Rapport Vundofix+Hijackthis ke faire ensuite? Résolu/Fermé

Question

Bonjour,
    
Voilà je pense avoir le trojan vundo du coup je viens de faire Vundofix dont voici le rapport ainsi qu'un nouveau rapport Hijackthis suite au premier, mais que dois-je faire ensuite ? "Fix checked" mais quelles lignes ??? Merci de votre aide :

Rapport Vundofix :


VundoFix V6.7.7

Checking Java version...

Java version is 1.5.0.6
Old versions of java are exploitable and should be removed.

Scan started at 12:49:21 04/02/2008

Listing files found while scanning....

C:\WINDOWS\pchealth\helpctr\binaries\MSConfig.exe
C:\windows\system32\aqcbpwcs.dll
C:\WINDOWS\system32\dpesvnvq.exe
C:\WINDOWS\system32\evtllpvk.ini
C:\WINDOWS\system32\iryyqqjo.dll
C:\WINDOWS\system32\iysxvkhf.exe
C:\WINDOWS\system32\jmousdon.dll
C:\WINDOWS\system32\kvplltve.dll
C:\WINDOWS\system32\mdrkkpse.dll
C:\WINDOWS\system32\mlqwpsrw.dll
C:\windows\system32\mlqwpsrw.dllbox
C:\WINDOWS\system32\mwalbjah.dll
C:\WINDOWS\system32\NexPlayerX.dll
C:\WINDOWS\system32\obwisewm.dll
C:\WINDOWS\system32\qarnkqku.dll
C:\WINDOWS\system32\qbipuruy.dll
C:\WINDOWS\system32\qbqpanmb.dll
C:\WINDOWS\system32\qomnl.dll
C:\WINDOWS\system32\qomnl.exe
C:\WINDOWS\system32\scyprwwa.dll
C:\WINDOWS\system32\slwgucpj.dll
C:\WINDOWS\system32\veydphbm.dll
C:\WINDOWS\system32\xwwbqpko.exe
C:\WINDOWS\system32\yansfgwu.dll
C:\WINDOWS\system32\yugmospl.dll

Beginning removal...

 Attempting to delete C:\WINDOWS\pchealth\helpctr\binaries\MSConfig.exe
C:\WINDOWS\pchealth\helpctr\binaries\MSConfig.exe Has been deleted!

 Attempting to delete C:\windows\system32\aqcbpwcs.dll
C:\windows\system32\aqcbpwcs.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\dpesvnvq.exe
C:\WINDOWS\system32\dpesvnvq.exe Has been deleted!

 Attempting to delete C:\WINDOWS\system32\evtllpvk.ini
C:\WINDOWS\system32\evtllpvk.ini Has been deleted!

 Attempting to delete C:\WINDOWS\system32\iryyqqjo.dll
C:\WINDOWS\system32\iryyqqjo.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\iysxvkhf.exe
C:\WINDOWS\system32\iysxvkhf.exe Has been deleted!

 Attempting to delete C:\WINDOWS\system32\jmousdon.dll
C:\WINDOWS\system32\jmousdon.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\kvplltve.dll
C:\WINDOWS\system32\kvplltve.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\mdrkkpse.dll
C:\WINDOWS\system32\mdrkkpse.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\mlqwpsrw.dll
C:\WINDOWS\system32\mlqwpsrw.dll Could not be deleted.

 Attempting to delete C:\windows\system32\mlqwpsrw.dllbox
C:\windows\system32\mlqwpsrw.dllbox Has been deleted!

 Attempting to delete C:\WINDOWS\system32\mwalbjah.dll
C:\WINDOWS\system32\mwalbjah.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\NexPlayerX.dll
C:\WINDOWS\system32\NexPlayerX.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\obwisewm.dll
C:\WINDOWS\system32\obwisewm.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\qarnkqku.dll
C:\WINDOWS\system32\qarnkqku.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\qbipuruy.dll
C:\WINDOWS\system32\qbipuruy.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\qbqpanmb.dll
C:\WINDOWS\system32\qbqpanmb.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\qomnl.dll
C:\WINDOWS\system32\qomnl.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\qomnl.exe
C:\WINDOWS\system32\qomnl.exe Has been deleted!

 Attempting to delete C:\WINDOWS\system32\scyprwwa.dll
C:\WINDOWS\system32\scyprwwa.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\slwgucpj.dll
C:\WINDOWS\system32\slwgucpj.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\veydphbm.dll
C:\WINDOWS\system32\veydphbm.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\xwwbqpko.exe
C:\WINDOWS\system32\xwwbqpko.exe Has been deleted!

 Attempting to delete C:\WINDOWS\system32\yansfgwu.dll
C:\WINDOWS\system32\yansfgwu.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\yugmospl.dll
C:\WINDOWS\system32\yugmospl.dll Has been deleted!

Performing Repairs to the registry.
Done!

VundoFix V6.7.8

Checking Java version...

Java version is 1.5.0.6
Old versions of java are exploitable and should be removed.

Scan started at 18:46:52 07/02/2008

Listing files found while scanning....

C:\WINDOWS\system32\gjmfycsx.dll
C:\WINDOWS\system32\lnmoq.ini
C:\WINDOWS\system32\lnmoq.ini2
C:\WINDOWS\system32\mlqwpsrw.dll
C:\windows\system32\mlqwpsrw.dllbox
C:\WINDOWS\system32\ooqjlmyc.dll
C:\WINDOWS\system32\qomnl.dll
C:\WINDOWS\system32\qomnl.exe
C:\WINDOWS\system32\roblibcr.dll
C:\WINDOWS\system32\xyvyvpvk.dll

Beginning removal...

 Attempting to delete C:\WINDOWS\system32\gjmfycsx.dll
C:\WINDOWS\system32\gjmfycsx.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\lnmoq.ini
C:\WINDOWS\system32\lnmoq.ini Has been deleted!

 Attempting to delete C:\WINDOWS\system32\lnmoq.ini2
C:\WINDOWS\system32\lnmoq.ini2 Has been deleted!

 Attempting to delete C:\WINDOWS\system32\mlqwpsrw.dll
C:\WINDOWS\system32\mlqwpsrw.dll Could not be deleted.

 Attempting to delete C:\windows\system32\mlqwpsrw.dllbox
C:\windows\system32\mlqwpsrw.dllbox Has been deleted!

 Attempting to delete C:\WINDOWS\system32\ooqjlmyc.dll
C:\WINDOWS\system32\ooqjlmyc.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\qomnl.dll
C:\WINDOWS\system32\qomnl.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\qomnl.exe
C:\WINDOWS\system32\qomnl.exe Has been deleted!

 Attempting to delete C:\WINDOWS\system32\roblibcr.dll
C:\WINDOWS\system32\roblibcr.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\xyvyvpvk.dll
C:\WINDOWS\system32\xyvyvpvk.dll Has been deleted!

Performing Repairs to the registry.
Done!


