène\Bureau\ComboFix.exe * Création d'un nouveau point de restauration [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color] . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . . ---- Previous Run ------- . C:\Documents and Settings\H‚lŠne\Menu D‚marrer\Programmes\Outerinfo C:\Documents and Settings\Hélène\Menu Démarrer\Programmes\Outerinfo\Terms.lnk C:\Documents and Settings\Hélène\Menu Démarrer\Programmes\Outerinfo\Uninstall.lnk C:\Program Files\outerinfo C:\Program Files\outerinfo\FF\chrome.manifest C:\Program Files\outerinfo\FF\components\FF.dll C:\Program Files\outerinfo\FF\components\OuterinfoAds.xpt C:\Program Files\outerinfo\FF\install.rdf C:\Program Files\outerinfo\OiUninstaller.exe C:\Program Files\outerinfo\outerinfo.ico C:\Program Files\outerinfo\Terms.rtf C:\WINDOWS\system32\5_exception.nls C:\WINDOWS\system32\cbxxyaa.dll C:\WINDOWS\system32\pbltr.dll C:\WINDOWS\system32\rvid32.dll . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\runtime ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-12-28 to 2008-01-29 )))))))))))))))))))))))))))))))))))) . 2008-01-24 22:15 . 2008-01-28 09:02 d-------- C:\ComboFix(2) 2008-01-24 21:35 . 2008-01-24 22:11 d-------- C:\VundoFix Backups 2008-01-24 21:11 . 2008-01-24 21:11 d-------- C:\Program Files\Trend Micro 2008-01-24 19:20 . 2008-01-24 19:20 25,984 --a------ C:\WINDOWS\system32\drivers\Fko72.sys 2008-01-24 19:19 . 2008-01-24 19:19 58,368 --a------ C:\evvr.exe 2008-01-24 19:19 . 2008-01-24 19:19 54,764 --a------ C:\WINDOWS\system32\drivers\srtwe.sys 2008-01-24 19:19 . 2008-01-24 19:19 29,184 --a------ C:\hvngfrv.exe 2008-01-24 19:19 . 2008-01-24 19:19 3,584 --a------ C:\asswegsh.exe 2008-01-16 23:26 . 2008-01-29 08:47 54,156 --ah----- C:\WINDOWS\QTFont.qfn 2008-01-16 23:26 . 2008-01-16 23:26 1,409 --a------ C:\WINDOWS\QTFont.for 2008-01-16 23:25 . 2008-01-16 23:25 d-------- C:\Program Files\iTunes 2008-01-11 18:14 . 2008-01-11 18:14 d-------- C:\Documents and Settings\Serge\stage geoffroy 2008-01-10 20:17 . 2008-01-10 20:17 d-------- C:\Program Files\mst software 2008-01-10 20:15 . 2008-01-10 20:15 d-------- C:\Program Files\winMd5Sum 2008-01-10 15:27 . 2008-01-10 15:27 90,112 --a------ C:\WINDOWS\system32\QuickTimeVR.qtx 2008-01-10 15:27 . 2008-01-10 15:27 57,344 --a------ C:\WINDOWS\system32\QuickTime.qts 2008-01-09 16:27 . 2008-01-09 16:33 d-------- C:\Program Files\vLite 2008-01-09 16:27 . 2006-11-02 02:50 128,104 --a--c--- C:\WINDOWS\system32\drivers\WimFltr.sys 2008-01-03 17:57 . 2006-11-29 13:06 3,426,072 --a--c--- C:\WINDOWS\system32\d3dx9_32.dll 2008-01-03 17:56 . 2008-01-03 17:56 d-------- C:\Program Files\Microsoft SQL Server Compact Edition 2008-01-03 17:52 . 2008-01-07 10:56 d-------- C:\Program Files\Windows Live 2008-01-03 17:52 . 2008-01-03 17:53 d--hsc--- C:\Program Files\Fichiers communs\WindowsLiveInstaller 2008-01-03 17:51 . 2008-01-03 17:51 d-------- C:\Documents and Settings\All Users\Application Data\WLInstaller 2008-01-01 15:12 . 2008-01-01 15:12 d-------- C:\Program Files\OneStepSearch 2008-01-01 15:11 . 2007-06-25 15:02 475,136 --a--c--- C:\WINDOWS\system32\SkinCrafter2.dll 2008-01-01 15:04 . 2008-01-01 15:07 d-------- C:\Program Files\eChanblard . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-01-28 18:49 --------- d-----w C:\Documents and Settings\Serge\Application Data\OpenOffice.org2 2008-01-25 10:19 --------- d-----w C:\Documents and Settings\All Users\Application Data\Google Updater 2008-01-24 19:29 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy 2008-01-24 17:49 --------- d-----w C:\Program Files\eMule 2008-01-16 22:25 --------- d-----w C:\Program Files\iPod 2008-01-16 22:23 --------- d-----w C:\Program Files\QuickTime 2008-01-10 11:46 --------- d-----w C:\Documents and Settings\Geoffroy\Application Data\OpenOffice.org2 2008-01-08 15:01 --------- d-----w C:\Program Files\BitZipper 2008-01-07 10:12 --------- d--h--w C:\Program Files\InstallShield Installation Information 2008-01-07 10:09 --------- d-----w C:\Documents and Settings\All Users\Application Data\Skyline 2008-01-07 10:07 --------- d-----w C:\Program Files\OSCILLO 2008-01-07 10:06 --------- d-----w C:\Program Files\Microsoft Works 2008-01-07 09:54 --------- d-----w C:\Program Files\Skype 2008-01-07 09:54 --------- d-----w C:\Documents and Settings\All Users\Application Data\Skype 2008-01-07 09:53 --------- d-----w C:\Program Files\Fichiers communs\Real 2008-01-07 09:45 --------- d-----w C:\Program Files\Windows Media Connect 2 2007-12-16 09:15 --------- d-----w C:\Program Files\OpenOffice.org 2.3 2007-12-16 09:09 --------- d-----w C:\Program Files\Java 2007-12-12 18:16 40,672 -c----w C:\WINDOWS\system32\drivers\CESG502.SYS 2007-12-04 14:56 93,264 -c--a-w C:\WINDOWS\system32\drivers\aswmon.sys 2007-12-04 14:55 94,544 -c--a-w C:\WINDOWS\system32\drivers\aswmon2.sys 2007-12-04 14:53 23,152 -c--a-w C:\WINDOWS\system32\drivers\aswRdr.sys 2007-12-04 14:51 42,912 -c--a-w C:\WINDOWS\system32\drivers\aswTdi.sys 2007-12-04 14:49 26,624 -c--a-w C:\WINDOWS\system32\drivers\aavmker4.sys 2007-12-04 13:04 837,496 ----a-w C:\WINDOWS\system32\aswBoot.exe 2007-12-04 12:54 95,608 -c--a-w C:\WINDOWS\system32\AVASTSS.scr 2007-12-01 16:37 --------- d-----w C:\Documents and Settings\Serge\Application Data\BitZipper 2007-11-29 22:15 --------- d-----w C:\Program Files\Google 2007-11-07 09:28 728,576 ----a-w C:\WINDOWS\system32\lsasrv.dll 2007-10-29 22:43 1,293,824 ----a-w C:\WINDOWS\system32\quartz.dll 2007-09-12 12:05 5,632 -csha-w C:\Program Files\Thumbs.db 2007-03-21 21:27 3,254,166 -c--a-w C:\Program Files\openofficeorg4.cab 2007-03-21 21:26 60,829,588 -c--a-w C:\Program Files\openofficeorg3.cab 2007-03-21 21:21 15,288,213 -c--a-w C:\Program Files\openofficeorg2.cab 2007-03-21 21:20 18,202,413 -c--a-w C:\Program Files\openofficeorg1.cab 2007-03-21 21:19 217 -c--a-w C:\Program Files\setup.ini 2007-03-21 21:18 4,856,320 -c--a-w C:\Program Files\openofficeorg22.msi 2007-03-06 10:34 319,488 -c--a-w C:\Program Files\setup.exe 2007-02-05 21:37 14,993,976 -c--a-w C:\Program Files\GoogleEarthWin.exe 2007-02-02 22:27 5,736,656 -c--a-w C:\Program Files\Firefox Setup 2.0.0.1.exe 2007-01-31 13:44 849 -c--a-w C:\Program Files\AVG Anti-Spyware.lnk 2007-01-06 18:57 10,703,680 -c--a-w C:\Program Files\NDP1.1sp1-KB867460-X86.exe 2007-01-05 22:16 1,475,376 -c--a-w C:\Program Files\GenuineCheck.exe 2007-01-04 19:43 4,569,325 -c--a-w C:\Program Files\Calendrier_2007_Voyages-sncf.com.exe 2006-12-18 08:29 533 -c-ha-w C:\Documents and Settings\Geoffroy\hpothb07.dat 2006-12-17 10:35 0 -c--a-w C:\Program Files\cqwydcgt.exe 2006-11-30 15:17 5,298,688 -c--a-w C:\Program Files\openofficeorg21.msi 2006-11-22 14:41 343 -c-ha-w C:\Documents and Settings\Default User\hpothb07.dat 2006-11-22 14:41 343 -c-ha-w C:\Documents and Settings\Administrateur\hpothb07.dat 2006-11-22 14:41 340 -c-ha-w C:\Documents and Settings\NetworkService\hpothb07.dat 2006-11-22 14:41 336 -c-ha-w C:\Documents and Settings\LocalService\hpothb07.dat 2006-11-22 14:41 333 -c-ha-w C:\Documents and Settings\Camille\hpothb07.dat 2006-11-22 14:41 325 -c-ha-w C:\Documents and Settings\All Users\hpothb07.dat 2006-11-22 14:41 1,003 -c-ha-w C:\Documents and Settings\Serge\hpothb07.dat 2006-07-18 13:41 1,019,094 -csha-r C:\Program Files\serial.tde 2006-07-04 21:56 11,290,496 -c--a-w C:\Program Files\setupfre.exe 2006-06-29 23:00 14,356,904 -c--a-w C:\Program Files\zlsSetup_65_725_000_fr.exe 2006-05-28 16:46 397,306 -csha-r C:\Program Files\wunauclt.zip 2006-05-28 16:46 397,306 -csha-r C:\Program Files\wunauclt.tbe 2006-03-31 22:06 43 -c--a-w C:\Program Files\blank.gif 2006-03-31 22:06 12,334 -c--a-w C:\Program Files\stubinstaller.ini 2006-03-18 08:41 1,455,106 -c--a-w C:\Program Files\fdminst.exe 2006-03-18 08:25 2,628,754 -c--a-w C:\Program Files\SetupTrueDownloader.exe 2006-03-14 11:30 57,796 -c--a-w C:\WINDOWS\Internet Logs\vsmon_2nd_2006_03_14_08_47_08_small.dmp.zip 2006-03-14 11:30 56,399 -c--a-w C:\WINDOWS\Internet Logs\vsmon_2nd_2006_03_14_08_46_56_small.dmp.zip 2006-03-14 11:30 54,334 -c--a-w C:\WINDOWS\Internet Logs\vsmon_2nd_2006_03_14_08_18_40_small.dmp.zip 2006-03-14 11:30 49,110 -c--a-w C:\WINDOWS\Internet Logs\vsmon_2nd_2006_03_14_08_46_37_small.dmp.zip 2006-03-14 07:18 65,292 -c--a-w C:\WINDOWS\Internet Logs\vsmon_2nd_2006_03_14_08_17_14_small.dmp.zip 2006-03-14 07:17 64,644 -c--a-w C:\WINDOWS\Internet Logs\vsmon_2nd_2006_03_14_08_09_39_small.dmp.zip 2006-02-23 19:35 2,016,856 -c--a-w C:\Program Files\rd2005trial.exe 2006-02-16 23:00 1,485,368 -c--a-w C:\Program Files\GoogleDesktopSetup.exe 2006-02-11 22:16 285,580 -c--a-w C:\Program Files\Autoruns.zip 2006-02-10 22:54 8,634 -c--a-w C:\Program Files\startuplist.txt 2006-02-10 22:52 58,368 -c--a-w C:\Program Files\StartupList.exe 2006-02-10 22:41 1,526,976 -c--a-w C:\Program Files\soref_regclean.exe 2006-02-08 19:35 2,855,080 -c--a-w C:\Program Files\aawsepersonal.exe 2006-02-08 19:26 5,037,072 -c--a-w C:\Program Files\spybotsd14.exe 2006-02-06 22:54 849,833 -c--a-w C:\Program Files\Startup_manager_2.0.zip 2006-02-02 19:09 27,977,025 -c--a-w C:\Program Files\vista-inspirat-pack_vista_inspirat_pack_1.1_francais_15013.exe 2005-09-16 21:40 985,739 -c--a-w C:\Program Files\ThumbClic.zip 2005-05-06 10:01 234,240 -c--a-w C:\Program Files\FrReform.exe 2005-04-18 12:31 2,609,152 -c--a-w C:\Program Files\Ink.msi 2002-03-11 09:06 1,822,520 -c--a-w C:\Program Files\instmsiw.exe 2002-03-11 08:45 1,708,856 -c--a-w C:\Program Files\instmsia.exe . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-03-30 11:31 68856] "mRouterConfig"="C:\Program Files\Intuwave Ltd\Shared\mRouterRunTime\mRouterConfig.exe" [2006-03-02 10:54 290816] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ATIPTA"="C:\ATI-CPanel\atiptaxx.exe" [2004-05-25 20:10 339968] "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224] "QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2008-01-10 15:27 385024] "iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2008-01-15 03:22 267048] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-20 00:09 15360] "Windows Time"="winmgr.exe" [] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer] "AllowLegacyWebView"= 1 (0x1) "AllowUnhashedWebView"= 1 (0x1) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"=C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Fko72.sys] @="Driver" R1 fwdrv;Firewall Driver;C:\WINDOWS\system32\drivers\fwdrv.sys [2007-03-16 08:56] R1 khips;Kerio HIPS Driver;C:\WINDOWS\system32\drivers\khips.sys [2007-03-16 08:56] R2 CX23880;MSI 8606 Video Capture;C:\WINDOWS\system32\drivers\CX88Vid.SYS [2003-08-28 15:14] R2 CX88XBAR;MSI 8606 Crossbar;C:\WINDOWS\system32\drivers\CX88XBar.SYS [2003-03-19 13:50] R2 CXTUNE;MSI 8606 Tuner;C:\WINDOWS\system32\drivers\CX88Tune.SYS [2003-08-21 15:35] S3 camvid20;Philips ToUcam Camera; Video;C:\WINDOWS\system32\DRIVERS\camdrv21.sys [] S3 Fko72;Fko72;C:\WINDOWS\System32\drivers\Fko72.sys [2008-01-24 19:20] S3 MPCSYS;MPCSYS;C:\WINDOWS\System32\DRIVERS\mpcsys.sys [2007-01-31 09:03] S3 PVUSB;CESG502 USB Driver;C:\WINDOWS\system32\DRIVERS\CESG502.sys [2007-12-12 19:16] S3 zebrbus;Sony Ericsson Composite Device driver;C:\WINDOWS\system32\DRIVERS\zebrbus.sys [2006-07-25 17:36] . Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es' "2008-01-16 22:08:03 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job" - C:\Program Files\Apple Software Update\SoftwareUpdate.exe "2008-01-28 08:00:00 C:\WINDOWS\Tasks\At73.job" - C:\WINDOWS\user32.exe "2008-06-16 09:12:08 C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1159858088.job" - C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe4-I . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-01-29 08:47:52 Windows 5.1.2600 Service Pack 2 NTFS Balayage processus cach‚s ... Balayage cach‚ autostart entries ... Balayage des fichiers cach‚s ... Scan termin‚ avec succŠs Les fichiers cach‚s: 0 ************************************************************************** . --------------------- DLLs a charg‚ sous des processus courants --------------------- PROCESS: C:\WINDOWS\Explorer.EXE [6.00.2900.3156] -> C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\DockShellHook.dll . ------------------------ Other Running Processes ------------------------ . C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe C:\ATI-CPanel\atiptaxx.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Program Files\iTunes\iTunesHelper.exe C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Program Files\Intuwave Ltd\Shared\mRouterRunTime\mRouterConfig.exe C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe C:\PROGRA~1\INTUWA~1\Shared\MROUTE~1\mRouterRuntime.exe C:\Program Files\iPod\bin\iPodService.exe . ************************************************************************** . Temps d'accomplissement: 2008-01-29 8:50:43 - machine was rebooted [H‚lŠne] ComboFix-quarantined-files.txt 2008-01-29 07:50:34 . 2008-01-10 15:56:44 --- E O F --- J'attends de tes nouvelles Avast a semble-t-il détecté un autre cheval de troie toujours ans windows 32 D'avance merci pour tout Helene

ep44 · Answer

Bonsoir, selectionne ceci

driver::

srtwe.sys
Fko72.sys


File::