Rapport Hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:33:44, on 07/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\NOTEPAD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - (no file)
F3 - REG:win.ini: load=C:\WINDOWS\system32\qomnl.exe
O2 - BHO: (no name) - {00DC0058-A87E-4D19-9C26-F1AAC98AD4D7} - (no file)
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {143CEC6F-CEA3-478A-BC59-F15D278E1768} - C:\WINDOWS\system32\qomnl.dll (file missing)
O2 - BHO: (no name) - {1FDFB8C1-4079-4094-B1BD-BAB36BE11E1b} - C:\WINDOWS\system32\aqcbpwcs.dll (file missing)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Ask Search Assistant BHO - {9CB65201-89C4-402c-BA80-02D8C59F9B1D} - (no file)
O2 - BHO: {de8976bf-4444-af88-8fd4-81e9c7b8263a} - {a3628b7c-9e18-4df8-88fa-4444fb6798ed} - C:\WINDOWS\system32\ooqjlmyc.dll (file missing)
O2 - BHO: (no name) - {A95B2816-1D7E-4561-A202-68C0DE02353A} - C:\WINDOWS\system32\mlqwpsrw.dll
O2 - BHO: Ask Toolbar BHO - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - (no file)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: (no name) - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - (no file)
O4 - HKLM\..\Run: [Salestart] "C:\Program Files\Fichiers communs\StorageProtector\strpmon.exe" dm=http://storageprotector.com ad=http://storageprotector.com sd=http://inspaid.storageprotector.com
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask                       .exe" -atboottime
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [d4fbde05] rundll32.exe "C:\WINDOWS\system32\roblibcr.dll",b
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [Salestart(1)] "C:\Program Files\Fichiers communs\StorageProtector\strpmon .exe" dm=http://storageprotector.com ad=http://storageprotector.com sd=http://inspaid.storageprotector.com
O4 - HKLM\..\RunOnce: [CleanUp] CleanUp.exe
O4 - HKLM\..\RunOnce: [SpkrCnfg] DSndUp.exe
O4 - HKLM\..\RunOnce: [InstallShieldSetup] C:\PROGRA~1\INSTAL~1\{F0A37~1\Setup.exe -rebootC:\PROGRA~1\INSTAL~1\{F0A37~1\reboot.ini 
O4 - HKLM\..\RunOnce: [Spybot - Search & Destroy] "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKLM\..\RunOnce: [wextract_cleanup0] rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\DOCUME~1\DEPOOR~1\LOCALS~1\Temp\IXP000.TMP\"
O4 - HKLM\..\RunOnce: [VundoFix] "C:\Documents and Settings\de poortere\Bureau\vundofix.exe"
O4 - HKLM\..\RunOnce: [wextract_cleanup1] rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\DOCUME~1\DEPOOR~1\LOCALS~1\Temp\IXP001.TMP\"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [speakersettings] regedit /s c:\pnp\audio\speaker_setting.reg
O4 - Startup: Outil de détection de support de Cyber-shot Viewer.lnk = C:\Program Files\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
O4 - Global Startup: NETGEAR WG111v2 Smart Wizard.lnk = C:\Program Files\NETGEAR\WG111v2\WG111v2.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {54823A9D-6BAE-11D5-B519-0050BA2413EB} (ChkDVDCtl Class) - http://www.gocyberlink.com/winxp/CheckDVD.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - https://www.touslesdrivers.com/index.php?v_page=29
O16 - DPF: {E862C832-3A5F-4CEB-BFAA-167B22010A71} (InfosFinder2.InfosFinder) - http://support.packardbell.com/files/activex/InfosFinder2.CAB
O20 - AppInit_DLLs:  sockspy.dll sockspy.dll sockspy.dll sockspy.dll,C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: gebxxus - gebxxus.dll (file missing)
O20 - Winlogon Notify: mlqwpsrw - C:\WINDOWS\SYSTEM32\mlqwpsrw.dll
O20 - Winlogon Notify: winblg32 - winblg32.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Active File Monitor V4 (AdobeActiveFileMonitor4.0) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe (file missing)
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe (file missing)
O23 - Service: avp  - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp .exe (file missing)
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: DomainService - Unknown owner - C:\WINDOWS\system32\qugugrbo.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Unknown owner - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

Jigsaw · Answer

Re !!!!

Je viens de lancer "Virtumundobegone" dont voici le rapport : (Quelqu'un peut-il me venir en aide S'IL VOUS PLAIT !!!!!) :


[02/07/2008, 20:03:47] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\de poortere\Bureau\VirtumundoBeGone.exe" )
[02/07/2008, 20:04:00] - Detected System Information:
[02/07/2008, 20:04:00] -  Windows Version: 5.1.2600, Service Pack 2
[02/07/2008, 20:04:00] -  Current Username: de poortere (Admin)
[02/07/2008, 20:04:00] -  Windows is in SAFE mode.
[02/07/2008, 20:04:00] - Searching for Browser Helper Objects:
[02/07/2008, 20:04:00] -  BHO 1: {00DC0058-A87E-4D19-9C26-F1AAC98AD4D7} ()
[02/07/2008, 20:04:00] - WARNING: BHO has no default name. Checking for Winlogon reference.
[02/07/2008, 20:04:00] -  No filename found. Continuing.
[02/07/2008, 20:04:00] -  BHO 2: {02478D38-C3F9-4EFB-9B51-7695ECA05670} (Yahoo! Toolbar Helper)
[02/07/2008, 20:04:00] -  BHO 3: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)
[02/07/2008, 20:04:00] -  BHO 4: {143CEC6F-CEA3-478A-BC59-F15D278E1768} ()
[02/07/2008, 20:04:00] - WARNING: BHO has no default name. Checking for Winlogon reference.
[02/07/2008, 20:04:00] -  Checking for HKLM\...\Winlogon\Notify\qomnl
[02/07/2008, 20:04:00] -  Key not found: HKLM\...\Winlogon\Notify\qomnl, continuing.
[02/07/2008, 20:04:00] -  BHO 5: {1FDFB8C1-4079-4094-B1BD-BAB36BE11E1b} ()
[02/07/2008, 20:04:00] - WARNING: BHO has no default name. Checking for Winlogon reference.
[02/07/2008, 20:04:00] -  Checking for HKLM\...\Winlogon\Notify\aqcbpwcs
[02/07/2008, 20:04:00] -  Key not found: HKLM\...\Winlogon\Notify\aqcbpwcs, continuing.
[02/07/2008, 20:04:00] -  BHO 6: {53707962-6F74-2D53-2644-206D7942484F} (Spybot-S&D IE Protection)
[02/07/2008, 20:04:00] -  BHO 7: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[02/07/2008, 20:04:00] -  BHO 8: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()
[02/07/2008, 20:04:00] - WARNING: BHO has no default name. Checking for Winlogon reference.
[02/07/2008, 20:04:00] -  No filename found. Continuing.
[02/07/2008, 20:04:00] -  BHO 9: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Windows Live Sign-in Helper)
[02/07/2008, 20:04:00] -  BHO 10: {9CB65201-89C4-402c-BA80-02D8C59F9B1D} ()
[02/07/2008, 20:04:00] - WARNING: BHO has no default name. Checking for Winlogon reference.
[02/07/2008, 20:04:00] -  No filename found. Continuing.
[02/07/2008, 20:04:00] -  BHO 11: {a3628b7c-9e18-4df8-88fa-4444fb6798ed} ()
[02/07/2008, 20:04:00] - WARNING: BHO has no default name. Checking for Winlogon reference.
[02/07/2008, 20:04:00] -  Checking for HKLM\...\Winlogon\Notify\ooqjlmyc
[02/07/2008, 20:04:00] -  Key not found: HKLM\...\Winlogon\Notify\ooqjlmyc, continuing.
[02/07/2008, 20:04:00] -  BHO 12: {A95B2816-1D7E-4561-A202-68C0DE02353A} ()
[02/07/2008, 20:04:00] - WARNING: BHO has no default name. Checking for Winlogon reference.
[02/07/2008, 20:04:00] -  Checking for HKLM\...\Winlogon\Notify\mlqwpsrw
[02/07/2008, 20:04:00] -  Found: HKLM\...\Winlogon\Notify\mlqwpsrw - This is probably Virtumundo.
[02/07/2008, 20:04:00] -  Assigning {A95B2816-1D7E-4561-A202-68C0DE02353A} MSEvents Object
[02/07/2008, 20:04:00] - BHO list has been changed! Starting over...
[02/07/2008, 20:04:00] -  BHO 1: {00DC0058-A87E-4D19-9C26-F1AAC98AD4D7} ()
[02/07/2008, 20:04:00] - WARNING: BHO has no default name. Checking for Winlogon reference.
[02/07/2008, 20:04:00] -  No filename found. Continuing.
[02/07/2008, 20:04:00] -  BHO 2: {02478D38-C3F9-4EFB-9B51-7695ECA05670} (Yahoo! Toolbar Helper)
[02/07/2008, 20:04:00] -  BHO 3: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)
[02/07/2008, 20:04:00] -  BHO 4: {143CEC6F-CEA3-478A-BC59-F15D278E1768} ()
[02/07/2008, 20:04:00] - WARNING: BHO has no default name. Checking for Winlogon reference.
[02/07/2008, 20:04:00] -  Checking for HKLM\...\Winlogon\Notify\qomnl
[02/07/2008, 20:04:00] -  Key not found: HKLM\...\Winlogon\Notify\qomnl, continuing.
[02/07/2008, 20:04:00] -  BHO 5: {1FDFB8C1-4079-4094-B1BD-BAB36BE11E1b} ()
[02/07/2008, 20:04:00] - WARNING: BHO has no default name. Checking for Winlogon reference.
[02/07/2008, 20:04:00] -  Checking for HKLM\...\Winlogon\Notify\aqcbpwcs
[02/07/2008, 20:04:00] -  Key not found: HKLM\...\Winlogon\Notify\aqcbpwcs, continuing.
[02/07/2008, 20:04:00] -  BHO 6: {53707962-6F74-2D53-2644-206D7942484F} (Spybot-S&D IE Protection)
[02/07/2008, 20:04:00] -  BHO 7: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[02/07/2008, 20:04:00] -  BHO 8: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()
[02/07/2008, 20:04:00] - WARNING: BHO has no default name. Checking for Winlogon reference.
[02/07/2008, 20:04:00] -  No filename found. Continuing.
[02/07/2008, 20:04:00] -  BHO 9: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Windows Live Sign-in Helper)
[02/07/2008, 20:04:00] -  BHO 10: {9CB65201-89C4-402c-BA80-02D8C59F9B1D} ()
[02/07/2008, 20:04:00] - WARNING: BHO has no default name. Checking for Winlogon reference.
[02/07/2008, 20:04:00] -  No filename found. Continuing.
[02/07/2008, 20:04:00] -  BHO 11: {a3628b7c-9e18-4df8-88fa-4444fb6798ed} ()
[02/07/2008, 20:04:00] - WARNING: BHO has no default name. Checking for Winlogon reference.
[02/07/2008, 20:04:00] -  Checking for HKLM\...\Winlogon\Notify\ooqjlmyc
[02/07/2008, 20:04:00] -  Key not found: HKLM\...\Winlogon\Notify\ooqjlmyc, continuing.
[02/07/2008, 20:04:00] -  BHO 12: {A95B2816-1D7E-4561-A202-68C0DE02353A} (MSEvents Object)
[02/07/2008, 20:04:00] - ALERT: Found MSEvents Object!
[02/07/2008, 20:04:00] -  BHO 13: {FE063DB1-4EC0-403e-8DD8-394C54984B2C} ()
[02/07/2008, 20:04:00] - WARNING: BHO has no default name. Checking for Winlogon reference.
[02/07/2008, 20:04:00] -  No filename found. Continuing.
[02/07/2008, 20:04:00] - Finished Searching Browser Helper Objects
[02/07/2008, 20:04:00] - *** Detected MSEvents Object
[02/07/2008, 20:04:00] - Trying to remove MSEvents Object...
[02/07/2008, 20:04:01] -    Terminating Process: IEXPLORE.EXE
[02/07/2008, 20:04:02] -    Terminating Process: RUNDLL32.EXE
[02/07/2008, 20:04:02] -    Disabling Automatic Shell Restart
[02/07/2008, 20:04:02] -    Terminating Process: EXPLORER.EXE
[02/07/2008, 20:04:03] -    Suspending the NT Session Manager System Service
[02/07/2008, 20:04:03] -    Terminating Windows NT Logon/Logoff Manager
[02/07/2008, 20:04:03] -    Re-enabling Automatic Shell Restart
[02/07/2008, 20:04:03] -   File to disable: C:\WINDOWS\system32\mlqwpsrw.dll
[02/07/2008, 20:04:03] -  Renaming C:\WINDOWS\system32\mlqwpsrw.dll -> C:\WINDOWS\system32\mlqwpsrw.dll.vir
[02/07/2008, 20:04:04] -  File successfully renamed!
[02/07/2008, 20:04:04] -   Removing HKLM\...\Browser Helper Objects\{A95B2816-1D7E-4561-A202-68C0DE02353A}
[02/07/2008, 20:04:04] -   Removing HKCR\CLSID\{A95B2816-1D7E-4561-A202-68C0DE02353A}
[02/07/2008, 20:04:04] -   Adding Kill Bit for ActiveX for GUID: {A95B2816-1D7E-4561-A202-68C0DE02353A}
[02/07/2008, 20:04:04] -   Deleting ATLEvents/MSEvents Registry entries
[02/07/2008, 20:04:04] -   Removing HKLM\...\Winlogon\Notify\mlqwpsrw
[02/07/2008, 20:04:04] - Searching for Browser Helper Objects:
[02/07/2008, 20:04:04] -  BHO 1: {00DC0058-A87E-4D19-9C26-F1AAC98AD4D7} ()
[02/07/2008, 20:04:04] - WARNING: BHO has no default name. Checking for Winlogon reference.
[02/07/2008, 20:04:04] -  No filename found. Continuing.
[02/07/2008, 20:04:04] -  BHO 2: {02478D38-C3F9-4EFB-9B51-7695ECA05670} (Yahoo! Toolbar Helper)
[02/07/2008, 20:04:04] -  BHO 3: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)
[02/07/2008, 20:04:04] -  BHO 4: {143CEC6F-CEA3-478A-BC59-F15D278E1768} ()
[02/07/2008, 20:04:04] - WARNING: BHO has no default name. Checking for Winlogon reference.
[02/07/2008, 20:04:04] -  Checking for HKLM\...\Winlogon\Notify\qomnl
[02/07/2008, 20:04:04] -  Key not found: HKLM\...\Winlogon\Notify\qomnl, continuing.
[02/07/2008, 20:04:04] -  BHO 5: {1FDFB8C1-4079-4094-B1BD-BAB36BE11E1b} ()
[02/07/2008, 20:04:04] - WARNING: BHO has no default name. Checking for Winlogon reference.
[02/07/2008, 20:04:04] -  Checking for HKLM\...\Winlogon\Notify\aqcbpwcs
[02/07/2008, 20:04:04] -  Key not found: HKLM\...\Winlogon\Notify\aqcbpwcs, continuing.
[02/07/2008, 20:04:04] -  BHO 6: {53707962-6F74-2D53-2644-206D7942484F} (Spybot-S&D IE Protection)
[02/07/2008, 20:04:04] -  BHO 7: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[02/07/2008, 20:04:04] -  BHO 8: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()
[02/07/2008, 20:04:04] - WARNING: BHO has no default name. Checking for Winlogon reference.
[02/07/2008, 20:04:04] -  No filename found. Continuing.
[02/07/2008, 20:04:04] -  BHO 9: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Windows Live Sign-in Helper)
[02/07/2008, 20:04:04] -  BHO 10: {9CB65201-89C4-402c-BA80-02D8C59F9B1D} ()
[02/07/2008, 20:04:04] - WARNING: BHO has no default name. Checking for Winlogon reference.
[02/07/2008, 20:04:04] -  No filename found. Continuing.
[02/07/2008, 20:04:04] -  BHO 11: {a3628b7c-9e18-4df8-88fa-4444fb6798ed} ()
[02/07/2008, 20:04:04] - WARNING: BHO has no default name. Checking for Winlogon reference.
[02/07/2008, 20:04:04] -  Checking for HKLM\...\Winlogon\Notify\ooqjlmyc
[02/07/2008, 20:04:04] -  Key not found: HKLM\...\Winlogon\Notify\ooqjlmyc, continuing.
[02/07/2008, 20:04:04] -  BHO 12: {FE063DB1-4EC0-403e-8DD8-394C54984B2C} ()
[02/07/2008, 20:04:04] - WARNING: BHO has no default name. Checking for Winlogon reference.
[02/07/2008, 20:04:04] -  No filename found. Continuing.
[02/07/2008, 20:04:04] - Finished Searching Browser Helper Objects
[02/07/2008, 20:04:04] - Finishing up...
[02/07/2008, 20:04:04] - A restart is needed.
[02/07/2008, 20:04:18] - Attempting to Restart via STOP error (Blue Screen!)

Jigsaw · Answer

SVP Que dois-je faire pour me débarasser de cette M**** !!!!!!

Jigsaw · Answer

Et toujours personne pour m'aider !!!!

Jigsaw · Answer

Génies de l'informatique venez à mon aide SVP !!!!! Merci

jorginho67 · Answer

Salut !
Laisse nous le temps d'analyser tout ça....
Premiere chose, ton Anti virus est encore là ? Regarde s'il est activé .

Relance HijackThis, choisis "do a scan only" 
coche la case devant les lignes ci-dessous et clic en bas sur "fix checked".
F3 - REG:win.ini: load=C:\WINDOWS\system32\qomnl.exe
O2 - BHO: (no name) - {00DC0058-A87E-4D19-9C26-F1AAC98AD4D7} - (no file)
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: (no name) - {143CEC6F-CEA3-478A-BC59-F15D278E1768} - C:\WINDOWS\system32\qomnl.dll (file missing)
O2 - BHO: (no name) - {1FDFB8C1-4079-4094-B1BD-BAB36BE11E1b} - C:\WINDOWS\system32\aqcbpwcs.dll (file missing) 
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) 
O2 - BHO: {de8976bf-4444-af88-8fd4-81e9c7b8263a} - {a3628b7c-9e18-4df8-88fa-4444fb6798ed} - C:\WINDOWS\system32\ooqjlmyc.dll (file missing) 
O2 - BHO: (no name) - {A95B2816-1D7E-4561-A202-68C0DE02353A} - C:\WINDOWS\system32\mlqwpsrw.dll 
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: (no name) - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - (no file) 
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask .exe" -atboottime 
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing) 

Comment fixer les lignes <---- voir  ici
Générer un rapport  <----- voir ici

refais tourner Vundofix encore une fois aprés avoir fixé les lignes plus haut !