C:\WINDOWS\system32\drivers\Fko72.sys
C:\evvr.exe
C:\WINDOWS\system32\drivers\srtwe.sys
C:\hvngfrv.exe
C:\asswegsh.exe 



* Copie le texte sélectionné (CTRL+C).
* Ouvre le bloc-notes (programme>Accessoires >bloc-notes).
* Colle le texte copié dans ce bloc-notes (CTRL+V).
* Sauvegarde ce fichier sous le nom de CFScript.txt
* Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe
* Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
* Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises : c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
* Une fois le scan achevé, un rapport va s'afficher : Poste son contenu.
* Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
+un nouveau rapport hijack

@+

helene · Answer

Bonsoir ep

merci d'être fidèle au rdv
je vais paraitre stupide, mais peux-tu m'expliquer comment et où je sélectionne 
"driver::

srtwe.sys
Fko72.sys


File::

C:\WINDOWS\system32\drivers\Fko72.sys
C:\evvr.exe
C:\WINDOWS\system32\drivers\srtwe.sys
C:\hvngfrv.exe
C:\asswegsh.exe "
merci
à tout de suite
helene

helene · Answer

C'est encore moi,

J'ai trouvé ça dans les rapport combofix, mais pas les 2 driver que tu m'indiques
Sous driver, il y a juste inscrit "runtime"

File::

C:\WINDOWS\system32\drivers\Fko72.sys
C:\evvr.exe
C:\WINDOWS\system32\drivers\srtwe.sys
C:\hvngfrv.exe
C:\asswegsh.exe

Quand j'aurai repéré ces 2  éléments manquant, je les copie et colle dans un dossier wordpad et ensuite......je dois glisser déposer ce nouveau fichier dans le fichier combofix exe que je trouve où?????????
Je suis désolée, je n'y connais pas grand chose et je ne voudrai pas faire de bêtise
Merci
à tout de suite helene

jimbob · Answer

salut!:
un conseil pour l’avenir
Pour ne  pas attraper de virus pas il ne faut jamais  utiliser XP en mode Administrateur
Windows XP crée un compte Administrateur pendant la procédure d'installation. La plupart des utilisateurs se simplifient la vie, croient-ils, en conservant ce compte pour exploiter leur machine. Un virus, un cheval de Troie ou  une fausse manipulation peut donner le contrôle à un attaquant extérieur qui en tant qu'Administrateur aura alors tous pouvoirs pour supprimer des comptes, changer les mots de passe, installer des logiciels, supprimer les fichiers, etc...
En revanche, si vous utilisez votre machine avec des droits réduits, Utilisateur ou Utilisateur avec pouvoir, les dégâts possibles seront très limités. Je vous conseille donc de créer un utilisateur et d'utiliser ce mode pour travailler. Il suffira de repasser en mode Administrateur le temps nécessaire pour installer de nouveaux logiciels ou pour faire des opérations sur le système. Pour ceux qui ont besoin de repasser souvent en mode Administrateur, il existe une commande Exécuter comme... (en faisant clic droit) qui permet d'exécuter un programme en mode administrateur sans changer de session.

Plus de précision ici :
https://www.figer.com/Publications/xpgroupes.htm

helene · Answer

bonsoir jimbob

merci pour vos conseils
quand j'en aurai fini avec ce virus, je suivrai vos conseils 
à bientôt
helene

ep44 · Answer

excuse moi helene 
tu fait un copier coller
;-)

helene · Answer

oui, mais je n'ai pas trouvé les 2 éléments de driver

helene · Answer

et je ne suis pas sûre d'avoir compris où coller  ce que je copie
..............je suis désolée, je suis loin d'être experte!

ep44 · Answer

tu copie ceci


driver::

srtwe.sys
Fko72.sys


File::

C:\WINDOWS\system32\drivers\Fko72.sys
C:\evvr.exe
C:\WINDOWS\system32\drivers\srtwe.sys
C:\hvngfrv.exe
C:\asswegsh.exe 




ensuite tu colle dans la bloc note 
suit le poste22;-)

helene · Answer

ok, mais je ne sais pas où trouver le dossier combofix.exe

ep44 · Answer

une fois que tu as créer le dossier CFScript.txt sur ton bureau 

tu le prend et tu le fait glisser sur l'icone de combofix   ;-)

helene · Answer

Voilà le rapport D'après le peu que je comprenne, les lignes que j'ai copiées et collées y sont toujours Peu t-être ais-je mal fait certaines manipulations: je n'ai pas trouvé les 2 lignes "driver:: srtwe.sys Fko72.sys j'ai copié les 5 autres j'ai glissé le tout sur combofix sur mon bureau, il s'est lancé sans me proposer l'option 1 ou 2 et a fait le scan dont voici le rapport Et maintenant?? merci, à tout de suite helene ComboFix 08-01-29.3 - Hélène 2008-01-29 23:08:15.5 - NTFSx86 Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.239 [GMT 1:00] Endroit: C:\Documents and Settings\Hélène\Bureau\ComboFix.exe Command switches used :: C:\Documents and Settings\Hélène\Mes documents\CFScript.txt * Création d'un nouveau point de restauration [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color] . ((((((((((((((((((((((((((((( Fichiers créés 2007-12-28 to 2008-01-29 )))))))))))))))))))))))))))))))))))) . 2008-01-29 22:14 . 2005-04-07 14:27 d--h----- C:\Documents and Settings\x\Voisinage réseau 2008-01-29 22:14 . 2005-04-07 14:27 d--h----- C:\Documents and Settings\x\Voisinage d'impression 2008-01-29 22:14 . 2005-04-07 13:31 d--h----- C:\Documents and Settings\x\Modèles 2008-01-29 22:14 . 2008-01-29 22:15 d---s---- C:\Documents and Settings\x\Mes documents 2008-01-29 22:14 . 2005-04-07 14:27 dr------- C:\Documents and Settings\x\Menu Démarrer 2008-01-29 22:14 . 2008-01-29 22:15 d---s---- C:\Documents and Settings\x\Favoris 2008-01-29 22:14 . 2005-04-07 13:37 d-------- C:\Documents and Settings\x\Bureau 2008-01-29 22:14 . 2006-11-22 15:41 343 --ah----- C:\Documents and Settings\x\hpothb07.dat 2008-01-24 22:15 . 2008-01-28 09:02 d-------- C:\ComboFix(2) 2008-01-24 21:35 . 2008-01-24 22:11 d-------- C:\VundoFix Backups 2008-01-24 21:11 . 2008-01-24 21:11 d-------- C:\Program Files\Trend Micro 2008-01-24 19:20 . 2008-01-24 19:20 25,984 --a------ C:\WINDOWS\system32\drivers\Fko72.sys 2008-01-24 19:19 . 2008-01-24 19:19 58,368 --a------ C:\evvr.exe 2008-01-24 19:19 . 2008-01-24 19:19 54,764 --a------ C:\WINDOWS\system32\drivers\srtwe.sys 2008-01-24 19:19 . 2008-01-24 19:19 29,184 --a------ C:\hvngfrv.exe 2008-01-24 19:19 . 2008-01-24 19:19 3,584 --a------ C:\asswegsh.exe 2008-01-16 23:26 . 2008-01-29 22:15 54,156 --ah----- C:\WINDOWS\QTFont.qfn 2008-01-16 23:26 . 2008-01-16 23:26 1,409 --a------ C:\WINDOWS\QTFont.for 2008-01-16 23:25 . 2008-01-16 23:25 d-------- C:\Program Files\iTunes 2008-01-11 18:14 . 2008-01-11 18:14 d-------- C:\Documents and Settings\Serge\stage geoffroy 2008-01-10 20:17 . 2008-01-10 20:17 d-------- C:\Program Files\mst software 2008-01-10 20:15 . 2008-01-10 20:15 d-------- C:\Program Files\winMd5Sum 2008-01-10 15:27 . 2008-01-10 15:27 90,112 --a------ C:\WINDOWS\system32\QuickTimeVR.qtx 2008-01-10 15:27 . 2008-01-10 15:27 57,344 --a------ C:\WINDOWS\system32\QuickTime.qts 2008-01-09 16:27 . 2008-01-09 16:33 d-------- C:\Program Files\vLite 2008-01-09 16:27 . 2006-11-02 02:50 128,104 --a--c--- C:\WINDOWS\system32\drivers\WimFltr.sys 2008-01-07 14:02 . 2008-01-07 14:02 d-------- C:\Documents and Settings\Hélène\Application Data\Leadertech 2008-01-03 17:57 . 2006-11-29 13:06 3,426,072 --a--c--- C:\WINDOWS\system32\d3dx9_32.dll 2008-01-03 17:56 . 2008-01-03 17:56 d-------- C:\Program Files\Microsoft SQL Server Compact Edition 2008-01-03 17:52 . 2008-01-07 10:56 d-------- C:\Program Files\Windows Live 2008-01-03 17:52 . 2008-01-03 17:53 d--hsc--- C:\Program Files\Fichiers communs\WindowsLiveInstaller 2008-01-03 17:51 . 2008-01-03 17:51 d-------- C:\Documents and Settings\All Users\Application Data\WLInstaller 2008-01-01 15:12 . 2008-01-01 15:12 d-------- C:\Program Files\OneStepSearch 2008-01-01 15:11 . 2007-06-25 15:02 475,136 --a--c--- C:\WINDOWS\system32\SkinCrafter2.dll 2008-01-01 15:04 . 2008-01-01 15:07 d-------- C:\Program Files\eChanblard . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-01-29 20:25 --------- d-----w C:\Documents and Settings\Hélène\Application Data\OpenOffice.org2 2008-01-29 13:16 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy 2008-01-28 18:49 --------- d-----w C:\Documents and Settings\Serge\Application Data\OpenOffice.org2 2008-01-25 10:19 --------- d-----w C:\Documents and Settings\All Users\Application Data\Google Updater 2008-01-24 17:49 --------- d-----w C:\Program Files\eMule 2008-01-16 22:25 --------- d-----w C:\Program Files\iPod 2008-01-16 22:23 --------- d-----w C:\Program Files\QuickTime 2008-01-10 11:46 --------- d-----w C:\Documents and Settings\Geoffroy\Application Data\OpenOffice.org2 2008-01-08 15:01 --------- d-----w C:\Program Files\BitZipper 2008-01-07 10:12 --------- d--h--w C:\Program Files\InstallShield Installation Information 2008-01-07 10:09 --------- d-----w C:\Documents and Settings\All Users\Application Data\Skyline 2008-01-07 10:07 --------- d-----w C:\Program Files\OSCILLO 2008-01-07 10:06 --------- d-----w C:\Program Files\Microsoft Works 2008-01-07 09:54 --------- d-----w C:\Program Files\Skype 2008-01-07 09:54 --------- d-----w C:\Documents and Settings\All Users\Application Data\Skype 2008-01-07 09:53 --------- d-----w C:\Program Files\Fichiers communs\Real 2008-01-07 09:45 --------- d-----w C:\Program Files\Windows Media Connect 2 2007-12-16 09:15 --------- d-----w C:\Program Files\OpenOffice.org 2.3 2007-12-16 09:09 --------- d-----w C:\Program Files\Java 2007-12-12 18:16 40,672 -c----w C:\WINDOWS\system32\drivers\CESG502.SYS 2007-12-09 10:22 --------- d-----w C:\Documents and Settings\Hélène\Application Data\uTorrent 2007-12-04 14:56 93,264 -c--a-w C:\WINDOWS\system32\drivers\aswmon.sys 2007-12-04 14:55 94,544 -c--a-w C:\WINDOWS\system32\drivers\aswmon2.sys 2007-12-04 14:53 23,152 -c--a-w C:\WINDOWS\system32\drivers\aswRdr.sys 2007-12-04 14:51 42,912 -c--a-w C:\WINDOWS\system32\drivers\aswTdi.sys 2007-12-04 14:49 26,624 -c--a-w C:\WINDOWS\system32\drivers\aavmker4.sys 2007-12-04 13:04 837,496 ----a-w C:\WINDOWS\system32\aswBoot.exe 2007-12-04 12:54 95,608 -c--a-w C:\WINDOWS\system32\AVASTSS.scr 2007-12-01 16:37 --------- d-----w C:\Documents and Settings\Serge\Application Data\BitZipper 2007-11-29 22:15 --------- d-----w C:\Program Files\Google 2007-11-29 17:55 --------- d-----w C:\Documents and Settings\Hélène\Application Data\BitZipper 2007-11-07 09:28 728,576 ----a-w C:\WINDOWS\system32\lsasrv.dll 2007-10-29 22:43 1,293,824 ----a-w C:\WINDOWS\system32\quartz.dll 2007-09-12 12:05 5,632 -csha-w C:\Program Files\Thumbs.db 2007-03-21 21:27 3,254,166 -c--a-w C:\Program Files\openofficeorg4.cab 2007-03-21 21:26 60,829,588 -c--a-w C:\Program Files\openofficeorg3.cab 2007-03-21 21:21 15,288,213 -c--a-w C:\Program Files\openofficeorg2.cab 2007-03-21 21:20 18,202,413 -c--a-w C:\Program Files\openofficeorg1.cab 2007-03-21 21:19 217 -c--a-w C:\Program Files\setup.ini 2007-03-21 21:18 4,856,320 -c--a-w C:\Program Files\openofficeorg22.msi 2007-03-06 10:34 319,488 -c--a-w C:\Program Files\setup.exe 2007-02-05 21:37 14,993,976 -c--a-w C:\Program Files\GoogleEarthWin.exe 2007-02-02 22:27 5,736,656 -c--a-w C:\Program Files\Firefox Setup 2.0.0.1.exe 2007-01-31 13:44 849 -c--a-w C:\Program Files\AVG Anti-Spyware.lnk 2007-01-06 18:57 10,703,680 -c--a-w C:\Program Files\NDP1.1sp1-KB867460-X86.exe 2007-01-05 22:16 1,475,376 -c--a-w C:\Program Files\GenuineCheck.exe 2007-01-04 19:43 4,569,325 -c--a-w C:\Program Files\Calendrier_2007_Voyages-sncf.com.exe 2006-12-18 08:29 533 -c-ha-w C:\Documents and Settings\Geoffroy\hpothb07.dat 2006-12-17 10:35 0 -c--a-w C:\Program Files\cqwydcgt.exe 2006-11-30 15:17 5,298,688 -c--a-w C:\Program Files\openofficeorg21.msi 2006-11-22 14:41 935 -c-ha-w C:\Documents and Settings\Hélène\hpothb07.dat 2006-11-22 14:41 935 -c-ha-w C:\Documents and Settings\Hélène\hpothb07.dat 2006-11-22 14:41 343 -c-ha-w C:\Documents and Settings\Default User\hpothb07.dat 2006-11-22 14:41 343 -c-ha-w C:\Documents and Settings\Administrateur\hpothb07.dat 2006-11-22 14:41 340 -c-ha-w C:\Documents and Settings\NetworkService\hpothb07.dat 2006-11-22 14:41 336 -c-ha-w C:\Documents and Settings\LocalService\hpothb07.dat 2006-11-22 14:41 333 -c-ha-w C:\Documents and Settings\Camille\hpothb07.dat 2006-11-22 14:41 325 -c-ha-w C:\Documents and Settings\All Users\hpothb07.dat 2006-11-22 14:41 1,003 -c-ha-w C:\Documents and Settings\Serge\hpothb07.dat 2006-07-18 13:41 1,019,094 -csha-r C:\Program Files\serial.tde 2006-07-04 21:56 11,290,496 -c--a-w C:\Program Files\setupfre.exe 2006-06-29 23:00 14,356,904 -c--a-w C:\Program Files\zlsSetup_65_725_000_fr.exe 2006-05-28 16:46 397,306 -csha-r C:\Program Files\wunauclt.zip 2006-05-28 16:46 397,306 -csha-r C:\Program Files\wunauclt.tbe 2006-03-31 22:06 43 -c--a-w C:\Program Files\blank.gif 2006-03-31 22:06 12,334 -c--a-w C:\Program Files\stubinstaller.ini 2006-03-18 08:41 1,455,106 -c--a-w C:\Program Files\fdminst.exe 2006-03-18 08:25 2,628,754 -c--a-w C:\Program Files\SetupTrueDownloader.exe 2006-03-14 11:30 57,796 -c--a-w C:\WINDOWS\Internet Logs\vsmon_2nd_2006_03_14_08_47_08_small.dmp.zip 2006-03-14 11:30 56,399 -c--a-w C:\WINDOWS\Internet Logs\vsmon_2nd_2006_03_14_08_46_56_small.dmp.zip 2006-03-14 11:30 54,334 -c--a-w C:\WINDOWS\Internet Logs\vsmon_2nd_2006_03_14_08_18_40_small.dmp.zip 2006-03-14 11:30 49,110 -c--a-w C:\WINDOWS\Internet Logs\vsmon_2nd_2006_03_14_08_46_37_small.dmp.zip 2006-03-14 07:18 65,292 -c--a-w C:\WINDOWS\Internet Logs\vsmon_2nd_2006_03_14_08_17_14_small.dmp.zip 2006-03-14 07:17 64,644 -c--a-w C:\WINDOWS\Internet Logs\vsmon_2nd_2006_03_14_08_09_39_small.dmp.zip 2006-02-23 19:35 2,016,856 -c--a-w C:\Program Files\rd2005trial.exe 2006-02-16 23:00 1,485,368 -c--a-w C:\Program Files\GoogleDesktopSetup.exe 2006-02-11 22:16 285,580 -c--a-w C:\Program Files\Autoruns.zip 2006-02-10 22:54 8,634 -c--a-w C:\Program Files\startuplist.txt 2006-02-10 22:52 58,368 -c--a-w C:\Program Files\StartupList.exe 2006-02-10 22:41 1,526,976 -c--a-w C:\Program Files\soref_regclean.exe 2006-02-08 19:35 2,855,080 -c--a-w C:\Program Files\aawsepersonal.exe 2006-02-08 19:26 5,037,072 -c--a-w C:\Program Files\spybotsd14.exe 2006-02-06 22:54 849,833 -c--a-w C:\Program Files\Startup_manager_2.0.zip 2006-02-02 19:09 27,977,025 -c--a-w C:\Program Files\vista-inspirat-pack_vista_inspirat_pack_1.1_francais_15013.exe 2005-09-16 21:40 985,739 -c--a-w C:\Program Files\ThumbClic.zip 2005-05-06 10:01 234,240 -c--a-w C:\Program Files\FrReform.exe 2005-04-18 12:31 2,609,152 -c--a-w C:\Program Files\Ink.msi 2002-03-11 09:06 1,822,520 -c--a-w C:\Program Files\instmsiw.exe 2002-03-11 08:45 1,708,856 -c--a-w C:\Program Files\instmsia.exe . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-03-30 11:31 68856] "mRouterConfig"="C:\Program Files\Intuwave Ltd\Shared\mRouterRunTime\mRouterConfig.exe" [2006-03-02 10:54 290816] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ATIPTA"="C:\ATI-CPanel\atiptaxx.exe" [2004-05-25 20:10 339968] "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224] "QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2008-01-10 15:27 385024] "iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2008-01-15 03:22 267048] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-20 00:09 15360] "Windows Time"="winmgr.exe" [] C:\Documents and Settings\H‚lŠne\Menu D‚marrer\Programmes\D‚marrage\ stardock objectdock.lnk - C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe [2005-02-21 14:56:00 1826885] C:\Documents and Settings\Serge\Menu D‚marrer\Programmes\D‚marrage\ Stardock ObjectDock.lnk - C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe [2005-02-21 14:56:00 1826885] y'z toolbar.lnk - C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe [2002-09-29 14:41:00 90112] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer] "AllowLegacyWebView"= 1 (0x1) "AllowUnhashedWebView"= 1 (0x1) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"=C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Fko72.sys] @="Driver" R1 fwdrv;Firewall Driver;C:\WINDOWS\system32\drivers\fwdrv.sys [2007-03-16 08:56] R1 khips;Kerio HIPS Driver;C:\WINDOWS\system32\drivers\khips.sys [2007-03-16 08:56] R2 CX23880;MSI 8606 Video Capture;C:\WINDOWS\system32\drivers\CX88Vid.SYS [2003-08-28 15:14] R2 CX88XBAR;MSI 8606 Crossbar;C:\WINDOWS\system32\drivers\CX88XBar.SYS [2003-03-19 13:50] R2 CXTUNE;MSI 8606 Tuner;C:\WINDOWS\system32\drivers\CX88Tune.SYS [2003-08-21 15:35] S3 camvid20;Philips ToUcam Camera; Video;C:\WINDOWS\system32\DRIVERS\camdrv21.sys [] S3 Fko72;Fko72;C:\WINDOWS\System32\drivers\Fko72.sys [2008-01-24 19:20] S3 MPCSYS;MPCSYS;C:\WINDOWS\System32\DRIVERS\mpcsys.sys [2007-01-31 09:03] S3 PVUSB;CESG502 USB Driver;C:\WINDOWS\system32\DRIVERS\CESG502.sys [2007-12-12 19:16] S3 zebrbus;Sony Ericsson Composite Device driver;C:\WINDOWS\system32\DRIVERS\zebrbus.sys [2006-07-25 17:36] . Contenu du dossier 'Scheduled Tasks/Tâches planifiées' "2008-01-16 22:08:03 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job" - C:\Program Files\Apple Software Update\SoftwareUpdate.exe "2008-01-28 08:00:00 C:\WINDOWS\Tasks\At73.job" - C:\WINDOWS\user32.exe "2008-06-16 09:12:08 C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1159858088.job" - C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe4-I . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-01-29 23:12:31 Windows 5.1.2600 Service Pack 2 NTFS Balayage processus cachés ... Balayage caché autostart entries ... Balayage des fichiers cachés ... Scan terminé avec succès Les fichiers cachés: 0 ************************************************************************** . --------------------- DLLs a chargé sous des processus courants --------------------- PROCESS: C:\WINDOWS\explorer.exe [6.00.2900.3156] -> C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\DockShellHook.dll . Temps d'accomplissement: 2008-01-29 23:14:21 ComboFix-quarantined-files.txt 2008-01-29 22:14:12 ComboFix2.txt 2008-01-29 07:50:45 . 2008-01-10 15:56:44 --- E O F ---