----------------------------------------------------------------------------------------------
tu as là une belle collection, je regarde la prochaine manip' et  je demande un coup de main, il faut etre patient...

@ +

Jigsaw · Answer

Alléluia, manque de patience de ma part je reconnais, mais je desespère totalement !!!!!! Merci INFINIMENT pour cette réponse

Jigsaw · Answer

Concernant l'antivirus j'ai jeté ... J'avais Kapersky mais je le réinstalle après (se peut-il qu'un antivirus soit contaminé? C'est l'idée que je m'étais ancré en tête) ???!!!! Bon je "Fix checked les lignes que tu m'as désigné .... Merci pour ton aide !!!!

jorginho67 · Answer

je ne promet rien, j'ai lancé un appel dans mon entourage car il faudra des bons pour nous aider !
Ce n'est pas la peine de paniquer... 

Verifie que ton ANTIVIRUS soit activé ( j'ai peur que non ), fais la manip' proposée, je prépare la suite...


Rend toi sur ce site :
http://www.virustotal.com/xhtml/virustotal_en.html
Clik sur parcourir et recherche ces fichiers :

C:\WINDOWS\system32\qomnl.exe 
C:\WINDOWS\system32\roblibcr.dll",b 
C:\WINDOWS\SYSTEM32\mlqwpsrw.dll 

Clik send et colle le rapport stp ! 

@ suivre......

Jigsaw · Answer

Ok donc voici le nouveau rapport Vundofix :

C:\WINDOWS\system32\mlqwpsrw.dll
C:\windows\system32\mlqwpsrw.dllbox

Beginning removal...

 Attempting to delete C:\windows\system32\mlqwpsrw.dllbox
C:\windows\system32\mlqwpsrw.dllbox Has been deleted!

Performing Repairs to the registry.
Done

jorginho67 · Answer

OK, une bonne chose de faite ! Fais ce qui suit !
Fais un clic droit sur hijackthis,
choisis "renommer" marque (tu écris) : ccm.exe

Pourquoi renommer Hijackthis ?
Parce que certaines infections Vundo ont la particularité de se "cacher" à la
détection de HJT proprement dite ou à son analyse .
la modification du nom de l'exe pallie ce problème...

Poste moi un nouveau log après avoir renommé HJT's !
Choisis l'option "Do a system scan and save a log file"
Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note
Clique sur "Edition" ->> "Sélectionner tout", puis sur "Edition" -> Copier" pour copier tout le contenu du rapport 

Dès que tu auras installer l'antivirus, poste moi un nouveau rapport HJThis stp...

@ suivre....

Jigsaw · Answer

Ok je fais tout cela !!!! MERCI INFINIMENT C'est trop cool de ta part !!!!

Jigsaw · Answer

Voici le nouveau rapport Hijackthis après l'avoir renommé, dois lancé l'antivirus que tu m'as demandé de télécharger maintenant ???


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:33:47, on 07/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {143CEC6F-CEA3-478A-BC59-F15D278E1768} - C:\WINDOWS\system32\qomnl.dll (file missing)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Ask Search Assistant BHO - {9CB65201-89C4-402c-BA80-02D8C59F9B1D} - (no file)
O2 - BHO: Ask Toolbar BHO - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - (no file)
O4 - HKLM\..\Run: [Salestart] "C:\Program Files\Fichiers communs\StorageProtector\strpmon.exe" dm=http://storageprotector.com ad=http://storageprotector.com sd=http://inspaid.storageprotector.com
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [d4fbde05] rundll32.exe "C:\WINDOWS\system32\roblibcr.dll",b
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [Salestart(1)] "C:\Program Files\Fichiers communs\StorageProtector\strpmon .exe" dm=http://storageprotector.com ad=http://storageprotector.com sd=http://inspaid.storageprotector.com
O4 - HKLM\..\RunOnce: [CleanUp] CleanUp.exe
O4 - HKLM\..\RunOnce: [SpkrCnfg] DSndUp.exe
O4 - HKLM\..\RunOnce: [InstallShieldSetup] C:\PROGRA~1\INSTAL~1\{F0A37~1\Setup.exe -rebootC:\PROGRA~1\INSTAL~1\{F0A37~1\reboot.ini 
O4 - HKLM\..\RunOnce: [Spybot - Search & Destroy] "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKLM\..\RunOnce: [wextract_cleanup0] rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\DOCUME~1\DEPOOR~1\LOCALS~1\Temp\IXP000.TMP\"
O4 - HKLM\..\RunOnce: [VundoFix] "C:\Documents and Settings\de poortere\Bureau\vundofix.exe"
O4 - HKLM\..\RunOnce: [wextract_cleanup1] rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\DOCUME~1\DEPOOR~1\LOCALS~1\Temp\IXP001.TMP\"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [speakersettings] regedit /s c:\pnp\audio\speaker_setting.reg
O4 - Startup: Outil de détection de support de Cyber-shot Viewer.lnk = C:\Program Files\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
O4 - Global Startup: NETGEAR WG111v2 Smart Wizard.lnk = C:\Program Files\NETGEAR\WG111v2\WG111v2.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {54823A9D-6BAE-11D5-B519-0050BA2413EB} (ChkDVDCtl Class) - http://www.gocyberlink.com/winxp/CheckDVD.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - https://www.touslesdrivers.com/index.php?v_page=29
O16 - DPF: {E862C832-3A5F-4CEB-BFAA-167B22010A71} (InfosFinder2.InfosFinder) - http://support.packardbell.com/files/activex/InfosFinder2.CAB
O20 - AppInit_DLLs:  sockspy.dll sockspy.dll sockspy.dll sockspy.dll,C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: gebxxus - gebxxus.dll (file missing)
O20 - Winlogon Notify: winblg32 - winblg32.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Active File Monitor V4 (AdobeActiveFileMonitor4.0) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe (file missing)
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe (file missing)
O23 - Service: avp  - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp .exe (file missing)
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: DomainService - Unknown owner - C:\WINDOWS\system32\qugugrbo.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Unknown owner - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

Jigsaw · Answer

Par contre Virus Total a terminé d'analyser le fichier mais comment le poster ici j'ai "formater" ou "imprimer le résultat" ???

jorginho67 · Answer

sers toi de ce tuto !  http://pageperso.aol.fr/loraline60/virus_total.htm

tu enregistre le rapport et tu copie/colle ici ...

Jigsaw · Answer

Fichier mlqwpsrw.dll.vir reçu le 2008.02.07 22:27:12 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE 


Résultat: 27/32 (84.38%)

Bizarre pour la situation actuelle : car sur la page du site elle est "terminée" en réalité !!!!

jorginho67 · Answer

tu avais un rapport genre celui ci ?


Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.2.5.10 2008.02.04 -
AntiVir 7.6.0.62 2008.02.04 TR/Agent.131072.I
Authentium 4.93.8 2008.02.04 -
Avast 4.7.1098.0 2008.02.04 -
AVG 7.5.0.516 2008.02.04 SHeur.ANJL
BitDefender 7.2 2008.02.05 Backdoor.Oderoor.F
CAT-QuickHeal 9.00 2008.02.04 -
ClamAV 0.92 2008.02.05 Trojan.Pakes-1085
DrWeb 4.44.0.09170 2008.02.04 Trojan.Spambot.2696
eSafe 7.0.15.0 2008.01.28 Suspicious File
eTrust-Vet 31.3.5511 2008.02.04 -
Ewido 4.0 2008.02.04 -
FileAdvisor 1 2008.02.05 -
Fortinet 3.14.0.0 2008.02.04 W32/Pakes.BZQ!tr
F-Prot 4.4.2.54 2008.02.04 -
F-Secure 6.70.13260.0 2008.02.04 Oderoor.gen2
Ikarus T3.1.1.20 2008.02.05 Virus.Trojan.Win32.Pakes.bzq
Kaspersky 7.0.0.125 2008.02.05 Trojan.Win32.Pakes.bzq
McAfee 5222 2008.02.04 Generic.dx
Microsoft 1.3204 2008.02.04 Backdoor:Win32/Oderoor.gen!B
NOD32v2 2848 2008.02.04 Win32/Agent.NHE
Norman 5.80.02 2008.02.04 Oderoor.gen2
Panda 9.0.0.4 2008.02.04 Bck/IRCBot.BQZ
Prevx1 V2 2008.02.05 Covert.Sys.Exec
Rising 20.29.22.00 2008.01.30 Trojan.Win32.Undef.car
Sophos 4.26.0 2008.02.04 Troj/Bckdr-QLC
Sunbelt 2.2.907.0 2008.02.05 Backdoor.Oderoor.F
Symantec 10 2008.02.05 Downloader
TheHacker 6.2.9.209 2008.02.05 Trojan/Pakes.bzq
VBA32 3.12.6.0 2008.02.02 Trojan.Win32.Pakes.bzq
VirusBuster 4.3.26:9 2008.02.04 -
Webwasher-Gateway 6.6.2 2008.02.05 Trojan.Agent.131072.I
Information additionnelle
File size: 131072 bytes
MD5: d2b0a6a4dedf015e26dfe934502d49ad
SHA1: f89c41a71179da054d3bd616ba0577f068352d9e