helene · Answer

Et voici le rapport hijackthis demandé

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\ATI-CPanel\atiptaxx.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Intuwave Ltd\Shared\mRouterRunTime\mRouterConfig.exe
C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
C:\PROGRA~1\INTUWA~1\Shared\MROUTE~1\mRouterRuntime.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Windows Live\Mail\wlmail.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ustart.org
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ustart.org
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Program Files\Outlook Express\msimn.exe"
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Program Files\TGTSoft\StyleXP\TGT_BHO.dll
O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [mRouterConfig] "C:\Program Files\Intuwave Ltd\Shared\mRouterRunTime\mRouterConfig.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-21-1454471165-688789844-839522115-1006\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Serge')
O4 - HKUS\S-1-5-21-1454471165-688789844-839522115-1011\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'x')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-21-1454471165-688789844-839522115-1006 Startup: Stardock ObjectDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe (User 'Serge')
O4 - S-1-5-21-1454471165-688789844-839522115-1006 Startup: y'z toolbar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe (User 'Serge')
O4 - S-1-5-21-1454471165-688789844-839522115-1006 User Startup: Stardock ObjectDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe (User 'Serge')
O4 - S-1-5-21-1454471165-688789844-839522115-1006 User Startup: y'z toolbar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe (User 'Serge')
O4 - Startup: stardock objectdock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
O8 - Extra context menu item: &Download with TrueDownloader! - C:\Program Files\TrueDownloader\TrueDownloader.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - 
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - http://download.bitdefender.com/resources/scan8/oscan8.cab
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe

ep44 · Answer

en effet la manip n'as pas fonctionné 
fait ceci 

Télécharger sur le bureau

 http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe  
= Copier ce texte en gras

C:\WINDOWS\system32\drivers\Fko72.sys
C:\evvr.exe
C:\WINDOWS\system32\drivers\srtwe.sys
C:\hvngfrv.exe
C:\asswegsh.exe 

= Double-clic sur OTMoveIt.exe
= Dans le cadre de Gauche ==> clic-droit ==> coller
= Clic MoveIt!
= si redémarrage demandé==> Clic : YES
= Un rapport dans ==> C:_\OTMoveItMovedFilesdate du jour à copier/coller dans la réponse 
@+

helene · Answer

Voilà qui est fait

C:\WINDOWS\system32\drivers\Fko72.sys moved successfully.
C:\evvr.exe moved successfully.
File move failed. C:\WINDOWS\system32\drivers\srtwe.sys scheduled to be moved on reboot.
C:\hvngfrv.exe moved successfully.
C:\asswegsh.exe moved successfully.
 
OTMoveIt2 v1.0.15 log created on 01292008_234633
merci
à tout à l'heure
helene

helene · Answer

j'arrête pour ce soir
les courriers d'inconnus défilent toujours.........
j'espère qu'on y arrivera
encore merci pour ta patience
à demain
helene

ep44 · Answer

Bonsoir 

Télécharge:
http://www.grisoft.cz/filedir/inst/avgas-setup-7.5.1.43.exe AVG-AntiSpyware
= Installer
= Le lancer
= Clic : Mise à jour
------
= Redémarre en mode Sans Échec (le démarrage peut prendre plusieurs minutes)
Attention, pas d’accès à internet dans ce mode. Enregistre ou imprime les consignes.

Relance le Pc et tapote la touche F8 ( ou F5 pour certains) , jusqu’à l’apparition des inscriptions avec choix de démarrage
Avec les touches « flèches », sélectionne Mode sans échec ==> entrée ==>nom utilisateur habituel
-------
= Dans ANALYSE ( en forme de loupe )
==> Paramètres ==> sous COMMENT REAGIR==>clic sur Actions recommandées ==>Quarantaine
==> Clic : Analyse complète du système
En fin de scan ( qui est assez long)
==> Clic Appliquer toutes les actions <== ceci Très important
==> Clic Sauvegarder rapport puis Enregistrer sous et choisir bureau
-------
En mode normal
colle le rapport
@+

helene · Answer

Bonsoir ep44

J'ai fait le scan AVG après l'avoir téléchargé et fait sa mise à jour en mode sans échec, il n'a rien trouvé: "aucun problème à signaler"
On en est apparemment toujours au même point
Et maintenant, que dois-je faire????
Déjà merci
A plus tard
helene

ep44 · Answer

maintenant on va faire un scan en ligne

avec bitdefender et colle le rapport

https://www.bitdefender.com/toolbox/

un tuto
https://kerio.probb.fr/

@+

helene · Answer

ok merci ep
je fais ce que tu me dis à plus tard
merci
helene

ep44 · Answer

@+

helene · Answer

ANTIVIRUS & ANTISPYWARE
• Protects your PC in real time against known viruses, spyware  and other malware
• Blocks unknown viruses using advanced proactive detection techniques
• Detects and removes hidden threats (rootkits)
• Provides a smooth gaming experience by reducing the system load to a minimum 
• Monitors and prevents potential spyware threats in real-time
ANTI-PHISHING
• Protects against phishing attempts by filtering all accessed web pages
• Reduces the risk of identity theft by preventing personal information leaks via e-mail or web.
FIREWALL
• Controls the access of applications to the Internet while “hiding” your computer from hackers with the stealth mode setting
• Helps prevent unauthorized access to the Wi-Fi internet connection by notifying you about computers that log in to the network
ANTISPAM
• Responds faster to new spamming techniques with new adaptive engines
• Prevents different types of scam e-mails from reaching your Inbox
PARENTAL CONTROL
• Blocks access to inappropriate web content and e-mail
• Allows or blocks web access during specified intervals
BACKUP
• Safeguards your data by creating backup copies to local and removable drives, CD-R/RW or DVD-R/RW
• Automatically backs up only new files, based on a pre-set schedule.  
TUNE-UP
• Improves PC operation by removing unnecessary files and registry entries
• Completely erases files and "traces" of files from disk to prevent recovery



System requirements
-------------------
Windows 2000
800 MHz or higher processor
256 MB of RAM Memory (512 MB recommended) 
140 MB available hard disk space

 
Windows XP
800 MHz or higher processor
256 MB of RAM Memory (1 GB recommended)
140 MB available hard disk space
 
Windows Vista:
800 MHz or higher processor
512 MB of RAM Memory (1 GB recommended)
140 MB available hard disk space

 

Operating platform
-------------------
Windows 2000 with Service Pack 4
Windows XP with Service Pack 2 (32/64 bit)
Windows Vista (32/64 bit)
Internet Explorer 6.0 (or higher)

 

Supported e-mail software
-------------------------
Microsoft Outlook 2000, 2002, 2003, 2007
Microsoft Outlook Express
Microsoft Windows Mail
Mozilla Thunderbird 1.5 and 2.0




Testing BitDefender Antivirus
-----------------------------
You can verify that BitDefender works properly with the help of a special test file, known as EICAR Standard Anti-virus Test file.
(EICAR stands for the European Institute of Computer Anti-virus Research). This is a dummy file, which is also detected by other anti-virus products.

No need to worry, because this file is not a real virus. All that EICAR.COM does when executed is to display the text
'EICAR-STANDARD-ANTIVIRUS-TEST-FILE' and exit. 

The reason we do not include the file within the package is that we want to avoid generating any false alarms for those who use BitDefender or any other scanner.
However, the file can be created using any text editor, provided the file is saved in standard MS-DOS ASCII format and is 68 bytes long. 
It might also be 70 bytes if the editor puts a CR/LF at the end. The file must contain the following single line:

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

Save the file to any name with COM extension, for example EICAR.COM. >From now on, you can use this file to see what happens when BitDefender detects a real virus.



Testing BitDefender Antispam
----------------------------
Verify if BitDefender is working with the GTUBE test. The test consists in entering the:
"XJS*C4JDBQADN1.NSBN3*2IDNEN*GTUBE-STANDARD-ANTI-UBE-TEST-EMAIL*C.34X" line in the body of an e-mail. 

BitDefender must tag as spam any message that contains this string.

The string must be reproduced on a single line. 



Notes
-----
- BitDefender Total Security 2008 doesn't scan Lotus Notes POP3 traffic.
- Supported mediums for Firewall: Ethernet (including wireless cards), Token Ring, FDDI and any WAN medium. 
- Windows Defrag is a Microsoft proprietary technology. BitDefender does not include this module in the installation kit and it only provides on the user interface a link to the Defrag module available on the Operating System. 




Known compatibility issues when using
-------------------------------------
Antivirus
- SpyBot Search & Destroy
- A2 - Security Solutions
- Norton Clean Sweep
- Zone Alarm
- McAfee

Disable the Virus Shield while using the programs listed above to avoid data loss and/or system instability.


Firewall
- active ftp may not work on some configurations
- applications that make extensive use of UDP packets for communication might experience a drop in performance and/or timeouts. (i.e. Remote Desktop)
- the application doesn’t work with VMWare virtual adapters. Workaround: disable the binding for these adapters from "Local Area Connection Properties".