Jigsaw · Answer

Oui en effet 1000 excuses!!! Le voici

Fichier mlqwpsrw.dll.vir reçu le 2008.02.07 22:27:12 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE 


Résultat: 27/32 (84.38%)
en train de charger les informations du serveur... 
Votre fichier est dans la file d'attente, en position: 14.
L'heure estimée de démarrage est entre 79 et 113 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse. 
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier. 
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération. 
 Formaté Impression des résultats  
Votre fichier a expiré ou n'existe pas. 
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée. 
 Email:  
  

Antivirus Version Dernière mise à jour Résultat 
AhnLab-V3 2008.2.6.10 2008.02.05 Win-Trojan/Vundo.163904 
AntiVir 7.6.0.62 2008.02.07 TR/Vundo.DWB 
Authentium 4.93.8 2008.02.06 - 
Avast 4.7.1098.0 2008.02.07 Win32:TratBHO 
AVG 7.5.0.516 2008.02.07 Generic9.AQNO 
BitDefender 7.2 2008.02.07 Trojan.Vundo.DWB 
CAT-QuickHeal 9.00 2008.02.04 AdWare.Virtumonde.dnn (Not a Virus) 
ClamAV 0.92 2008.02.07 Adware.Virtumonde-587 
DrWeb 4.44.0.09170 2008.02.07 Trojan.Virtumod.260 
eSafe 7.0.15.0 2008.01.28 Suspicious File 
eTrust-Vet 31.3.5518 2008.02.07 Win32/Darksma.HQ 
Ewido 4.0 2008.02.07 - 
FileAdvisor 1 2008.02.07 - 
Fortinet 3.14.0.0 2008.02.07 W32/Vundo.DWB!tr 
F-Prot 4.4.2.54 2008.02.07 W32/Virtumonde.PM 
F-Secure 6.70.13260.0 2008.02.07 - 
Ikarus T3.1.1.20 2008.02.07 Trojan.Vundo.DWB 
Kaspersky 7.0.0.125 2008.02.07 not-a-virus:AdWare.Win32.Virtumonde.gen 
McAfee 5225 2008.02.07 Vundo 
Microsoft 1.3204 2008.02.07 Trojan:Win32/Vundo.X 
NOD32v2 2856 2008.02.07 Win32/Adware.SecToolbar 
Norman 5.80.02 2008.02.07 W32/Virtumonde.JTK 
Panda 9.0.0.4 2008.02.07 Spyware/Virtumonde 
Prevx1 V2 2008.02.07 Trojan.Vundo 
Rising 20.29.22.00 2008.01.30 AdWare.Win32.Agent.zpb 
Sophos 4.26.0 2008.02.07 Troj/Virtum-Gen 
Sunbelt 2.2.907.0 2008.02.07 - 
Symantec 10 2008.02.07 Trojan.Metajuan 
TheHacker 6.2.9.212 2008.02.07 Adware/Virtumonde.dnn 
VBA32 3.12.6.0 2008.02.07 AdWare.Win32.Virtumonde.dnn 
VirusBuster 4.3.26:9 2008.02.07 Adware.Vundo.V.Gen 
Webwasher-Gateway 6.6.2 2008.02.07 Trojan.Vundo.DWB 
Information additionnelle 
File size: 163904 bytes 
MD5: 91c0a205c705b2baaaf8cb9a9e3d56af 
SHA1: debb29a8ff4f17258885b97ccbe275d4dbc6716d 
PEiD: - 
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=A02C781740AB65D1802B02761BEDD3009E1FF12A

jorginho67 · Answer

Fais la même chose pour ceux ci stp !
C:\WINDOWS\system32\qomnl.exe
C:\WINDOWS\system32\roblibcr.dll",b 

Pour l'antivirus, télécharge le, vire norton avec le lien donné plus haut, installe avira antivir, et reviens ici, je te donne une autre procedure...

Jigsaw · Answer

Par ailleurs est-ce ce même virus (Vundo) qui en s'infiltrant m'empêche d'executer Windows Media Player ??? Je dois utiliser RealPlayer seulement je n'ai plus aucun son ni pour la musique ni pour mes vidéos !!!! J'espère que tout redeviendra normal et que je ne devrait plus allumer mon PC en "Mode sans échec" et que Windows XP refonctionnera normalement !!! En tout cas encore merci de t'attarder sur mon problème c'est trop sympa !!!!

jorginho67 · Answer

Je dois utiliser RealPlayer seulement je n'ai plus aucun son ni pour la musique ni pour mes vidéos !!!!    

Pour l'instant, on ne regarde pas la télé ;o))  !

On s'occupe de ton pc qui est assez mal en point !

Pour info Real Player

Jigsaw · Answer

Désolé mais ils restent introuvables !!!!! J'ai tenté au moyen de "Rechercher" aussi mais RIEN pour ces 2 fichiers !!!??? 

http://info.prevx.com/ : C'est de ce lien là que tu parles pour virer Norton ????

Jigsaw · Answer

Je viens de lancé l'installation d'Avira Antivir. c'est normal que c'est Spybot qui est entrain d'analyser mon PC, dans tout les cas je poste le rapport dès que je l'ai ! ;-)))) Oui je sais mais je ne regarde pas la télé t'inquiète, je n'ai qu'une chose en tête réparer mon PC !!!

jorginho67 · Answer

'est normal que c'est Spybot qui est entrain d'analyser mon PC,  si tu as lancé une analyse.... oui ;-)
je n'ai qu'une chose en tête réparer mon PC  voilà, on va essayer...

@ +

Jigsaw · Answer

Avira Antivir. est lancé il est entrain de scanner le "Local Drives" ca va être très très long !!!! Sachant qu'il m'analyse des fichiers *.tmp et j'en ai des milliers qui sont apparus dans "Mes Documents" lorsque ce virus s'est infiltré !!!! Donc voilà ... Patience quoi ... ;-)

jorginho67 · Answer

Prends ton temps, de toute façon, ça m'ettonerais qu'on finisse ce soir...

courage    ;-D

Jigsaw · Answer

C'est clair c'est pour quoi je te laisse tranquille et je posterai le rapport qu'Avira Antivr. me fera dès que possible mais certainement pas ce soir ! En tout cas merci

Utilisateur anonyme · Answer

Coucou,
Suite à l'anonce  jorginho67, je viens et suivre et peut ^tre contribuer....

Peux tu reposter un rapport HiJackT stp  Jigsaw, d'autant plus qu'on a changé de page...

Merci,

A+

jorginho67 · Answer

Salut DIID, et merci de passer ;-)

jigsaw,
Pour virer Norton <<  VA ICI !

Hungary · Answer

désolé du squatage mais une chose me pose probleme pourquoi cette espace sur la deuxieme en gras que j'ai noté je vois pas ce que c'est?? je ne trouve pas non plus d'ailleurs

O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe (file missing)
O23 - Service: avp - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp .exe (file missing)

Utilisateur anonyme · Answer

Coucou,

> Peux tu reposter un rapport HiJackT et en mode normal stp... 

> Bon il te faut un parefeu :
je te conseille : ZA mais Kerio est très bien si tu veux.
- Télécharge Zone Alarme ici, en cas de problème
- Installe le nouveau pare-feu, puis désactive le pare-feu windows.

A+

Jigsaw · Answer

Avira va terminer de scanner le "Local Drives" il m'a trouvé 6 Virus et 1 dans les "Warnings" donc j'ai tout mis en quarantaine. Après cela je referai un nouveau rapport avec Hijack this ... Là je supprime tout ce qui est Norton en même temps.

Utilisateur anonyme · Answer

Ok,
Poste un HiJack stp, on passe à la suite...
on reviendra dessus plus tard...

;)

Jigsaw · Answer

Bon alors voilà le rapport d'Avira Antivir. concernant le "Local Drives" : 

-J'ai téléchargé les MAJ pour Internet explorer (il me demande de redémarrer le PC)
-J'ai aussi supprimé tout ce qui est Norton (il me demande aussi de redémarrer le PC).

Donc là je rééteinds, j'espère que Windows démarrera normalement sans le "Mode sans échec" ... Je reviens : 



AntiVir PersonalEdition Classic
Report file date: jeudi 7 février 2008  23:40

Scanning for 835736 virus strains and unwanted programs.

Licensed to:      Avira AntiVir PersonalEdition Classic
Serial number:    0000149996-ADJIE-0001
Platform:         Windows XP
Windows version:  (Service Pack 2)  [5.1.2600]
Username:         de poortere
Computer name:    GARBO

Version information:
BUILD.DAT    : 270           15603 Bytes  19/09/2007 13:32:00
AVSCAN.EXE   : 7.0.6.1      290856 Bytes  23/08/2007 13:16:29
AVSCAN.DLL   : 7.0.6.0       49192 Bytes  16/08/2007 12:23:51
LUKE.DLL     : 7.0.5.3      147496 Bytes  14/08/2007 15:32:47
LUKERES.DLL  : 7.0.6.1       10280 Bytes  21/08/2007 12:35:20
ANTIVIR0.VDF : 6.40.0.0    11030528 Bytes  18/07/2007 14:27:15
ANTIVIR1.VDF : 7.0.0.0     1640448 Bytes  13/09/2007 14:26:55
ANTIVIR2.VDF : 7.0.0.1        2048 Bytes  13/09/2007 14:27:04
ANTIVIR3.VDF : 7.0.0.2        2048 Bytes  13/09/2007 14:27:13
AVEWIN32.DLL : 7.6.0.15    2806272 Bytes  17/09/2007 17:43:56
AVWINLL.DLL  : 1.0.0.7       14376 Bytes  26/02/2007 10:36:26
AVPREF.DLL   : 7.0.2.2       25640 Bytes  18/07/2007 07:39:17
AVREP.DLL    : 7.0.0.1      155688 Bytes  16/04/2007 13:16:24
AVPACK32.DLL : 7.3.0.15     360488 Bytes  03/08/2007 08:46:00
AVREG.DLL    : 7.0.1.6       30760 Bytes  18/07/2007 07:17:06
AVARKT.DLL   : 1.0.0.20     278568 Bytes  28/08/2007 12:26:33
AVEVTLOG.DLL : 7.0.0.20      86056 Bytes  18/07/2007 07:10:18
NETNT.DLL    : 7.0.0.0        7720 Bytes  08/03/2007 11:09:42
RCIMAGE.DLL  : 7.0.1.30    2342952 Bytes  07/08/2007 12:38:13
RCTEXT.DLL   : 7.0.62.0      86056 Bytes  21/08/2007 12:50:37
SQLITE3.DLL  : 3.3.17.1     339968 Bytes  23/07/2007 09:37:21

Configuration settings for the scan:
Jobname..........................: Local Drives
Configuration file...............: c:\program files\avira\antivir personaledition classic\alldrives.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: off
Scan boot sector.................: on
Boot sectors.....................: D:, 
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium

Start of the scan: jeudi 7 février 2008  23:40

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'IEXPLORE.EXE' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
15 processes with 15 modules were scanned

Start scanning boot sectors:
Boot sector 'C:\'
      [NOTE]      No virus was found!

Starting to scan the registry.
The registry was scanned ( '32' files ).


Starting the file scan:

Begin scan in 'C:\'
C:\pagefile.sys
      [WARNING]   The file could not be opened!
C:\Documents and Settings\de poortere\Local Settings\Temp\TMP14A9.tmp
      [DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
      [INFO]      The file was moved to '47fb8fa9.qua'!
C:\Documents and Settings\de poortere\Local Settings\Temp\TMP16.tmp
      [DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
      [INFO]      The file was moved to '4685feca.qua'!
C:\Documents and Settings\de poortere\Local Settings\Temp\TMP600.tmp
      [DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
      [INFO]      The file was moved to '47fb8faa.qua'!
C:\Documents and Settings\de poortere\Local Settings\Temp\TMP7ED.tmp
      [DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
      [INFO]      The file was moved to '47fb8fab.qua'!
C:\Documents and Settings\de poortere\Local Settings\Temp\TMPBF3.tmp
      [DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
      [INFO]      The file was moved to '4685fecc.qua'!
C:\Documents and Settings\de poortere\Local Settings\Temp\TMPDE6.tmp
      [DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
      [INFO]      The file was moved to '47fb8fac.qua'!
C:\VundoFix Backups\aqcbpwcs.dll.bad
      [DETECTION] Is the Trojan horse TR/Dldr.ConHook.Gen
      [INFO]      The file was moved to '480e9c42.qua'!
Begin scan in 'D:\'
Search path D:\ could not be opened!
Le périphérique n'est pas prêt.



End of the scan: vendredi 8 février 2008  01:24
Used time:  1:44:47 min

The scan has been done completely.

   5165 Scanning directories
 203500 Files were scanned
      7 viruses and/or unwanted programs were found
      0 Files were classified as suspicious:
      0 files were deleted
      0 files were repaired
      7 files were moved to quarantine
      0 files were renamed
      1 Files cannot be scanned
 203493 Files not concerned
   1375 Archives were scanned
      1 Warnings
      0 Notes

jorginho67 · Answer

C'est bon, ceux là son enfermés !

reposte un Hijackthis dès que tu peux .

@+

Utilisateur anonyme · Answer

C'est inquiétant..depuis le temps qu'il est parti...
.....à croire qu'il s'est perdu.....

jorginho67 · Answer

il a du aller se coucher....  normal, vu l'heure...

@+

Hungary · Answer

re,
merci DLLD il me semblait bien que c'etait mauvais signe.
 Pourquoi lui proposer ZA alors que apres le poste de jal on se rend compte que ZA est aussi efficace que le pare feu windows

jorginho67 · Answer

Salut !
 Pourquoi lui proposer ZA alors que apres le poste de jal on se rend compte que ZA est aussi efficace que le pare feu windows

La plupart des internautes ont toujours des dificultées avec Kério, ou comodo ( en Anglais et plus durs à parametrer ).
Autant les familiariser avec Z A ( en Français et plus simple d'utilisation ), et ensuite, s'ils le veulent, leurs proposer d'autres Firewalls !

@+

Utilisateur anonyme · Answer

Alors ce genre d'intervention cagoulée...:)

merci DLLD il me semblait bien que c'etait mauvais signe.,
faut pas non plus exagérer....

 Pourquoi lui proposer ZA alors que apres le poste de jal on se rend compte que ZA est aussi efficace que le pare feu windows,
c'est vrai mais mais c'est aussi faux...ZA controle ausi les info sortantes ce que ne fait pas windows..:
Voici un classement de PF (en bas de page clique sur view result) : http://ww11.firewallleaktester.com/tests.php
ZA est très simple d'utilisation et n'empèche pas de pas de passer à Kerio ensuite...mais c'est clair, que c'est pas le meilleur donc,

Jigsaw installe plutot Kério stp, plus efficace que ZA !
Si tu as des problèmes passe à ZA..

Par contre  Hungary,
si tu ppouvais éviter ce genre d'intervention bête, méchante.......enfin bon :
merci DLLD il me semblait bien que c'etait mauvais signe., 
Ce serait mieux....
Là ça pollue le topik de Jigsaw,

Merci.

Hungary · Answer

je faisais pas une intervention bete et mechante de plus je me suis excusé du passage furtif sur ce topic. juste pour faire une remarque vue que personne ne l'avait encore faite point!!!
et pour finir il peut mettre ZA mais la version gratuite est moins bien que la payante