Contact Information
-------------------

6301 NW 5th Way, Suite 3500
Fort Lauderdale, FL (USA) 33309  

Support: https://www.bitdefender.com/consumer/support/
Chat on-line 24/7: www.bitdefender.com 

Commercial and Administrative Contacts:
sales@bitdefender.com

Website: 	www.bitdefender.com




BitDefender Total Security 2008
Copyright 2007 BITDEFENDER / ROMANIA  

	BITDEFENDER
	Str. Fabrica de Glucoza, Nr.5 
	Bucuresti, Sector 2, CP 52-93 
	ROMANIA

helene · Answer

oups!!!!!!désolée ep44, ce n'est pas le rapport du scan, il est en train de travailler
à plus tard

ep44 · Answer

ceci n'est pas le rapport!

helene · Answer

oui, je viens de m'en rendre compte.........
je suis désolée d'être aussi "tarte"!!

helene · Answer

voilà le rapport
merci pourt ton aide 
à plus tard

BitDefender Log File !!!!!
Product : BitDefender Total Security 2008 
Version : BitDefender UIScanner v.11 
Log date : 04:23:55 31/01/2008 
Log path : C:\Documents and Settings\All Users\Application Data\Bitdefender\Desktop\Profiles\Logs\quick_scan\1201749835_1_02.xml 

Scan Paths:Path0000: C:\WINDOWS 
Path0001: C:\Program Files 


Scan Options:Scan for viruses : Yes 
Scan for adware : Yes 
Scan for spyware : Yes 
Scan for applications : Yes 
Scan for dialers : Yes 
Scan for rootkits : No 


Target selection options:Scan registry keys : No 
Scan cookies : No 
Scan boot sectors : No 
Scan memory processes : No 
Scan archives : No 
Scan runtime packers : Yes 
Scan emails : Yes 
Scan all files : Yes 
Heuristic Scan : Yes 
Scanned extensions :  
Excluded extensions :  


Target ProcessingDefault action for infected objects : Disinfect 
Default action for suspicious objects : None 
Default action for hidden objects : None 


Scan engines summaryNumber of virus signatures : 978272 
Archive plugins : 41 
Email plugins : 6 
Scan plugins : 12 
Archive plugins : 41 
System plugins : 4 
Unpack plugins : 7 


Overall scan summaryScanned items : 100646 
Infected items : 0 
Suspicious items : 0 
Resolved items : 0 
Individual viruses found : 0 
Scanned directories : 3657 
Scanned boot sectors : 0 
Scanned archives : 10 
Input-output errors : 1 
Scan time : 00:00:27:50 
Files per second : 60 


Scanned processes summaryScanned : 0 
Infected : 0 


Scanned registry keys summaryScanned : 0 
Infected : 0 


Scanned cookies summaryScanned : 0 
Infected : 0 


Remaining issues:Object Name Threat Name Final Status 
C:\Program Files\serial.tde=]user32.exe Password-Protected Items No action was possible 
C:\Program Files\serial.tde=]shell32.exe Password-Protected Items No action was possible 
C:\Program Files\serial.tde=]patcher.exe Password-Protected Items No action was possible 
C:\Program Files\serial.tde=]dr.exe Password-Protected Items No action was possible 
C:\Program Files\wunauclt.tbe=]wunauclt.exe Password-Protected Items No action was possible 
C:\Program Files\wunauclt.zip=]wunauclt.exe Password-Protected Items No action was possible 


Resolved issues:Object Name Threat Name Final Status

helene · Answer

Bonsoir ep44

J'ai refait un scan AVG: voilà ce qu'il a trouvé et que j'ai mis en quarantaine:

C:/_OTMovelt/MovelFiles/01292008_234633/asswegsh.exe infecté par Downloader Agent.hxm
Risque élévé

Alors avance-t-on?
J'ai toujours des tonnes de courriers sortant............
Merci de me dire ce qu'il en est
A ce soir
Helene

ep44 · Answer

Bonsoir 

pour moi sauf erreur de ma part 
tu ne dois plus être infecté 
tu dit :
J'ai toujours des tonnes de courriers sortant............ 
tu parle de ta messageries ?
peut-être une accumulation ??

helene · Answer

Toujours moi;)
J'ai refait un scan en ligne 
J'ai l'impression que cette fois ci c'est presque bon
Dis moi ce que tu en penses s'il te plait
Merci déjà pour tout le temps que tu m'as consacré, mes connaissances  en informatique étant très limité et la crainte de faire une bêtise n'arrangeant rien:)
A ce soir avec j'espère de bonnes nouvelles
Helene

BitDefender Online Scanner
	 
Supprimé

C:\VundoFix Backups\mljgd.dll.bad
	
Infecté par: Trojan.Vundo.DXJ

C:\VundoFix Backups\mljgd.dll.bad

Echec de la désinfection

C:\VundoFix Backups\mljgd.dll.bad
	
Supprimé

C:\_OTMoveIt\MovedFiles\01292008_234633\hvngfrv.exe
	

Infecté par: Trojan.Pandex.G

C:\_OTMoveIt\MovedFiles\01292008_234633\hvngfrv.exe
	

Infecté par: Trojan.Pandex.G

C:\_OTMoveIt\MovedFiles\01292008_234633\hvngfrv.exe
	

Echec de la désinfection

C:\_OTMoveIt\MovedFiles\01292008_234633\hvngfrv.exe
	

Echec de la désinfection

C:\_OTMoveIt\MovedFiles\01292008_234633\hvngfrv.exe
	

Supprimé

C:\_OTMoveIt\MovedFiles\01292008_234633\hvngfrv.exe
	

Supprimé

helene · Answer

les couuriers sortant sont arrêtes par avast, des inconnus: plus de 4000 pendant mes 3 dernières heures de connexion....ça ralentit le pc et ça m'empèche de recevoir mon courrier sur ma messagerie; en plus, j'ai la sensation désagréable de ne pas être seule sur mon pc;)
A ce soir
Merci pour ton aide
helene

ep44 · Answer

bonsoir 
bizarre ton affaire je ne comprends pas 
refais hijack stp

helene · Answer

Bonjour ep44
Voici le dernier rapport hijack
Toujours ces courriers arrêtés par centaines par avast, tous en anglais
Je t'ai écrit vendredi et je ne trouve pas ma lettre sur le forum: je te disais qu'il ya un an j'ai déjà eu le même problème réglé par un certain seb08 du forum, mon nom d'utilisateur était" hele", si ça t'interresse d'aller voir dans les archives.
Merci, stp, ne me laisse pas tomber, c'est vraiment pénible ces milliers de courriers et surtout je crains d'accéder à des comptes sécurisés  ou de faire des achats via le net
Merci encore 
A plus tard:)
helene

  Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:43, on 2008-02-02
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\MsPMSPSv.exe
C:\ATI-CPanel\atiptaxx.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Windows Live\Mail\wlmail.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ustart.org
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ustart.org
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Program Files\Outlook Express\msimn.exe"
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Program Files\TGTSoft\StyleXP\TGT_BHO.dll
O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: stardock objectdock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
O8 - Extra context menu item: &Download with TrueDownloader! - C:\Program Files\TrueDownloader\TrueDownloader.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - 
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe

ep44 · Answer

Bonjour je ne comprends pas trop ton soucis 
on va alleger certaine choses 
relance hijack et coche ceci 
R3 - URLSearchHook: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
	O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
	O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
	O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
	O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
	O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
	O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
	O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} -
ensuite clic sur fix checked 
redémarre ton pc 
pour avast regarde ceci 
clic droit sur la boule en bas à droite de ton écran 
ensuite tu vas sur sur la case courrier électronique 
le curseur doit ce trouver sur normal 
est- ce le cas ?
si non fait le

helene · Answer

Bonjour,
merci pour ta réponse, j'ai fait le scan hijach et fixé ce que tu m'as dit
avast était réglé "élevé" pour le courrier électronique, j'ai mis "normal"
ça continue;) j'ai remarqué que à chaque reconnexion, le serveur de provenance des messages est toujours le même avec les mêmes messages qui reviennent en boucle 500 fois en 10mn, je me déconnecte et quand je me reconnecte, c'est un autre serveur avec d'autres messages toujours en boucle
ex: ce matin: @2cvclubgarlaban.fr
après reconnexion:@ahamburgertoday.com

et que des slogans x.....

merci pour ta patience et ton aide
à plus tard
helene

ep44 · Answer

ces messages arrive dans ta boite à lettre ou il sortent de ta boite ?
as tu ces logiciels si non tu les installes et tu les utilisent les uns aprés les autres 
sert toi des tutos 

=>CCleaner
https://www.clubic.com/telecharger-fiche14492-ccleaner.html
tuto:
https://forums.cnetfrance.fr

=> Ad-aware SE (scan passif )
https://www.google.com ou http://www.lavasoft.de/support/download/#free
Tutos :
http://home.tiscali.be/schouppeguy/adawarese/adawase.htm
démo
http://pageperso.aol.fr/balltrap34/adwseflash.zip
http://perso.orange.fr/rginformatique/section%20virus/adawrevid.asf

=> SpyBot-Search & Destroy 1.5 (scan passif + protection préventive avec ces 2 résidents, ses vaccinations et sa list Hosts )

https://www.safer-networking.org/download/

démo d utilisation
http://perso.orange.fr/rginformatique/section%20virus/demo%20spybot.htm
https://www.malekal.com/spybot-search-destroy-proteger-desinfecter-pc-virus/
Tuto :
http://perso.orange.fr/jesses/Docs/Logiciels/Spybot.htm

on va essayer aussi  quelque chose 


*  Télécharge DiagHelp.zip sur ton bureau(Merci Malekal)  Tuto : http://www.malekal.com/DiagHelp/DiagHelp.php
    * Ne double-clique pas dessus !! Fais un clic droit sur le fichier et extraire tout.
    * Un nouveau dossier chercher va être créé.
    * Ouvre le et double-clic sur go.cmd (le .cmd peut ne pas apparaître)
    * Une fenêtre va s'ouvrir, choisis l'option 1
    * L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande.
    * Pendant l'analyse après le rapport CATCHME sur l'écran rouge, tu dois appuyer sue entrée pour que l'outil continue ses recherches. Suis les consignes écrites.
    * Une fenêtre avec le rapport s'ouvre alors. Copie/colle son contenu. (Il se trouve aussi ici : c:\resultat.txt)
    * Double-clique sur ce fichier, Fais CTRL+A puis CTRL+C.
    * Dans ta prochaine réponse, colle le rapport en faisant CTRL+V.

helene · Answer

les messages sont indiqués comme " message sortant" par avast qui les teste 
j'ai ccleaner que j'utilise ous les jours en coupant le pc
j'ai spybot que j'utilise une ou 2 fois par mois
je n'ai pas ad aware, je vais le télécharger et faire ce que tu me conseilles avec diaghelp
à tout à l'heure
je ne sais pas quoi dire d'autre, alors merci:)
helene

ep44 · Answer

oki ;-)

helene · Answer

voilà, quel charabia pour moi pendant le scan, avast a détecté un cheval de troie , j'ai donné comme instruction " ne rien faire", ne sachant pas si le fait de le mettre en quarantaine pertuberait le scan de diaghelp bonne lecture et merci pour ton diagnostic à plus tard DiagHelp version v1.4 - http://www.malekal.com excute le 2008-02-03 à 13:26:07.85 Liste des derniers fichies modifies/crees dans windir\system32 et prefetch C:\WINDOWS\prefetch\LOGONUI.EXE-0AF22957.pf -->2008-06-16 10:19:02 C:\WINDOWS\prefetch\PICASA2.EXE-221C4848.pf -->2008-06-16 10:18:35 C:\WINDOWS\prefetch\FIREFOX.EXE-17EE503B.pf -->2008-06-16 09:22:44 C:\WINDOWS\prefetch\WLMAIL.EXE-16F261CF.pf -->2008-06-16 09:19:33 C:\WINDOWS\prefetch\WMIPRVSE.EXE-28F301A9.pf -->2008-06-16 09:04:26 C:\WINDOWS\prefetch\WUAUCLT.EXE-399A8E72.pf -->2008-06-16 08:47:27 C:\WINDOWS\prefetch\AVAST.SETUP-032170A8.pf -->2008-06-16 08:47:25 C:\WINDOWS\prefetch\WGATRAY.EXE-0ED38BED.pf -->2008-06-16 08:47:24 C:\WINDOWS\prefetch\KPF4GUI.EXE-03046928.pf -->2008-06-16 08:47:24 C:\WINDOWS\prefetch\CCLEANER.EXE-0BCE437C.pf -->2008-06-15 23:42:19 C:\WINDOWS\System32\drivers\fwdrv.err -->2008-01-31 13:18:27 C:\WINDOWS\System32\drivers\srtwe.sys -->2008-01-24 19:19:05 C:\WINDOWS\System32\drivers\CESG502.SYS -->2007-12-12 19:16:18 C:\WINDOWS\System32\drivers\aswmon.sys -->2007-12-04 15:56:02 C:\WINDOWS\System32\drivers\aswmon2.sys -->2007-12-04 15:55:46 C:\WINDOWS\System32\drivers\aswRdr.sys -->2007-12-04 15:53:39 C:\WINDOWS\System32\drivers\aswTdi.sys -->2007-12-04 15:51:52 C:\WINDOWS\System32\wpa.dbl -->2008-02-03 12:35:51 C:\WINDOWS\System32\PerfStringBackup.INI -->2008-01-20 18:21:17 C:\WINDOWS\System32\perfh00C.dat -->2008-01-20 18:21:17 C:\WINDOWS\System32\perfh009.dat -->2008-01-20 18:21:17 C:\WINDOWS\System32\perfc00C.dat -->2008-01-20 18:21:17 C:\WINDOWS\System32\perfc009.dat -->2008-01-20 18:21:17 C:\WINDOWS\System32\QuickTimeVR.qtx -->2008-01-10 15:27:46 C:\WINDOWS\System32\QuickTime.qts -->2008-01-10 15:27:44 C:\WINDOWS\System32\FNTCACHE.DAT -->2008-01-07 11:11:00 C:\WINDOWS\System32\d3d9caps.dat -->2008-01-04 13:50:11 C:\WINDOWS\System32\MRT.exe -->2008-01-02 19:21:36 C:\WINDOWS\System32\jupdate-1.6.0_03-b05.log -->2007-12-16 10:09:46 C:\WINDOWS\System32\TZLog.log -->2007-12-12 17:58:00 C:\WINDOWS\System32\CONFIG.NT -->2007-12-08 12:36:22 C:\WINDOWS\System32\aswBoot.exe -->2007-12-04 14:04:28 C:\WINDOWS\System32\AVASTSS.scr -->2007-12-04 13:54:04 C:\WINDOWS\System32\xcomm(2).dll -->2007-11-27 16:46:24 C:\WINDOWS\System32\jscript.dll -->2007-11-14 08:28:02 C:\WINDOWS\System32 zchange.exe -->2007-11-13 12:31:11 C:\WINDOWS\System32\lsasrv.dll -->2007-11-07 10:28:31 C:\WINDOWS\System32\mshtml.dll -->2007-10-30 10:57:54 C:\WINDOWS\System32\quartz.dll -->2007-10-29 23:43:32 C:\WINDOWS\System32\xpsp3res.dll -->2007-10-29 16:07:16 C:\WINDOWS\System32\shell32.dll -->2007-10-25 17:43:25 C:\WINDOWS\System32\wmasf.dll -->2007-10-25 09:28:30 C:\WINDOWS\WindowsUpdate.log -->2008-02-03 12:36:07 C:\WINDOWS\0.log -->2008-02-03 12:35:33 C:\WINDOWS\wiadebug.log -->2008-02-03 12:35:13 C:\WINDOWS\wiaservc.log -->2008-02-03 12:35:04 C:\WINDOWS\SchedLgU.Txt -->2008-02-03 12:34:50 C:\WINDOWS\bootstat.dat -->2008-02-03 12:34:45 C:\WINDOWS\system.ini -->2008-02-03 12:18:48 C:\WINDOWS\NeroDigital.ini -->2008-01-28 12:35:59 C:\WINDOWS\win.ini -->2008-01-16 16:01:25 C:\WINDOWS\VideoLink Pro.INI -->2007-09-20 08:52:34 C:\WINDOWS\hpqEmlSz.INI -->2007-09-19 11:00:01 C:\WINDOWS\Thumbs.db -->2007-09-12 13:05:18 C:\WINDOWS\cdplayer.ini -->2007-09-08 10:47:08 C:\WINDOWS\WORDPAD.INI -->2007-06-29 13:59:22 C:\WINDOWS\mozver.dat -->2007-06-17 21:59:21 winlogon.exe Verified: Signed svchost.exe Verified: Signed ws2_32.dll Verified: Signed user32.dll Verified: Signed tcpip.sys Verified: Signed ndis.sys Verified: Signed null.sys Verified: Signed ListDLLs v2.25 - DLL lister for Win9x/NT Copyright (C) 1997-2004 Mark Russinovich Sysinternals - www.sysinternals.com ------------------------------------------------------------------------------ explorer.exe pid: 1988 Command line: C:\WINDOWS\Explorer.EXE Base Size Version Path 0x58b50000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\comctl32.dll 0x76f80000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL 0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll 0x76ac0000 0x11000 3.05.2284.0000 C:\WINDOWS\system32\ATL.DLL 0x7d200000 0x2be000 3.01.4000.4039 C:\WINDOWS\system32\msi.dll 0x164a0000 0x23000 5.02.5721.5145 C:\WINDOWS\system32\WPDShServiceObj.dll 0x109c0000 0x2c000 5.02.5721.5145 C:\WINDOWS\system32\PortableDeviceTypes.dll 0x10930000 0x49000 5.02.5721.5145 C:\WINDOWS\system32\PortableDeviceApi.dll 0x10000000 0x5000 C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\DockShellHook.dll 0x014c0000 0x2e000 C:\Program Files\WinRAR arext.dll 0x015a0000 0x9b000 C:\PROGRA~1\IZArc\IZArcCM.dll 0x017e0000 0x2a000 7.05.0001.0036 C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\context.dll 0x64f00000 0x12000 4.07.1098.0000 C:\Program Files\Alwil Software\Avast4\ashShell.dll 0x01ce0000 0x13000 7.05.0001.0036 C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\shellexecutehook.dll 0x01640000 0x10000 8.00.0000.0456 C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll 0x78130000 0x9b000 8.00.50727.0762 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_6b128700\MSVCR80.dll 0x03080000 0xd5000 1.04.0000.0000 C:\PROGRA~1\SPYBOT~1\SDHelper.dll 0x62350000 0x53000 2.00.0500.0000 C:\Program Files\OpenOffice.org 2.3\program\shlxthdl.dll 0x60400000 0x18000 2.00.0500.0000 C:\Program Files\OpenOffice.org 2.3\program\uwinapi.dll 0x7c340000 0x56000 7.10.3052.0004 C:\Program Files\OpenOffice.org 2.3\program\MSVCR71.dll 0x61e70000 0x8e000 4.05.2003.0120 C:\Program Files\OpenOffice.org 2.3\program\stlport_vc7145.dll 0x7c3a0000 0x7b000 7.10.3077.0000 C:\Program Files\OpenOffice.org 2.3\program\MSVCP71.dll 0x03590000 0x5b000 8.01.0000.0000 C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.dll 0x03600000 0x4c000 8.00.0000.0000 C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.FRA ListDLLs v2.25 - DLL lister for Win9x/NT Copyright (C) 1997-2004 Mark Russinovich Sysinternals - www.sysinternals.com ------------------------------------------------------------------------------ winlogon.exe pid: 604 Command line: winlogon.exe Base Size Version Path 0x01000000 0x81000 \??\C:\WINDOWS\system32\winlogon.exe 0x58b50000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\COMCTL32.dll 0x74730000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll 0x20000000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll 0x011e0000 0x3b000 1.07.0017.0000 C:\WINDOWS\system32\WgaLogon.dll 0x76f80000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL 0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll Le volume dans le lecteur C n'a pas de nom. Le numéro de série du volume est 503D-58B4 Répertoire de C:\WINDOWS\system32 2004-08-20 00:09 6,144 csrss.exe 1 fichier(s) 6,144 octets 0 Rép(s) 107,087,835,136 octets libres Contenu de Downloaded Program Files Le volume dans le lecteur C n'a pas de nom. Le numéro de série du volume est 503D-58B4 Répertoire de C:\WINDOWS\Downloaded Program Files 2008-02-01 10:58 . 2008-02-01 10:58 .. 2004-12-07 17:07 32 bdcore.dll 2006-05-25 01:21 118,784 bdupd.dll 2005-04-07 13:33 65 desktop.ini 2006-05-25 01:21 53,248 ipsupd.dll 2005-03-16 12:34 7,407 lang.ini 2004-12-07 17:07 32 libfn.dll 2005-03-14 14:38 126 live.ini 2007-10-29 16:45 1,244 oscan8.inf 2007-10-25 16:54 471,040 oscan8.ocx 2005-03-14 14:58 7,073 scanoptions.tsi 10 fichier(s) 659,051 octets Total des fichiers listés : 10 fichier(s) 659,051 octets 2 Rép(s) 107,087,831,040 octets libres Recherche de rootkit! (Merci S!Ri) Recherche d'infections connues Export des clefs sensibles.. Liste des fichiers en exception sur le pare-feu XP SP2 Export de la clef SharedTaskScheduler [SharedTaskScheduler] "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui" "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant" exports des policies REGEDIT4 [system] "dontdisplaylastusername"=dword:00000000 "legalnoticecaption"="" "legalnoticetext"="" "shutdownwithoutlogon"=dword:00000001 "undockwithoutlogon"=dword:00000001 Export des clefs sensibles.. Rechercher adresses sensibles dans le fichier HOSTS... catchme 0.3.1319 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-02-03 13:30:23 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden services & system hive ... [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srtwe] "Type"=dword:00000001 "Start"=dword:00000001 "ErrorControl"=dword:00000000 "ImagePath"=str(2):"\??\C:\WINDOWS\system32\drivers\srtwe.sys" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srtwe\Security] "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,.. IPC error: 2 Le fichier spécifié est introuvable. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srtwe] "Type"=dword:00000001 "Start"=dword:00000001 "ErrorControl"=dword:00000000 "ImagePath"=str(2):"\??\C:\WINDOWS\system32\drivers\srtwe.sys" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srtwe\Security] "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,.. scanning hidden registry entries ... scanning hidden files ... scan completed successfully hidden services: 0 hidden files: 0 KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg) Process list by traversal of KiWaitListHead 4 - System 228 - ashMaiSv.exe 252 - ashWebSv.exe 460 - kpf4gui.exe 580 - csrss.exe 604 - winlogon.exe 648 - services.exe 660 - lsass.exe 812 - svchost.exe 868 - svchost.exe 932 - svchost.exe 980 - StyleXPService. 1012 - atiptaxx.exe 1044 - ashDisp.exe 1060 - svchost.exe 1120 - avgas.exe 1176 - svchost.exe 1296 - ashServ.exe 1312 - GoogleToolbarNo 1516 - spoolsv.exe 1632 - AppleMobileDevi 1644 - guard.exe 1696 - GoogleUpdaterSe 1720 - kpf4ss.exe 1856 - ObjectDock.exe 1988 - explorer.exe 2300 - kpf4gui.exe 3040 - firefox.exe 3520 - cmd.exe Total number of processes = 29 NOTE: Under WinXP, this will not show all processes. KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg) Driver/Module list by traversal of PsLoadedModuleList 804D7000 - \WINDOWS\system32 toskrnl.exe 806EC000 - \WINDOWS\system32\hal.dll F8C75000 - \WINDOWS\system32\KDCOM.DLL F8B85000 - \WINDOWS\system32\BOOTVID.dll F8725000 - ACPI.sys F8C77000 - \WINDOWS\System32\DRIVERS\WMILIB.SYS F8714000 - pci.sys F8775000 - isapnp.sys F8785000 - ohci1394.sys F8795000 - \WINDOWS\System32\DRIVERS\1394BUS.SYS F8D3D000 - pciide.sys F89F5000 - \WINDOWS\System32\DRIVERS\PCIIDEX.SYS F87A5000 - MountMgr.sys F86F5000 - ftdisk.sys F89FD000 - PartMgr.sys F87B5000 - VolSnap.sys F86DD000 - atapi.sys F87C5000 - disk.sys F87D5000 - \WINDOWS\System32\DRIVERS\CLASSPNP.SYS F86BD000 - fltmgr.sys F86AB000 - sr.sys F87E5000 - PxHelp20.sys F8694000 - KSecDD.sys F8607000 - Ntfs.sys F85DA000 - NDIS.sys F87F5000 - SISAGPX.sys F85BF000 - Mup.sys F7EAC000 - \SystemRoot\System32\DRIVERS\intelppm.sys F7662000 - \SystemRoot\System32\DRIVERS\ati2mtag.sys F764E000 - \SystemRoot\System32\DRIVERS\VIDEOPRT.SYS F7E9C000 - \SystemRoot\System32\DRIVERS ic1394.sys F7E8C000 - \SystemRoot\System32\DRIVERS\imapi.sys F7E7C000 - \SystemRoot\System32\Drivers\AFS2K.SYS F7E6C000 - \SystemRoot\System32\DRIVERS\cdrom.sys F7E5C000 - \SystemRoot\System32\DRIVERS edbook.sys F762B000 - \SystemRoot\System32\DRIVERS\ks.sys F8A15000 - \SystemRoot\System32\Drivers\GEARAspiWDM.sys F7504000 - \SystemRoot\System32\DRIVERS\AGRSM.sys F8A1D000 - \SystemRoot\System32\Drivers\Modem.SYS F7470000 - \SystemRoot\system32\drivers\ALCXWDM.SYS F744C000 - \SystemRoot\system32\drivers\portcls.sys F7E4C000 - \SystemRoot\system32\drivers\drmk.sys F73EA000 - \SystemRoot\system32\drivers\ALCXSENS.SYS F8A25000 - \SystemRoot\System32\DRIVERS\usbohci.sys F73C7000 - \SystemRoot\System32\DRIVERS\USBPORT.SYS F8A2D000 - \SystemRoot\System32\DRIVERS\usbehci.sys F739A000 - \SystemRoot\system32\drivers\CX88Vid.SYS F7E3C000 - \SystemRoot\system32\drivers\STREAM.SYS F82DF000 - \SystemRoot\system32\drivers\cx88aud.sys F8A35000 - \SystemRoot\System32\DRIVERS\RTL8139.SYS F7389000 - \SystemRoot\System32\DRIVERS\serial.sys F82DB000 - \SystemRoot\System32\DRIVERS\serenum.sys F7375000 - \SystemRoot\System32\DRIVERS\parport.sys F8E05000 - \SystemRoot\System32\DRIVERS\audstub.sys F7E2C000 - \SystemRoot\System32\DRIVERS asl2tp.sys F82D7000 - \SystemRoot\System32\DRIVERS distapi.sys F735E000 - \SystemRoot\System32\DRIVERS diswan.sys F7E1C000 - \SystemRoot\System32\DRIVERS aspppoe.sys F8825000 - \SystemRoot\System32\DRIVERS aspptp.sys F8A3D000 - \SystemRoot\System32\DRIVERS\TDI.SYS F734D000 - \SystemRoot\System32\DRIVERS\psched.sys F8835000 - \SystemRoot\System32\DRIVERS\msgpc.sys F8A45000 - \SystemRoot\System32\DRIVERS\ptilink.sys F8A4D000 - \SystemRoot\System32\DRIVERS aspti.sys F8845000 - \SystemRoot\System32\DRIVERS ermdd.sys F8A55000 - \SystemRoot\System32\DRIVERS\kbdclass.sys F8A5D000 - \SystemRoot\System32\DRIVERS\mouclass.sys F8C9D000 - \SystemRoot\System32\DRIVERS\swenum.sys F72F4000 - \SystemRoot\System32\DRIVERS\update.sys F8C05000 - \SystemRoot\System32\DRIVERS\mssmbios.sys F7793000 - \SystemRoot\System32\Drivers\NDProxy.SYS F7763000 - \SystemRoot\System32\DRIVERS\usbhub.sys F8CA1000 - \SystemRoot\System32\DRIVERS\USBD.SYS B5FD6000 - \SystemRoot\system32\drivers\CX88Tune.SYS F8C2D000 - \SystemRoot\system32\drivers\CX88XBar.SYS F8CBF000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS F8ECB000 - \SystemRoot\System32\Drivers\Null.SYS F8CC1000 - \SystemRoot\System32\Drivers\Beep.SYS F8ECC000 - \SystemRoot\System32\DRIVERS\AvgAsCln.sys F8AA5000 - \SystemRoot\System32\DRIVERS\HIDPARSE.SYS F8AAD000 - \SystemRoot\System32\drivers\vga.sys F8CC3000 - \SystemRoot\System32\Drivers\mnmdd.SYS F8CC5000 - \SystemRoot\System32\DRIVERS\RDPCDD.sys B44C7000 - \SystemRoot\system32\drivers\fwdrv.sys F8AB5000 - \SystemRoot\System32\Drivers\Msfs.SYS F8ABD000 - \SystemRoot\System32\Drivers\Npfs.SYS F78CE000 - \SystemRoot\System32\DRIVERS asacd.sys B44B4000 - \SystemRoot\System32\DRIVERS\ipsec.sys B445C000 - \SystemRoot\System32\DRIVERS cpip.sys F88A5000 - \SystemRoot\System32\Drivers\aswTdi.SYS B4434000 - \SystemRoot\System32\DRIVERS etbt.sys F78C6000 - \SystemRoot\System32\drivers\ws2ifsl.sys B4412000 - \SystemRoot\System32\drivers\afd.sys F88B5000 - \SystemRoot\System32\DRIVERS etbios.sys F78C2000 - \??\C:\Program Files\TGTSoft\StyleXP\StyleXPHelper.exe F88D5000 - \??\C:\WINDOWS\system32\drivers\srtwe.sys B43BF000 - \SystemRoot\System32\DRIVERS dbss.sys B4350000 - \SystemRoot\System32\DRIVERS\mrxsmb.sys B433F000 - \SystemRoot\system32\drivers\khips.sys B431E000 - \SystemRoot\System32\DRIVERS\ipnat.sys F88E5000 - \SystemRoot\System32\DRIVERS\wanarp.sys F88F5000 - \SystemRoot\System32\DRIVERS\arp1394.sys F8905000 - \SystemRoot\System32\Drivers\Fips.SYS F8D78000 - \??\C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.sys F8AD5000 - \SystemRoot\System32\Drivers\Aavmker4.SYS F8ADD000 - \SystemRoot\System32\DRIVERS\USBSTOR.SYS F8B5D000 - \SystemRoot\System32\DRIVERS\usbccgp.sys B4F5F000 - \SystemRoot\System32\DRIVERS\hidusb.sys F89A5000 - \SystemRoot\System32\DRIVERS\HIDCLASS.SYS B4F57000 - \SystemRoot\System32\DRIVERS\kbdhid.sys B4F53000 - \SystemRoot\System32\DRIVERS\mouhid.sys B42AE000 - \SystemRoot\System32\Drivers\Cdfs.SYS B280D000 - \SystemRoot\System32\Drivers\dump_atapi.sys F8CF1000 - \SystemRoot\System32\Drivers\dump_WMILIB.SYS BF800000 - \SystemRoot\System32\win32k.sys B43FA000 - \SystemRoot\System32\drivers\Dxapi.sys B383B000 - \SystemRoot\System32\watchdog.sys BF9C3000 - \SystemRoot\System32\drivers\dxg.sys F8E18000 - \SystemRoot\System32\drivers\dxgthk.sys BF9D5000 - \SystemRoot\System32\ati2dvag.dll BFA0C000 - \SystemRoot\System32\ati2cqag.dll BFA44000 - \SystemRoot\System32\ati3duag.dll BFC45000 - \SystemRoot\System32\ativvaxx.dll B27DD000 - \SystemRoot\System32\DRIVERS disuio.sys B2667000 - \SystemRoot\System32\Drivers\aswMon2.SYS B24D2000 - \SystemRoot\System32\DRIVERS\mrxdav.sys F8CE1000 - \SystemRoot\System32\Drivers\ParVdm.SYS B2368000 - \SystemRoot\System32\DRIVERS\srv.sys B22F8000 - \SystemRoot\System32\Drivers\aswRdr.SYS B200B000 - \SystemRoot\system32\drivers\wdmaud.sys B2557000 - \SystemRoot\system32\drivers\sysaudio.sys B1D9A000 - \SystemRoot\System32\Drivers\HTTP.sys B171F000 - \SystemRoot\system32\drivers\kmixer.sys F8DD5000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys Total number of drivers = 134 Liste des programmes installes Adobe Reader 8.1.0 - Français AM-DeadLink Apple Mobile Device Support Apple Software Update Archiveur WinRAR ArcSoft PhotoImpression Assistant de connexion Windows Live ATI Control Panel ATI Display Driver avast! Antivirus AVG Anti-Spyware 7.5 Disque de souvenirs HP GalleryPlayer Images Google Desktop Google Earth Google Toolbar for Firefox HijackThis 2.0.2 hp psc 1200 series Ink InterVideo Home Theater iPod for Windows 2005-11-17 iTunes IZArc 3.81 J2SE Runtime Environment 5.0 Update 2 J2SE Runtime Environment 5.0 Update 6 J2SE Runtime Environment 5.0 Update 9 Java 2 Runtime Environment, SE v1.4.2_03 Java(TM) 6 Update 3 jv16 PowerTools 1.3 Lecteur Windows Media 11 LUMIX Simple Viewer Macromedia Shockwave Player Microsoft .NET Framework 1.1 Microsoft .NET Framework 1.1 French Language Pack Microsoft .NET Framework 2.0 Microsoft .NET Framework 2.0 Microsoft Compression Client Pack 1.0 for Windows XP Microsoft Data Access Components KB870669 Microsoft Internationalized Domain Names Mitigation APIs Microsoft National Language Support Downlevel APIs Microsoft SQL Server 2005 Compact Edition [ENU] Microsoft User-Mode Driver Framework Feature Pack 1.0 Mozilla Firefox (2.0.0.11) mst MD5 MSXML 4.0 SP2 (KB927978) MSXML 4.0 SP2 (KB936181) Nero Suite OpenOffice.org 2.3 Outil de mise à jour Google Pack Vista Inspirat 1.1 Paramètres d'orthographe pour le français Philips Digital Media Manager Philips ToUcam Pro Camera Photo et imagerie HP 2.0 - All-in-One Photo et imagerie HP 2.0 - All-in-One Pilote Photo et imagerie HP 2.0 - hp psc 1200 series Picasa 2 QuickTime Security Update pour Microsoft .NET Framework 2.0 (KB928365) Sony Ericsson PC Suite for Smartphones Sony Ericsson Symbian 9 Drivers Spybot - Search & Destroy 1.4 StyleXP (remove only) Sunbelt Kerio Personal Firewall The Simpsons Movie - Sleeping Homer Screen Saver TI Connect 1.5 VideoLink Pro vLite WebFldrs XP Windows Genuine Advantage Notifications (KB905474) Windows Genuine Advantage v1.3.0254.0 Windows Genuine Advantage Validation Tool (KB892130) Windows Imaging Component Windows Live installer Windows Live Mail Windows Live Messenger Windows Media Format 11 runtime Windows Media Format 11 runtime Windows Media Player 11 Windows XP Service Pack 2 Le volume dans le lecteur C n'a pas de nom. Le numéro de série du volume est 503D-58B4 Répertoire de C:\Program Files 2008-01-31 00:16 . 2008-01-31 00:16 .. 2005-04-08 23:15 7-Zip 2006-02-08 20:35 2,855,080 aawsepersonal.exe 2007-06-17 22:02 Adobe 2005-04-07 14:31 Ahead 2005-10-05 22:19 Alwil Software 2006-03-04 18:26 AM-DeadLink 2007-09-26 13:35 Apple Software Update 2006-01-03 00:44 ArcSoft 2006-02-12 00:51 Autoruns 2006-02-11 23:16 285,580 Autoruns.zip 2007-01-31 14:44 849 AVG Anti-Spyware.lnk 2008-01-31 00:17 BitDefender 2008-01-08 16:01 BitZipper 2006-03-31 23:06 43 blank.gif 2007-01-04 20:43 4,569,325 Calendrier_2007_Voyages-sncf.com.exe 2007-02-09 19:25 CCleaner 2005-06-04 13:57 Common Files 2005-04-07 13:32 ComPlus Applications 2006-12-17 11:35 0 cqwydcgt.exe 2006-04-09 09:32 directx 2008-01-01 15:07 eChanblard 2008-01-24 18:49 eMule 2007-03-04 11:33 eoRezo 2006-03-18 09:41 1,455,106 fdminst.exe 2008-01-31 00:14 Fichiers communs 2007-02-02 23:27 5,736,656 Firefox Setup 2.0.0.1.exe 2006-10-19 23:31 Football Generation 2005-05-06 11:01 FrRefFra 2005-05-06 11:01 234,240 FrReform.exe 2007-01-29 23:43 GalleryPlayer Images 2007-01-05 23:16 1,475,376 GenuineCheck.exe 2007-11-29 23:15 Google 2006-02-17 00:00 1,485,368 GoogleDesktopSetup.exe 2007-02-05 22:37 14,993,976 GoogleEarthWin.exe 2007-05-14 08:26 Grisoft 2005-04-07 14:26 Hewlett-Packard 2007-10-20 17:56 Hip Interactive 2007-01-06 18:32 IE6 2007-11-09 08:20 IncrediMail 2005-04-18 13:31 2,609,152 Ink.msi 2002-03-11 09:45 1,708,856 instmsia.exe 2002-03-11 10:06 1,822,520 instmsiw.exe 2007-12-12 17:56 Internet Explorer 2005-04-07 14:12 InterVideo 2005-11-06 17:50 Intuwave Ltd 2008-01-16 23:25 iPod 2008-01-16 23:25 iTunes 2007-11-25 17:58 IZArc 2007-12-16 10:09 Java 2007-03-13 17:43 jv16 PowerTools 2006-12-17 20:30 licenses 2006-10-19 23:31 Messenger 2005-04-07 13:37 microsoft frontpage 2008-01-03 17:56 Microsoft SQL Server Compact Edition 2008-01-07 11:06 Microsoft Works 2006-10-19 23:31 Movie Maker 2008-02-03 13:13 Mozilla Firefox 2005-04-07 13:31 MSN 2005-04-07 13:31 MSN Gaming Zone 2008-01-10 20:17 mst software 2007-05-01 11:30 MSXML 4.0 2007-01-06 19:57 10,703,680 NDP1.1sp1-KB867460-X86.exe 2006-02-20 11:16 NetMeeting 2008-01-01 15:12 OneStepSearch 2007-12-16 10:15 OpenOffice.org 2.3 2007-03-21 22:20 18,202,413 openofficeorg1.cab 2007-03-21 22:21 15,288,213 openofficeorg2.cab 2006-11-30 16:17 5,298,688 openofficeorg21.msi 2007-03-21 22:18 4,856,320 openofficeorg22.msi 2007-03-21 22:26 60,829,588 openofficeorg3.cab 2007-03-21 22:27 3,254,166 openofficeorg4.cab 2008-01-07 11:07 OSCILLO 2008-06-15 23:08 Outlook Express 2005-12-10 20:14 Panasonic 2005-04-07 14:36 Philips 2006-10-19 23:31 Philips ToUcam Camera 2005-04-20 19:22 PianoTrainer 2007-10-16 10:16 Picasa2 2008-01-16 23:23 QuickTime 2006-02-23 20:35 2,016,856 rd2005trial.exe 2006-12-17 20:30 readmes 2005-04-17 10:15 Real 2007-02-22 11:40 RegCleaner 2006-12-17 11:34 serial2 2005-04-07 13:33 Services en ligne 2007-03-06 11:34 319,488 setup.exe 2007-03-21 22:19 217 setup.ini 2006-07-04 22:56 11,290,496 setupfre.exe 2006-03-18 09:25 2,628,754 SetupTrueDownloader.exe 2006-03-03 23:34 SiSoftware 2008-01-07 10:54 Skype 2007-04-30 13:23 Sony Ericsson 2006-02-10 23:41 1,526,976 soref_regclean.exe 2007-09-02 22:02 Spybot - Search & Destroy 2006-02-08 20:26 5,037,072 spybotsd14.exe 2006-02-06 23:55 Startup_manager_2.0 2006-02-06 23:54 849,833 Startup_manager_2.0.zip 2006-02-10 23:52 58,368 StartupList.exe 2006-02-10 23:54 8,634 startuplist.txt 2006-03-31 23:06 12,334 stubinstaller.ini 2007-02-13 10:43 Sunbelt Software 2007-04-30 13:23 Symbian 2007-10-12 20:01 TGTSoft 2005-10-05 22:41 ThumbClic 2005-09-16 22:40 985,739 ThumbClic.zip 2007-09-15 13:51 TI Education 2008-01-24 21:11 Trend Micro 2006-10-19 23:31 VideoLink Pro 2006-02-08 16:08 Virtools Web Player 3.5 2006-02-02 20:09 27,977,025 vista-inspirat-pack_vista_inspirat_pack_1.1_francais_15013.exe 2008-01-09 16:33 vLite 2006-05-13 08:12 WebLog Expert 2008-01-07 10:56 Windows Live 2008-01-07 10:45 Windows Media Connect 2 2006-12-17 00:56 Windows Media Player 2006-02-20 11:16 Windows NT 2008-01-10 20:15 winMd5Sum 2007-11-26 19:40 WinRAR 2005-04-07 13:37 xerox 2006-06-30 00:00 14,356,904 zlsSetup_65_725_000_fr.exe 36 fichier(s) 224,733,891 octets 86 Rép(s) 107,074,293,760 octets libres Le volume dans le lecteur C n'a pas de nom. Le numéro de série du volume est 503D-58B4 Répertoire de C:\Program Files\fichiers communs 2008-01-31 00:14 . 2008-01-31 00:14 .. 2007-06-17 22:02 Adobe 2005-04-07 14:30 Ahead 2007-07-04 12:45 Apple 2008-01-31 12:43 BitDefender 2005-04-07 14:21 Hewlett-Packard 2005-11-13 13:18 InstallShield 2005-04-07 13:35 Java 2008-01-07 11:06 Microsoft Shared 2005-04-07 13:32 MSSoap 2005-04-07 14:27 ODBC 2008-01-07 10:53 Real 2005-04-07 13:32 Services 2005-04-17 11:20 Smith Micro Shared 2007-04-30 13:22 Sony Ericsson Shared 2005-04-07 14:27 SpeechEngines 2007-06-13 08:38 System 2007-04-30 13:22 Teleca Shared 2007-09-15 13:50 TI Shared 2005-09-13 17:35 Totem Shared 2006-02-06 23:43 Vbox 2007-09-15 13:49 Wise Installation Wizard 0 fichier(s) 0 octets 23 Rép(s) 107,074,297,856 octets libres Le volume dans le lecteur C n'a pas de nom. Le numéro de série du volume est 503D-58B4 Répertoire de C:\Program Files\fichiers communs\Microsoft Shared\Web Folders 2005-04-07 13:44 . 2005-04-07 13:44 .. 2001-05-18 16:57 561,209 MSONSEXT.DLL 1999-06-03 13:09 122,937 MSOWS409.DLL 2001-03-07 08:00 127,033 MSOWS40c.DLL 3 fichier(s) 811,179 octets 2 Rép(s) 107,074,297,856 octets libres Le volume dans le lecteur C n'a pas de nom. Le numéro de série du volume est 503D-58B4 Répertoire de C:\Program Files\common files 2005-06-04 13:57 . 2005-06-04 13:57 .. 2005-06-04 13:57 Microsoft Shared 2005-05-23 11:13 System 0 fichier(s) 0 octets 4 Rép(s) 107,074,293,760 octets libres Le volume dans le lecteur C n'a pas de nom. Le numéro de série du volume est 503D-58B4 Répertoire de C:\ 2006-12-17 11:34 0 exwfrso.exe 2005-06-23 21:29 199 hellbot.exe 2006-12-17 11:35 0 jojg.exe 2006-12-17 11:35 0 kosjlqeb.exe 2007-01-28 19:22 0 phiguj.exe 2006-12-17 11:34 0 rrhedgnt.exe 2006-12-17 11:35 0 rtos.exe 2006-12-17 11:34 0 sfokuk.exe 2006-12-17 11:34 0 vesuyym.exe 2006-12-17 11:36 0 wuxlbsl.exe 2006-12-17 11:35 0 yidknjo.exe 11 fichier(s) 199 octets 0 Rép(s) 107,074,293,760 octets libres c:\Documents and Settings\All Users\Application Data\Apple Computer\Installer Cache\iTunes 7.6.0.29\iTunesSetupAdmin.exe c:\Documents and Settings\Camille\Local Settings\Temporary Internet Files\Content.IE5\K5MZSDI3\TheWeatherChannel_dw5_Stubweather5[1].exe c:\Documents and Settings\Geoffroy\Application Data\Microsoft\Installer\{4EFF8DED-380B-4530-9D4E-DB67DA3E71D2}\ARPPRODUCTICON.exe c:\Documents and Settings\Geoffroy\Application Data\Microsoft\Installer\{4EFF8DED-380B-4530-9D4E-DB67DA3E71D2}\NewShortcut9_D7AAA535ADE24A7E9C74525D5417A0A7.exe c:\Documents and Settings\Hélène\Application Data\Adobe\Acrobat\7.0\Updater\Acro-Reader_703_Update.exe c:\Documents and Settings\Hélène\Application Data\Adobe\Acrobat\7.0\Updater\AdbeRdr709_fr_FR.exe c:\Documents and Settings\Hélène\Application Data\EoRezo mp.exe c:\Documents and Settings\Hélène\Application Data\Microsoft\Installer\{4EFF8DED-380B-4530-9D4E-DB67DA3E71D2}\ARPPRODUCTICON.exe c:\Documents and Settings\Hélène\Application Data\Microsoft\Installer\{4EFF8DED-380B-4530-9D4E-DB67DA3E71D2}\NewShortcut9_D7AAA535ADE24A7E9C74525D5417A0A7.exe c:\Documents and Settings\Hélène\Bureau\ComboFix(2).exe c:\Documents and Settings\Hélène\Bureau\ComboFix.exe c:\Documents and Settings\Hélène\Bureau\OTMoveIt2.exe c:\Documents and Settings\Hélène\Bureau\VundoFix.exe c:\Documents and Settings\Hélène\Bureau\DiagHelp\catchme.exe c:\Documents and Settings\Hélène\Bureau\DiagHelp\diff.exe c:\Documents and Settings\Hélène\Bureau\DiagHelp\dumphive.exe c:\Documents and Settings\Hélène\Bureau\DiagHelp\FilesInfoCmd.exe c:\Documents and Settings\Hélène\Bureau\DiagHelp\find2.exe c:\Documents and Settings\Hélène\Bureau\DiagHelp\Fport.exe c:\Documents and Settings\Hélène\Bureau\DiagHelp\grep.exe c:\Documents and Settings\Hélène\Bureau\DiagHelp\gzip.exe c:\Documents and Settings\Hélène\Bureau\DiagHelp\KProcCheck.exe c:\Documents and Settings\Hélène\Bureau\DiagHelp\LFiles.exe c:\Documents and Settings\Hélène\Bureau\DiagHelp\LISTDLLS.exe c:\Documents and Settings\Hélène\Bureau\DiagHelp\md5sums.exe c:\Documents and Settings\Hélène\Bureau\DiagHelp\pslist.exe c:\Documents and Settings\Hélène\Bureau\DiagHelp\sigcheck.exe c:\Documents and Settings\Hélène\Bureau\DiagHelp\streams.exe c:\Documents and Settings\Hélène\Bureau\DiagHelp\swreg.exe c:\Documents and Settings\Hélène\Bureau\DiagHelp ar.exe c:\Documents and Settings\Hélène\Local Settings\Application Data\KeySafe lite\KeySafelite.exe c:\Documents and Settings\All Users\Application Data\Grisoft\AVG Anti-Spyware 7.5\Downloads\help.dll c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\ppcrlconfig.dll c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\production\ppcrlconfig.dll c:\Documents and Settings\All Users\Application Data\Microsoft\USMT\iconlib.dll c:\Documents and Settings\Geoffroy\Application Data\Microsoft\IdentityCRL\ppcrlconfig.dll c:\Documents and Settings\Geoffroy\Application Data\Mozilla\Firefox\Profiles\m13zski6.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\googletoolbar.dll c:\Documents and Settings\Geoffroy\Application Data\Mozilla\Firefox\Profiles\m13zski6.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\metrics.dll c:\Documents and Settings\Hélène\Application Data\Microsoft\IdentityCRL\ppcrlconfig.dll c:\Documents and Settings\Hélène\Application Data\Mozilla\Firefox\Profiles pj0mbfw.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\googletoolbar.dll c:\Documents and Settings\Hélène\Application Data\Mozilla\Firefox\Profiles pj0mbfw.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\metrics.dll c:\Documents and Settings\LocalService\Application Data\Microsoft\UPnP Device Host\upnphost\udhisapi.dll c:\Documents and Settings\Serge\Application Data\Mozilla\Firefox\Profiles\hku6qh8c.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\googletoolbar.dll c:\Documents and Settings\Serge\Application Data\Mozilla\Firefox\Profiles\hku6qh8c.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\metrics.dll ****** Fin du rapport DiagHelp Veuillez svp envoyer le fichier C:\upload_moi_BUREAU.tar.gz a l'adresse http://upload.malekal.com