a+

Jigsaw · Answer

La page de Google ne s'ouvre plus quand je souhaite aller sur le net ! Je dois faire "Démarrer" / "Rechercher"/ "Rechercher sur Internet" et voilà mais c'est pas normal, je reste toujours en "mode sans échec" et Windows ne démarre toujours pas normalement voici le nouveau rapport de Hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:19:30, on 08/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe
C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.01net.com/telecharger/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.01net.com/telecharger/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {143CEC6F-CEA3-478A-BC59-F15D278E1768} - C:\WINDOWS\system32\qomnl.dll (file missing)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Ask Search Assistant BHO - {9CB65201-89C4-402c-BA80-02D8C59F9B1D} - (no file)
O2 - BHO: Ask Toolbar BHO - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - (no file)
O4 - HKLM\..\Run: [Salestart] "C:\Program Files\Fichiers communs\StorageProtector\strpmon.exe" dm=http://storageprotector.com ad=http://storageprotector.com sd=http://inspaid.storageprotector.com
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [d4fbde05] rundll32.exe "C:\WINDOWS\system32\roblibcr.dll",b
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [Salestart(1)] "C:\Program Files\Fichiers communs\StorageProtector\strpmon .exe" dm=http://storageprotector.com ad=http://storageprotector.com sd=http://inspaid.storageprotector.com
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\RunOnce: [BrandClearStubs] RUNDLL32 IEDKCS32.DLL,BrandCleanInstallStubs >{ED3DF1A7-E9AD-41C7-A62A-1CDA6E33F517}
O4 - HKLM\..\RunOnce: [NoIE4StubProcessing] C:\WINDOWS\system32\reg.exe DELETE "HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components" /v "NoIE4StubProcessing" /f
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [speakersettings] regedit /s c:\pnp\audio\speaker_setting.reg
O4 - HKCU\..\RunOnce: [] C:\Program Files\Internet Explorer\iexplore.exe https://support.norton.com/sp/fr/fr/home/current/solutions/kb20090121104844EN?abproduct=SymNRT&abversion=2008.0.1.14&build=Symantec&ced=true&entsrc=CED_pubweb&error=0&module=2007&src=_mi
O4 - Startup: Outil de détection de support de Cyber-shot Viewer.lnk = C:\Program Files\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
O4 - Global Startup: NETGEAR WG111v2 Smart Wizard.lnk = C:\Program Files\NETGEAR\WG111v2\WG111v2.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {54823A9D-6BAE-11D5-B519-0050BA2413EB} (ChkDVDCtl Class) - http://www.gocyberlink.com/winxp/CheckDVD.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - https://www.touslesdrivers.com/index.php?v_page=29
O16 - DPF: {E862C832-3A5F-4CEB-BFAA-167B22010A71} (InfosFinder2.InfosFinder) - http://support.packardbell.com/files/activex/InfosFinder2.CAB
O20 - AppInit_DLLs:  sockspy.dll sockspy.dll sockspy.dll sockspy.dll,C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: gebxxus - gebxxus.dll (file missing)
O20 - Winlogon Notify: winblg32 - winblg32.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Active File Monitor V4 (AdobeActiveFileMonitor4.0) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe (file missing)
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe (file missing)
O23 - Service: avp  - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp .exe (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: DomainService - Unknown owner - C:\WINDOWS\system32\qugugrbo.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Unknown owner - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

jorginho67 · Answer

on y remet une couche !
Peux tu me faire analyser ceci STP ? 

Rend toi sur ce site :
http://www.virustotal.com/xhtml/virustotal_en.html
Clik sur parcourir
Recherche ceci : .
C:\WINDOWS\system32\roblibcr.dll",b 

Clik send et colle le rapport stp
-------------------------------------------------------------------------------------------------------

Télécharge SmitfraudFix
Utilitaire de S!Ri: Moe et balltrap34
    
Installe le à la racine de C : tuto d'utilisation
Double clique sur l'exe pour le décompresser et lancer le fix.
Utilisation  option 1  Recherche :
Double clique sur smitfraudfix.cmd
Sélectionne 1 pour créer un rapport des fichiers responsables de l'infection.
Ne fais rien d'autre sans notre avis
Copie/colle le sur ta prochaine réponse sur ce post stp.
Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. 

je dois m'absenter....
to be continued.......

Jigsaw · Answer

Mais pour le moment je ne sais plus me connecter à Internet !!!??? Est-ce depuis que j'ai fais la MAJ ???? La je surfe depuis un autre PC !!!

Jigsaw · Answer

Voici le rapport de Smitfraudfix :

SmitFraudFix v2.284

Rapport fait à 16:35:13,01, 09/02/2008
Executé à partir de E:\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

Fichier hosts corrompu !

127.0.0.1	www.legal-at-spybot.info
127.0.0.1	legal-at-spybot.info

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\de poortere


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\de poortere\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\DEPOOR~1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
 

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=" sockspy.dll sockspy.dll sockspy.dll sockspy.dll,C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: NETGEAR WG111v2 54Mbps Wireless USB 2.0 Adapter #6 - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1
DNS Server Search Order: 0.0.0.0

Description: NETGEAR WG111v2 54Mbps Wireless USB 2.0 Adapter #6 - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{BC7A8D1E-F143-4623-A430-57AD04BD0161}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{C685C94B-8FAC-4F83-9F58-C8E03A80EF07}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS1\Services\Tcpip\..\{C685C94B-8FAC-4F83-9F58-C8E03A80EF07}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS2\Services\Tcpip\..\{BC7A8D1E-F143-4623-A430-57AD04BD0161}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{C685C94B-8FAC-4F83-9F58-C8E03A80EF07}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS3\Services\Tcpip\..\{BC7A8D1E-F143-4623-A430-57AD04BD0161}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{C685C94B-8FAC-4F83-9F58-C8E03A80EF07}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

Utilisateur anonyme · Answer

Salut, bon...:) J'ai "tout" mis d'un coup puisque tu n'as pas de connexion...:) Ok, très bien alors on continue... Depuis cet autre PC télécharge et mets sur une clé USB (ou autres...) les programmes suivants : http://www.commentcamarche.net/telecharger/telecharger 218 avg anti spyware https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html http://downloads.andymanchesta.com/RemovalTools/SDFix.exe http://www.malekal.com/download/clean.zip http://downloads.subratam.org/Fixwareout.exe http://downloads.subratam.org/Fixwareout.exe http://telechargement.zebulon.fr/zeb-restore.html http://www.commentcamarche.net/telecharger/telecharger 34055015 avg anti rootkit http://sosvirus.changelog.fr/MSNFix.zip http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe http://siri.urz.free.fr/Fix/SmitfraudFix.php http://www.atribune.org/ccount/click.php?id=4 http://www.pc-xpress.ca/download/ComboFix.exe http://fr.brothersoft.com/WinSockFix-110502.html => Voila une bonne brochette de logiciels qui nous permettra d'avancer directement sur ton PC..... Copie tous ces fix dans un nouveau dossier sur ton bureau (nomme le infection,, par exemple..;)) .... > Une fois que tu seras sur ton PC : Pour récupérer ta connexion web : -Démarre LSPfix : http://www.cexx.org/lspfix.htm -Coche "I know what I'm doing" -Clique sur "Finish". -Redémarre ton pc Si cela ne marche pas : > Télécharge et installe WinSockFix pour tenter de récupérer ta connexion. Lance le programme et laisse toi guider... http://fr.brothersoft.com/WinSockFix-110502.html Voila, :) Si ça ne marche pas on utilisera les logiciels télécharger sans avoir le web..... D'ailleurs voici la suite...si des étapes ne sont pas possibles...passe à la suite et dis le nous stp....;) allons-y...premier nettoyage (le seau d'eau...:))) > Lance Hijackthis : > Puis sélectionne < do a system scan only > - Coche les cases des lignes suivantes : R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - (no file) O2 - BHO: (no name) - {143CEC6F-CEA3-478A-BC59-F15D278E1768} - C:\WINDOWS\system32\qomnl.dll (file missing) O2 - BHO: Ask Search Assistant BHO - {9CB65201-89C4-402c-BA80-02D8C59F9B1D} - (no file) O2 - BHO: Ask Toolbar BHO - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - (no file) O4 - HKLM\..\Run: [d4fbde05] rundll32.exe "C:\WINDOWS\system32\roblibcr.dll",b O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll (file missing) O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll (file missing) O16 - DPF: {E862C832-3A5F-4CEB-BFAA-167B22010A71} (InfosFinder2.InfosFinder) - http://support.packardbell.com/files/activex/InfosFinder2.CAB O20 - Winlogon Notify: gebxxus - gebxxus.dll (file missing) O20 - Winlogon Notify: winblg32 - winblg32.dll (file missing) O23 - Service: Adobe Active File Monitor V4 (AdobeActiveFileMonitor4.0) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe (file missing) O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing) O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe (file missing) O23 - Service: avp - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp .exe (file missing) O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe (file missing) O23 - Service: DomainService - Unknown owner - C:\WINDOWS\system32\qugugrbo.exe (file missing) O23 - Service: NMIndexingService - Unknown owner - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe (file missing) Ensuite, - Ferme toutes les autres fenêtres et applications (même internet) - Clic sur "fixe checked" > Télécharge OTMoveIT (de Old_Timer) : http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe sur ton bureau... - Double-clique sur OTMoveIt.exe pour le lancer. - Assure toi que la case "Unregister Dll's and Ocx's" est bien cochée !!! - Copie le texte qui se trouve ci-dessous et colle-le dans le cadre de gauche de OTMoveIt nommé . C:\WINDOWS\system32\qomnl.dll C:\WINDOWS\system32\roblibcr.dll - Clique sur < MoveIt! > pour lancer la suppression. - Lorsqu'un résultat apparaît dans le cadre Results clique sur Exit N.B :Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. Accepte en cliquant sur YES. Un rapport est créé dans %SYSTEMDRIVE%\_OTMoveIt\MovedFiles\date du jour, copie-colle-le dans ta réponse suivante stp. > Les logiciels suivants (AVG et Ccleaner te seront utiles par la suite)... > Télécharge et installe sur ton PC AVG anti-spyware (si tu as déjà les programmes alors fais juste les mises à jour) : http://www.commentcamarche.net/telecharger/telecharger 218 avg anti spyware, fais les mises à jour puis ferme le programme. > Télécharge et installe Ccleaner : https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html fais les mises à jour puis ferme le programme. Si besoin est tu trouveras des Tutoriaux ici : https://kerio.probb.fr/t242-tuto-ccleaner-v-2 , https://www.malekal.com/tutoriel-ccleaner/ et [http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner > Télécharge SDFix sur ton bureau - Double clique sur l'archive SDFix qui à été créé sur le Bureau et installe le programme (l'installation va créer un dossier (à la racine du disque dur par défaut) nommé SDFix). > Commence par faire un copier/coller de ce poste : (si tu as besoin) Ouvre un nouveau fichier Bloc notes (clique sur "Démarrer" => "Programmes" =>"Accessoires" => "Bloc notes"), puis fait un copier/coller de tout le contenu de la fenêtre de ce poste dans le fichier texte. Sauvegarde le sur le bureau, tu pourras y avoir accès même déconnecté ou en mode sans échec. > Démarre en mode sans échec : (image). Si problème : tuto ici > Lance AVG, - Clique sur le menu Analyse (de la barre d'outils). Clique après sur l'onglet Paramètres, puis clique sur et choisi . - Vérifie que toutes les cases sont cochées dans et dans et vérifie que le bouton-radio soit aussi coché. - Vas dans l'onglet 'Analyse', puis clique . Remarque : Une fois l'analyse terminée, il faut faire un clique droit sur un fichier infecté et demander à "AVG Anti-Spyware 7.5" de le supprimer. Puis clique sur "Appliquer toutes les actions" afin de tout supprimer automatiquement. - Clique sur "Enregistrer le rapport" puis enregistre le sur ton bureau. - Fais un copier/coller du rapport généré dans ton prochain poste. > Lance Ccleaner, - Choisi l’onglet "Options" puis clique sur "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures" (tout doit être supprimé). - Dans l'onglet "Nettoyeur" clique sur "Analyse". - Une fois l'analyse terminée, clique sur "Lancer le Nettoyage". - Dans l'onglet "registre" => Recherches des erreurs => Réparer les erreurs sélectionnées => enregistre une sauvegarde => corriger toutes erreurs sélectionnées => ok => fermer. N.B : Si Ccleaner te propose d'enregistrer une sauvegarde, reponds oui et enregistre sous 'Bureau' Recommence jusqu’à ce qu’il ne trouve plus rien (cela varie en général entre 1 et 4 fois). > Utilise aussi SDFix stp : - Vas dans c:/SDFix et double-clique sur RunThis.bat - Appuie sur < Y > puis < Entrée >....Le nettoyage commance....patience... - Le programme va te demander de relancer le PC, frappe une touche... - Le nettoyage se termine...un rapport apparait... -Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse > Relance ton PC en mode normal > Essaie d'installer le nouveau pare feu et IE7 à l'occassion..;) > Relance Hijackthis : Puis sélectionne < do a system scan and save a logfile >, Et envoie moi, par collier/coller, ton log Hijackthis stp, Bon courage, Et oui c'est long......Mai sc'est le PC qui galère ! :))