ep44 · Answer

sauf erreur de ma part je ne vois plus d'infection 

vide ton fichier prefetch 
tu vas dans c:=>windows => ouvre le fichier prefetch et vide son contenu 

ensuite je te propose de changer d'antivirus 
si tu veux bien nous allons installer antivir, beaucoup plus puissant que avast 
antivir est le meilleur antivirus gratuit en ce moment 
regarde ce lien tout est expliqué
https://www.malekal.com/avira-free-security-antivirus-gratuit/

il faut juste savoir qu'il est en anglais et qu'il ne protége pas ta messagerie 
mais je ne t'apprends pas qu'il ne faut pas ouvrir les messages dont tu ne connais pas la provenance 
 par contre il à un anti-rootkit  il est très reactif et a une très groose base de donnée
très leger pour ton pc  


regarde aussi ce lien 
http://www.commentcamarche.net/faq/sujet 3446 windows xp mon pc rame que faire
il peut -être très utile 

si tu décide de mettre antivir 
à la fin du scan il te propose un rapport 
tu le prend et tu le poste 
@+

helene · Answer

"vide ton fichier prefetch
tu vas dans c:=>windows => ouvre le fichier prefetch et vide son contenu "
comment je fais pour vider le contenu, je fais supprimer?

J'ai refait un scan avec avast parce que une alerne avait eu lieu pendant le scan diaghelp, il m'a trouvé un cheval de troie win32 agent RHY dans C/volume information/restore/8bc2a8bb....je n'ai pas pu le mettre en quarantaine car "le serveur de la zone da quarantaine n'est pas actif, échec de la communication RPC3, je l'ai donc mis dans la corbeille, est ce que je peux le supprimer complètement?
merci pour ta réponse

ep44 · Answer

oui pour le fichier prefetch tu selectionne tout son contenu et tu le supprime 
je te conseil vivement antivir 
télécharge antivir et supprime avast

si jamais antivir ne te plait pas aprés tu pourras toujours remettre avast 
mais pour ton soucis vu que antivir et plus puissant je te le conseil :-)

helene · Answer

Bonsoir ep44

voici le rapport antivir
évidemment je n'ai plus de tonnes de messages sortant apparents puisque j'ai viré avast et que antivir ne teste pas les courriers
ce matin avant de supprimer avast, j'ai encore fait un scan, il m'a trouvé un trojan win 32 agent RHY ans C/volume information /restore/8bc2a8bb qu'il n'a pas pu mettre en quarantaine car le serveur de la zone de quarantaine n'est pas actif, échec de la communication RPC;) c'est du chinois pour moi
et maintenant, que dois je faire?
mille fois merci pour tout et notamment pour ton interprétation du scan et tes prochaines instructions
à tout à l'heure
helene

   
AntiVir PersonalEdition Classic
Report file date: 2008-02-04  16:03

Scanning for 1091873 virus strains and unwanted programs.

Licensed to:      Avira AntiVir PersonalEdition Classic
Serial number:    0000149996-ADJIE-0001
Platform:         Windows XP
Windows version:  (Service Pack 2)  [5.1.2600]
Username:         SYSTEM
Computer name:    BUREAU

Version information:
BUILD.DAT    : 270           15603 Bytes  2007-09-19 13:32:00
AVSCAN.EXE   : 7.0.6.1      290856 Bytes  2007-08-23 13:16:29
AVSCAN.DLL   : 7.0.6.0       49192 Bytes  2007-08-16 12:23:51
LUKE.DLL     : 7.0.5.3      147496 Bytes  2007-08-14 15:32:47
LUKERES.DLL  : 7.0.6.1       10280 Bytes  2007-08-21 12:35:20
ANTIVIR0.VDF : 6.40.0.0    11030528 Bytes  2007-07-18 14:27:15
ANTIVIR1.VDF : 7.0.1.95    3367424 Bytes  2007-12-14 15:02:36
ANTIVIR2.VDF : 7.0.2.49    1339904 Bytes  2008-01-25 15:02:36
ANTIVIR3.VDF : 7.0.2.89     291840 Bytes  2008-02-04 15:02:36
AVEWIN32.DLL : 7.6.0.62    3240448 Bytes  2008-02-04 15:02:37
AVWINLL.DLL  : 1.0.0.7       14376 Bytes  2007-02-26 10:36:26
AVPREF.DLL   : 7.0.2.2       25640 Bytes  2007-07-18 07:39:17
AVREP.DLL    : 7.0.0.1      155688 Bytes  2007-04-16 13:16:24
AVPACK32.DLL : 7.6.0.3      360488 Bytes  2008-02-04 15:02:37
AVREG.DLL    : 7.0.1.6       30760 Bytes  2007-07-18 07:17:06
AVARKT.DLL   : 1.0.0.20     278568 Bytes  2007-08-28 12:26:33
AVEVTLOG.DLL : 7.0.0.20      86056 Bytes  2007-07-18 07:10:18
NETNT.DLL    : 7.0.0.0        7720 Bytes  2007-03-08 11:09:42
RCIMAGE.DLL  : 7.0.1.30    2342952 Bytes  2007-08-07 12:38:13
RCTEXT.DLL   : 7.0.62.0      86056 Bytes  2007-08-21 12:50:37
SQLITE3.DLL  : 3.3.17.1     339968 Bytes  2007-07-23 09:37:21

Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: off
Scan boot sector.................: on
Boot sectors.....................: C:, 
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium

Start of the scan: 2008-02-04  16:03

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'kpf4gui.exe' - '1' Module(s) have been scanned
Scan process 'firefox.exe' - '1' Module(s) have been scanned
Scan process 'wscntfy.exe' - '1' Module(s) have been scanned
Scan process 'alg.exe' - '1' Module(s) have been scanned
Scan process 'kpf4gui.exe' - '1' Module(s) have been scanned
Scan process 'ObjectDock.exe' - '1' Module(s) have been scanned
Scan process 'GoogleToolbarNotifier.exe' - '1' Module(s) have been scanned
Scan process 'avgas.exe' - '1' Module(s) have been scanned
Scan process 'atiptaxx.exe' - '1' Module(s) have been scanned
Scan process 'MsPMSPSv.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'kpf4ss.exe' - '1' Module(s) have been scanned
Scan process 'GoogleUpdaterService.exe' - '1' Module(s) have been scanned
Scan process 'guard.exe' - '0' Module(s) have been scanned
Scan process 'AppleMobileDeviceService.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'StyleXPService.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
32 processes with 32 modules were scanned

Start scanning boot sectors:
Boot sector 'C:\'
      [NOTE]      No virus was found!

Starting to scan the registry.
The registry was scanned ( '11' files ).


Starting the file scan:

Begin scan in 'C:\'
C:\pagefile.sys
      [WARNING]   The file could not be opened!
C:\upload_moi_BUREAU.tar.gz
  [0] Archive type: GZ
    --> upload_moi.tar
      [1] Archive type: TAR (tape archiver)
      --> _OTMoveIt/MovedFiles/01292008_234633/evvr.exe
          [DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
      --> qoobox/Quarantine/C/Program Files/Outerinfo/OiUninstaller.exe.vir
          [DETECTION] Contains detection pattern of the dropper DR/PurityScan.GN.2
      [INFO]      The file was moved to '481329ca.qua'!
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\Quarantine\fil126555A1.dat
  [0] Archive type: GZ
  --> fil126555A1
      [DETECTION] Is the Trojan horse TR/Agent.aox
      [INFO]      The file was moved to '48132fad.qua'!
C:\QooBox\Quarantine\C\Program Files\Outerinfo\OiUninstaller.exe.vir
      [DETECTION] Contains detection pattern of the dropper DR/PurityScan.GN.2
      [INFO]      The file was moved to '47fc34f9.qua'!
C:\System Volume Information\_restore{8BC2A8BB-1FDA-4103-AA76-9C353C1E361B}\RP490\A0121976.dll
      [DETECTION] Is the Trojan horse TR/Crypt.PEC2X.Gen
      [INFO]      The file was moved to '47d834ef.qua'!
C:\System Volume Information\_restore{8BC2A8BB-1FDA-4103-AA76-9C353C1E361B}\RP491\A0121993.exe
      [DETECTION] Contains detection pattern of the dropper DR/PurityScan.GN.2
      [INFO]      The file was moved to '47d834f5.qua'!
C:\VundoFix Backups\winpsa32.dll.bad
      [DETECTION] Is the Trojan horse TR/Crypt.PEC2X.Gen
      [INFO]      The file was moved to '4815359b.qua'!
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\4HI70LIZ\a676a175[1].js
      [DETECTION] Contains detection pattern of the Java script virus JS/Small.AF
      [INFO]      The file was moved to '47de38bc.qua'!
C:\WINDOWS\system32\drivers\srtwe.sys
      [WARNING]   The file could not be opened!
C:\_OTMoveIt\MovedFiles\01292008_234633\evvr.exe
      [DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
      [INFO]      The file was moved to '481d3981.qua'!


End of the scan: 2008-02-04  17:10
Used time:  1:07:18 min

The scan has been done completely.

   8220 Scanning directories
 308642 Files were scanned
      9 viruses and/or unwanted programs were found
      0 Files were classified as suspicious:
      0 files were deleted
      0 files were repaired
      8 files were moved to quarantine
      0 files were renamed
      2 Files cannot be scanned
 308633 Files not concerned
   2817 Archives were scanned
      2 Warnings
     11 Notes

ep44 · Answer

maintenant télécharge toolscleaner 
http://www.commentcamarche.net/telecharger/telechargement 34055291 toolscleaner

ensuite fait rechercher
une fois qu'il à fini tu fait supprimer 
@+

helene · Answer

voilà qui est fait
comment être sûre que ces messages ne transitent plus par mon pc?
dois je garder antivir ou dois-je remettre avavst?
merci pour tout: patience, conseils, explications, diagnostics.....
à plus tard:):)
helene

ep44 · Answer

moi perso je garde antivir 
d'ailleurs j'ai antivir sur mon pc, mais à toi de voir 

as tu encore des soucis ?
@+

helene · Answer

bien, je vais donc garder antivir;)
pour mes soucis, ça a l'air d'aller sauf que n'ayant plus avast, je ne sais pas si ces courriers d'inconnus passent toujours par mon pc.
dernière chose qui n'a peut-être aucun rapport: quand sur internet je clique sur une adresse mail pour envoyer un courrier, des dizaines de pages explorer s'ouvrent en quelques secondes et bloquent le pc, d'où cela vient-il?
En tout état de cause merci pour tout, c'est vraiment formidable qu'il y ait des gens comme toi qui donnent de leur temps sur ce forum pour secourir des amateurs comme moi de l'informatique;)
à bientôt 
bise:)
helene

ep44 · Answer

Bonsoir helene,

bizarre, il est vrai que antivir ne scan pas ta messagerie mais il est très sur pour ton pc 
refais hijack stp
@+

helene · Answer

Bonjour ep44
Désolée d'etre toujours là;)
Je retélécharge le logiciel hijacktis, il était parti avec toolscleaner, et je t'envoie le rapport
à tout à l'heure
merci
helene

helene · Answer

voici le rapport
à plus tard
helene

 Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:19, on 2008-02-06
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\Explorer.EXE
C:\ATI-CPanel\atiptaxx.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\SPAMfighter\SFAgent.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\Hélène\Bureau\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ustart.org
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ustart.org
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Program Files\Outlook Express\msimn.exe"
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Program Files\TGTSoft\StyleXP\TGT_BHO.dll
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SPAMfighter Agent] "C:\Program Files\SPAMfighter\SFAgent.exe" update delay 60
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-18\..\Run: [Windows Time] winmgr.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Windows Time] winmgr.exe (User 'Default user')
O4 - Startup: stardock objectdock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
O8 - Extra context menu item: &Download with TrueDownloader! - C:\Program Files\TrueDownloader\TrueDownloader.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe

helene · Answer

C'est encore moi: même quand je ne fais rien sur l'ordinateur, session fermée, personne connectée dans la maison, le modem indique une activité sur internet: le bouton de connexion clignote à tout rompre.
J'ai vu sur le forum qu'il y avait d'autres personnes avec ce souci non résolu apparemment
Merci encore
à bientôt
bise
helene

ep44 · Answer

Bonsoir helene 

en effet bizaare ton dernier rapport était propre 
et celui-ci nous montre un infection, je ne connais pas tes habitudes sur le net mais il y à des sites qu'il faut éviter 

deux spyware !

si tu as supprimer avg as =>

Télécharge:
http://www.grisoft.cz/filedir/inst/avgas-setup-7.5.1.43.exe AVG-AntiSpyware
= Installer
= Le lancer
= Clic : Mise à jour
------
= Redémarre en mode Sans Échec (le démarrage peut prendre plusieurs minutes)
Attention, pas d’accès à internet dans ce mode. Enregistre ou imprime les consignes.

Relance le Pc et tapote la touche F8 ( ou F5 pour certains) , jusqu’à l’apparition des inscriptions avec choix de démarrage
Avec les touches « flèches », sélectionne Mode sans échec ==> entrée ==>nom utilisateur habituel
-------
= Dans ANALYSE ( en forme de loupe )
==> Paramètres ==> sous COMMENT REAGIR==>clic sur Actions recommandées ==>Quarantaine
==> Clic : Analyse complète du système
En fin de scan ( qui est assez long)
==> Clic Appliquer toutes les actions <== ceci Très important
==> Clic Sauvegarder rapport puis Enregistrer sous et choisir bureau
-------
En mode normal
colle le rapport
@+

helene · Answer

bonsoir ep44, je ne fais rien de bien particulier sur le net des choses très classiques,est ce que ça ne pourrait pas venir de ces courriers de site porno américains qui semblent tjrs transiter par mon pc?
ce matin spybot m'a trouvé un win32Tiny abk dans C/Windows/temp/AE8AB.....
Je fais le scan AVG et je te poste le rapport
apparemment, tu n'es pas encore débarrassée de moi;-)
à plus tard
helene

helene · Answer

coucou ep44
avg n'a rien trouvé
je désespère:-(
si je  te disais comment j'ai été infecté, peut-être cela t'aiderait-il?
le 19 janvier, mon fils Geoffroy a eu la bonne idée de télécharger sur son Mac un logiciel de je ne sais quoi, de le mettre sur une clef usb et de l'importer sur mon pc, et là, gros bug de windows, écran bleu avec alerte,etc..... et au redémarrage, avast dans tous ses états, alerte trojans et autres et tous ces courriers en anglais  testés par avast  et ralentissant mon pc
depuis je suis en contact avec toi :-)
voilà
moi, sur le net, je lis la presse, je ne vais que sur des sites classiques, rien de "dangereux" a priori
bonne journée et merci
à ce soir
bise 
helene

helene · Answer

rebonjour ep44,
pour info, ce matin, j'ai refait un scan spybot, il m' a à nouveau trouvé cet adware win32tny abk dans C/Windows/Temp
à ce soir

ep44 · Answer

Bonsoir helene 

désolé beaucoup de boulot en ce moment 

pour vérif refais hijack stp
@+

helene · Answer

Conjour ep44,
Ne sois pas désolé, j'imagine bien que tu as autres choses à faire que de t'occuper de mon cas et de mes soucis;-)
Voici le dernier rapport hijack
Toujours le modem qui a une acctivité anormale quan personne n'est connectée,, sunbelt affiche en permannence un traffic sortant important alors que je ne fais rien
A ce soir et déjà merci 
helene


 Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:12, on 2008-02-08
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\ATI-CPanel\atiptaxx.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\SPAMfighter\SFAgent.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Windows Live\Mail\wlmail.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ustart.org
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ustart.org
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Program Files\Outlook Express\msimn.exe"
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Program Files\TGTSoft\StyleXP\TGT_BHO.dll
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SPAMfighter Agent] "C:\Program Files\SPAMfighter\SFAgent.exe" update delay 60
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-18\..\Run: [Windows Time] winmgr.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Windows Time] winmgr.exe (User 'Default user')
O4 - Startup: stardock objectdock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
O8 - Extra context menu item: &Download with TrueDownloader! - C:\Program Files\TrueDownloader\TrueDownloader.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe

helene · Answer

J'ai refait aussi un scan avg  , il a trouvé Not Avirus Adware Virtumonde dans C\Système Volume information\restore.....que j'ai mis en quarantaine
voilà, je n'ai pas l'impression d'avancer beaucoup
en tout état de cause, c'est vraiment exceptionnel que toi et tous ceux du forum donniez autant de votre temps à des amateurs comme moi qui se débattent dans des problèmes insurmontables
je me répète:merci;-)
bise:-)
helene

helene · Answer

et pour être précise, spybot m'a de nouveau trouvé ce win32 tny abk toujours logé aux mêmes endroits
si tu en as assez de te pencher sur mon cas, laisse tomber, je ne t'en voudrai pas;-)
à ce soir

ep44 · Answer

Bonsoir helene,

je n'ai pas l'habitude de baisser les bras 
je suis plutôt embêter pour toi car tu as toujours des soucis 
t'en que tu auras besoin je serais présent ;-)
 
Je vais essayer de procéder autrement 
quel messagerie utilise tu ?

helene · Answer

Bonjour ep44
J'utilise Windows Live Mail
Avant j'utilisais Outlook, comme je te le disais, j'ai déjà eu ce problème il y a un an avec outlook.
Ne devrais je pas remettre avast le temps de vérifier ces messages sortant, l'activité de mon modem semble se ralentir, enfin, par moment...
Est ce que je peux avec ce souci faire des achats sur des sites sécurisés comme sncf.com ou est ce qu'il y a un risque?
Encore merci pour tout et pour ton dernier mot réconfortant
A ce soir
Bise
helene

ep44 · Answer

Bonjour helene 

oui si tu veux tu peux remettre avast 
antivir n'est pas une obligation mais pour lr futur je te le conseil vivement :-)

dans ta messagerie regarde ton compte d'utilisateur 
pas  sur mais regarde si tu n'as pas plusieurs adresse 
normalement tu devrais avoir que la tienne ou celle de se qui utilise ce pc 

si toutefois toujours pareil peut tu supprimer complètement ta messagerie et le réinstaller 
je pense que cela devrais peut-être résoudre le soucis 
mais sans affirmation 

@+ ;-)

helene · Answer

Bonjour ep44
J'ai regardé comme tu me l'as conseillé mon compte d'utisateur de ma mesagerie, il n'y a bien que le mien, pareil pour les autres utilisateurs.
Au fait, qu'est devenu le virus que tu avais trouvé dans mon dernier log  hijack?
Le problème, si je désinstalle ma messagerie, c'est qu'elle est sur mon cd d'installation de windows, comment je ferai pour n'installer que outlook et ensuite windows live mail?
A plus tard
Et bon week end
helene

ep44 · Answer

ok laisse ta messagerie pour l'instant 

installe et utilise ces trois logiciels 
sert toi des tutos pour t'en servir 
utilise les les uns après les autres 

=>CCleaner
https://www.clubic.com/telecharger-fiche14492-ccleaner.html
tuto:
https://forums.cnetfrance.fr

=> Ad-aware SE (scan passif )
https://www.google.com ou http://www.lavasoft.de/support/download/#free
Tutos :
http://home.tiscali.be/schouppeguy/adawarese/adawase.htm
démo
http://pageperso.aol.fr/balltrap34/adwseflash.zip
http://perso.orange.fr/rginformatique/section%20virus/adawrevid.asf

=> SpyBot-Search & Destroy 1.5 (scan passif + protection préventive avec ces 2 résidents, ses vaccinations et sa list Hosts )

https://www.safer-networking.org/download/

démo d utilisation
http://perso.orange.fr/rginformatique/section%20virus/demo%20spybot.htm
https://www.malekal.com/spybot-search-destroy-proteger-desinfecter-pc-virus/
Tuto :
http://perso.orange.fr/jesses/Docs/Logiciels/Spybot.htm

=> a² free (anti-trojans) (scan passif )

- Téléchargement : https://www.emsisoft.com/fr/home/antimalware/
- Tuto : http://perso.orange.fr/jesses/Docs/Logiciels/a-squared.htm
@+

helene · Answer

Bonjour ep44,
J'ai fait tout ce que tu m'as proposé:

ccleaner, je l'avais déjà et je m'en sers tous les jours

ad aware n'a rien trouvé
Mode d'analyse:				Full
Durée de l'analyse				00:29:09
Nombre d'objets analysés		319218
Nombre d'infections trouvées		0
   Critique:				0
   Objets privés:			0
Infections supprimées:			0
Infections en quarantaine:		0
Nombre total d'infections ignorées par l'analyse	0

spybot, je l'ai déjà et je m'en sers environ 1 fois par semaine

a free a trouvé des trucs que j'ai mis en quarantaine

Version - a-squared Free 3.1
Dernière mise à jour: 2008-02-10 10:23:30

Réglages Scan:

Objets: Mémoire, Traces, Cookies
Scan archives: Marche
Heuristiques: Marche
Scan ADS: Marche

Début du scan:	2008-02-10 10:24:22

c:\program files\fichiers communs	otem shared 	Détecter: Trace.Directory.ISTbar
Key: HKEY_LOCAL_MACHINE\software\ptssa 	Détecter: Trace.Registry.Agent
Key: HKEY_USERS\S-1-5-21-1454471165-688789844-839522115-1005\software\oemji 	Détecter: Trace.Registry.OemjiBar
Key: HKEY_LOCAL_MACHINE\softwareegistry cleaner 	Détecter: Trace.Registry.RegistryCleaner
Key: HKEY_USERS\S-1-5-21-1454471165-688789844-839522115-1005\software\local appwizard-generated applications\popup 	Détecter: Trace.Registry.UnclassifiedDialer

Scanné

Fichiers: 	1220
Traces: 	366796
Cookies: 	20
Processus: 	31

Trouver

Fichiers: 	0
Traces: 	5
Cookies: 	0
Processus: 	0
Clés de Registre: 	0

Fin du Scan:	2008-02-10 10:25:38
Temps du Scan:	0:01:16

Key: HKEY_USERS\S-1-5-21-1454471165-688789844-839522115-1005\software\local appwizard-generated applications\popup	Quarantaine Trace.Registry.UnclassifiedDialer
Key: HKEY_LOCAL_MACHINE\softwareegistry cleaner	Quarantaine Trace.Registry.RegistryCleaner
Key: HKEY_USERS\S-1-5-21-1454471165-688789844-839522115-1005\software\oemji	Quarantaine Trace.Registry.OemjiBar
Key: HKEY_LOCAL_MACHINE\software\ptssa	Quarantaine Trace.Registry.Agent
c:\program files\fichiers communs	otem shared	Quarantaine Trace.Directory.ISTbar

Quarantaine

Fichiers: 	0
Traces: 	5
Cookies: 	0
 Voilà, qu' en penses-tu?
Déjà merci et bon dimanche
Bise 
helene

ep44 · Answer

Bonjour helene et bon dimanche à toi aussi ;-)
as tu réinstaller avast ?
@+

helene · Answer

non, j'attendais ton feu vert

helene · Answer

j'ai remis avast: catastrophe, la sirène m'indiquant qu'une infaction possible a été détectée: trop de messages sortant n peu de temps provenant de la même source
J'ai coupé l'avertissement sonore, fait bloquer les messages dans la configuration avancée de avast, mais ils sont toujours là: quelques 400 en 11mn de connexion
Je désespère vraiment:-( , heureusement que tu es toujours là:-)
à plus tard j'espère
merci
helene

ep44 · Answer

vraiment bizarre car tes rapports sont propres 
je fais des recherches et je te réponds plus tard dans la soirée ;-)
@+

ep44 · Answer

re ;-)

telécharge et execute http://www.uploads.ejvindh.net/rustbfix.exe"
et suis les instruction. 

ensuite Télécharge sur ton bureau RHosts (Merci à S!ri) disponible ici,
http://siri.urz.free.fr/Softs/RHosts.exe
Double-clique sur Rhosts.exe et clique sur "restaurer".
vérifie aussi que dans ta boite d'envoi s il n'y à rien 
@+

helene · Answer

voilà pour rustbfix: petit écran noir pendant qq seconde puis ce rapport

   ************************* Rustock.b-fix v. 1.01 -- By ejvindh *************************
2008-02-10 23:08:41.82

No Rustock.b-rootkits found

******************************* End of Logfile ********************************

quant à l'autre logiciel, il me demande la confirmation de la restauration du fichier hosts, mais ensuite rien ne semble se passer?
est ce normal
à plus tard
merci ep44 
helene

helene · Answer

Bonsoir ep44,
Je viens t'informer que je m'absente une petite semaine, au cas où tu aurais pris mon silence soudain pour de la mauvaise éducation;-))
A mon retour peut-être ces intrus se seront-ils lassés??
En attendant bonne semaine à toi
Encore merci pour tout ;-))
Je te fais signe en rentrant ne serait-ce que pour te dire que tout est rentré dans l'ordre
Peut-être que d'ici là tu auras trouvé la solution à mon problème
Il y a quand même quelque chose qui m'échappe, en plus de tout le reste!!!: comment ces inconnus peuvent-ils se servir de mon adresse IP: je suis cablée et l'adresse IP est parai-il changée constamment par le FAI, comment peut-elle être repérée?Bref
Bise et à très bientôt  :-))
helene

ep44 · Answer

Bonsoir helene 

ça surement rien à voir mais fait tes mises à jours avec java tu as la 5 
https://www.01net.com/telecharger/windows/Programmation/java/fiches/8138.html

ensuite vérifie tes mises à jours windows 
démarrer=>tous les programmes =>windows update 
pour vérif refais  un scan en ligne

avec bitdefender et colle le rapport

https://www.bitdefender.com/toolbox/

un tuto
http://pageperso.aol.fr/rginformatique/mapage/defender.htm
@+

ep44 · Answer

avec une nouvelle aide pour ton soucis je te demande de regarde aussi ici 

Panneau de configuration=> Option Internet=>cliquer sur l'onglet Connexions=> tu as une case rectangulaire est-elle vide ?

ensuite quel est ton fournisseur d'accès internet ?
quel modem utilise tu ?


pour essayer d'avancer veut bien passer sur la messagerie d'outlook
 et bonne semaine ;-)
@+

ep44 · Answer

Bonsoir helene,

j'espère aussi que nous allons trouver la solution à ton soucis 
pour vérif peut tu refaire hijack stp
@+

ep44 · Answer

Bonsoir helene ;-)

ce qui me dérange c'est ceci O4 - HKUS\S-1-5-18\..\Run: [Windows Time] winmgr.exe (User 'SYSTEM')
ce qui est un Ver de Spyware==>> W32/Rbot-XC
mais je n'ai pas trouvé comment le supprimer 
pour vérif refait un combofix 
@+

ep44 · Answer

Bonsoir helene 

donc relance hijack et coche ceci 
O4 - HKUS\S-1-5-18\..\Run: [Windows Time] winmgr.exe (User 'SYSTEM')
	O4 - HKUS\.DEFAULT\..\Run: [Windows Time] winmgr.exe (User 'Default user')
ensuite clic sur fix checked 

ensuite télécharge regcleaner 
http://ftpclubic46.clubic.com/...

sert toi de ce tuto  pour l'utiliser 
https://forums.cnetfrance.fr


ensuite 
Télécharge ATF Cleaner par Atribune.
http://www.atribune.org/ccount/click.php?id=1

      Double-clique ATF-Cleaner.exe afin de lancer le programme.
      Sous l'onglet Main, choisis : Select All
      Clique sur le bouton Empty Selected

Si tu utilises le navigateur Firefox :

      Clique Firefox au haut et choisis : Select All
      Clique le bouton Empty Selected
      NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Si tu utilises le navigateur Opera :

      Clique Opera au haut et choisis : Select All
      Clique le bouton Empty Selected
      NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Clique Exit, du menu prinicipal, afin de fermer le programme.
Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus. 

dit si tu as toujours ce soucis 
@+

helene · Answer

Bonsoir ep44

J'ai cru à un moment donné que mes problèmes étaient réglés, plus d'alertes d'avast...mais ça n'a pas duré longtemps, déjà 1500 mails en 20mn et le système de plus en plus lent, et en prime mon courrier qui n'arrive pas parce que avast en teste trop en même temps
Je désespère et surtout je suis vraiment de plus en plus ennuyée de t'embêter avec ça, donc si tu veux laisser tomber, je comprendrai;-)
encore merci pour tout
bise
helene

ep44 · Answer

Bonsoir hélène,

non je ne laisse pas tomber ;-)

refais un nouveau hijack stp

helene · Answer

Bonsoir ep 44
Merci d'être toujours là
voici le log
à plus tard
helene

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:49:36, on 02/27/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\Explorer.EXE
C:\ATI-CPanel\atiptaxx.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
C:\Program Files\Windows Live\Mail\wlmail.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ustart.org
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Program Files\Outlook Express\msimn.exe"
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Program Files\TGTSoft\StyleXP\TGT_BHO.dll
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-21-1454471165-688789844-839522115-1006\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Serge')
O4 - HKUS\S-1-5-21-1454471165-688789844-839522115-1006\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background (User 'Serge')
O4 - S-1-5-21-1454471165-688789844-839522115-1006 Startup: Stardock ObjectDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe (User 'Serge')
O4 - S-1-5-21-1454471165-688789844-839522115-1006 Startup: y'z toolbar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe (User 'Serge')
O4 - S-1-5-21-1454471165-688789844-839522115-1006 User Startup: Stardock ObjectDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe (User 'Serge')
O4 - S-1-5-21-1454471165-688789844-839522115-1006 User Startup: y'z toolbar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe (User 'Serge')
O4 - Startup: stardock objectdock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
O8 - Extra context menu item: &Download with TrueDownloader! - C:\Program Files\TrueDownloader\TrueDownloader.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe

ep44 · Answer

Bonsoir helene 
désolé pour le retard :-)

est-ce que ceci te dit quelque chose 
C:\Program Files\Windows Live\Mail\wlmail.exe

@+

ep44 · Answer

Bonsoir helene 

il y a un petit problème, tu me dit que c'est ta messagerie 
alors que ici tu dit que c'est outlook 
http://www.commentcamarche.net/forum/affich 4774812 des centaines de couuriers sortant?page=5#95

je pense que l'on devrais supprimer ce Windows Live Mail 

tu as aussi installer sur ton pc C:\WINDOWS\BricoPacks\Vista Inspirat
depuis combien de temps 
est-ce que t'es soucis on commencer depuis ??

@+

helene · Answer

Bonjour ep44
J'avais effectivement désinstaller windows live mail suite à tes conseils et repris outlook, mais ça n'avait rien changé à mon problème, je l'ai donc remis le préférant
Quant au pack vista, ça fait longtemps que je l'ai, mes problèmes sont apparus le 19 janvier, là:
http://www.commentcamarche.net/forum/affich 4774812 des centaines de couuriers sortant?page=4#0
Voilà
A plus tard
helene

ep44 · Answer

Bonjour helene 

je ne comprend plus 

je ne vois plus rien de néfaste 
et je pense avoir regardé ou il fallait 
mais je peux très bien me tromper 

Je demande une aide pour ton sujet 

Merci @+ ;-)

helene · Answer

Merci ep44
J'attends de tes nouvelles
Bon week end
Bise
helene

ep44 · Answer

re

je pense à une chose 

Télécharge OAD  http://sosvirus.changelog.fr/OAD.exe
- Enregistre le sur ton bureau


Double clique sur le OAD pour le lancer

- nom de fichier à rechercher tape ou fais un copier coller de : winmgr.exe
- Type de recherche : sélectionne l'option 6 puis valide [entree]

OAD va maintenant rechercher le fichier. Laisse le travailler jusqu'à ce qu'il en ai terminé.
Le rapport de recherche s'affichera automatiquement à dès qu'il en aura terminé.

- Fais un copier / coller de ce rapport dans ton prochain post.

ep44 · Answer

Bonjour helene 
avec un oeil supplémentaire je fait remonter ceci
tu as dit au poste 74

le 19 janvier, mon fils Geoffroy a eu la bonne idée de télécharger sur son Mac un logiciel de je ne sais quoi, de le mettre sur une clef usb et de l'importer sur mon pc, et là, gros bug de windows, écran bleu avec alerte,etc..... et au redémarrage, avast dans tous ses états, alerte trojans et autres et tous ces courriers en anglais testés par avast et ralentissant mon pc

il faudrait savoir qu'elle logiciel 
demande à ton fils il devrait savoir 
@+

helene · Answer

c'était un logiciel de traitement de photos qu'il avait téléchargé sur son mac, il ne se rappelle plus du nom, il fait des recherches
à plus tard
bise
helene

ep44 · Answer

Bonsoir nous allons essayer autre chose 

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe 
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec 

------
= Redémarre en mode Sans Échec (le démarrage peut prendre plusieurs minutes)
Attention, pas d’accès à internet dans ce mode. Enregistre ou imprime les consignes.

Relance le Pc et tapote la touche F8 ( ou F5 pour certains) , jusqu’à l’apparition des inscriptions avec choix de démarrage
Avec les touches « flèches », sélectionne Mode sans échec ==> entrée ==>nom utilisateur habituel
-------

= Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
= Appuie sur Y pour commencer le processus de nettoyage.
= Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
= Appuie sur une touche pour redémarrer le PC.
= Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
= Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
= Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
= Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
= Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse
@+

helene · Answer

Rebonjour ep44,

Voici le rapport que tu m'as demandé, apparemment, il y avait encore plein de saletés dans mon système
J'attends ton diagnostic
A ce soir et encore merci
helene

A part ça, j'avais aussi refait un scan avec avast: il y a toujours un fichier qu'il ne peut pas scanné:  C/windows/§Shfmig§/KB8900859/winsrv.dll
est ce qu ce vers pourrait se cacher là dedans?


[b]SDFix: Version 1.153 [/b]

Run by Hélène on 03/07/2008 at 08:21

Microsoft Windows XP [version 5.1.2600]
Running From: C:\DOCUME~1\HLNE~1\Bureau\sdifix\SDFix

[b]Checking Services [/b]:

Name:
srtwe

Path:
\??\C:\WINDOWS\system32\drivers\srtwe.sys 

srtwe - Deleted



Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting


[b]Checking Files [/b]: 

Trojan Files Found:

C:\EXWFRSO.EXE - Deleted
C:\JOJG.EXE - Deleted
C:\KOSJLQEB.EXE - Deleted
C:\PHIGUJ.EXE - Deleted
C:\RRHEDGNT.EXE - Deleted
C:\RTOS.EXE - Deleted
C:\SFOKUK.EXE - Deleted
C:\VESUYYM.EXE - Deleted
C:\WUXLBSL.EXE - Deleted
C:\YIDKNJO.EXE - Deleted
C:\134619~1 - Deleted
C:\Program Files\Setup.exe  - Deleted
C:\Program Files\wunauclt.zip  - Deleted
C:\Program Files\wunauclt.tbe  - Deleted
C:\WINDOWS\system32\drivers\srtwe.sys  - Deleted





Removing Temp Files

[b]ADS Check [/b]:
 


                                 [b]Final Check [/b]:

catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-07 08:34:00
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

IPC error: 2 Le fichier spécifié est introuvable.
scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


[b]Remaining Services [/b]:



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\Program Files\iTunes\iTunes.exe"="C:\Program Files\iTunes\iTunes.exe:*:Enabled:iTunes"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

[b]Remaining Files [/b]:


File Backups: - C:\DOCUME~1\HLNE~1\Bureau\sdifix\SDFix\backups\backups.zip

[b]Files with Hidden Attributes [/b]:

Tue 16 Oct 2007     5,903,928 A..H. --- "C:\Program Files\Picasa2\setup.exe"
Mon 28 Jan 2008     1,404,240 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SDUpdate.exe"
Mon 28 Jan 2008     5,146,448 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe"
Mon 28 Jan 2008     2,097,488 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe"

[b]Finished![/b]

Des centaines de couuriers sortant

110 réponses

Discussions similaires

Newsletters