Jigsaw · Answer

Oui comme tu dis !!!!! Je n'ai aucun point de restauration en plus (sans doute à cause du Trojan) je ne sais même pas comment récupérer la version avant le changement je doute qu'à présent ce soit possible !!!!!!!!! :-((((((((((((((((((((

Jigsaw · Answer

Très bien j'ai tout téléchargé les logiciels que j'ai mis dans un dossier que j'ai nommé "Infection"  , je fais les manips et je te donnerai le rapport d'Hijack dès demain car là j'ai tout ce que tu m'as demandé à faire !!!!!! Merci .... Courage oui ... Patience : oui .... J'espère voir le bout du tunnel car c'est un cauchemard ce Trojan Vundo !!!!!

Jigsaw · Answer

Le pare-feu de Windows est "Désactivé" (non recommandé), je ne peut pas en avoir d''autres car j'ai jeté Kapersky !

Jigsaw · Answer

Rebonsoir tout le monde !!!

Et bien c'est drôlement long toute ces manips ! Résultats maigres je pense, mon PC est bien mal en point ! Donc Windows XP ne veut toujours pas démarrer correctement, quand à la connexion Internet rien de neuf : INEXISTANTE ! Bref je poste les rapports suivants AVG, OTMoveIT et le dernier Hijackthis ! :

Rapport AVG :

---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

 + Créé à:	20:19:17 10/02/2008

 + Résultat de l'analyse:	



HKLM\SOFTWARE\Classes\WR -> Adware.Generic : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\HbTools -> Adware.HotBar : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\HbTools\HbTools -> Adware.HotBar : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\HbTools\HbTools\PI -> Adware.HotBar : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\HbTools\HbTools\PI\3.2 -> Adware.HotBar : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\HbTools\Hotbar -> Adware.HotBar : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\HbTools\Hotbar\Install -> Adware.HotBar : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\de poortere\Local Settings\Temp\TMP36.tmp -> Downloader.VB.bsa : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\Fonts\Setup.exe -> Downloader.VB.bsa : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\Fonts\a.zip/Setup.exe -> Downloader.VB.bsa : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\Fonts\svchost .exe -> Downloader.VB.bsa : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\de poortere\Local Settings\Temp\RCX14A0.tmp -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\de poortere\Local Settings\Temp\RCX14AE.tmp -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\de poortere\Local Settings\Temp\RCX247E.tmp -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\de poortere\Local Settings\Temp\RCX248E.tmp -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\de poortere\Local Settings\Temp\RCX26.tmp -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\de poortere\Local Settings\Temp\RCX5F7.tmp -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\de poortere\Local Settings\Temp\RCX7E4.tmp -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\de poortere\Local Settings\Temp\RCXA.tmp -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\de poortere\Local Settings\Temp\RCXBEA.tmp -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\de poortere\Local Settings\Temp\RCXC03.tmp -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\de poortere\Local Settings\Temp\RCXC1A.tmp -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\de poortere\Local Settings\Temp\RCXC2F.tmp -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\de poortere\Local Settings\Temp\RCXDDD.tmp -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\de poortere\Local Settings\Temp\RCXDEB.tmp -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\Program Files\Analog Devices\SoundMAX\Smtray.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\Program Files\Fichiers communs\InstallShield\UpdateService\isuspm.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\Program Files\Fichiers communs\StorageProtector\strpmon .exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\Program Files\Fichiers communs\StorageProtector\strpmon.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp    .exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\Program Files\QuickTime\qttask                          .exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\Program Files\QuickTime\qttask                         .exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\Program Files\QuickTime\qttask                        .exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\Program Files\QuickTime\qttask                      .exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\Program Files\QuickTime\qttask                     .exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\Program Files\QuickTime\qttask                    .exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\Program Files\QuickTime\qttask                   .exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\Program Files\QuickTime\qttask                  .exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\Program Files\QuickTime\qttask                 .exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\Program Files\QuickTime\qttask                .exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\Program Files\QuickTime\qttask               .exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\Program Files\QuickTime\qttask              .exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\Program Files\QuickTime\qttask             .exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\Program Files\QuickTime\qttask            .exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\Program Files\QuickTime\qttask           .exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\Program Files\QuickTime\qttask          .exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\Program Files\QuickTime\qttask         .exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\Program Files\QuickTime\qttask       .exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\Program Files\QuickTime\qttask    .exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{102808BA-B1F5-48C6-9A26-AB507A0810E8}\RP0\A0003017.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{102808BA-B1F5-48C6-9A26-AB507A0810E8}\RP0\A0003018.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{102808BA-B1F5-48C6-9A26-AB507A0810E8}\RP0\A0003019.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{102808BA-B1F5-48C6-9A26-AB507A0810E8}\RP0\A0003020.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{102808BA-B1F5-48C6-9A26-AB507A0810E8}\RP0\A0003021.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{102808BA-B1F5-48C6-9A26-AB507A0810E8}\RP0\A0003022.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{102808BA-B1F5-48C6-9A26-AB507A0810E8}\RP0\A0003023.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{102808BA-B1F5-48C6-9A26-AB507A0810E8}\RP0\A0003024.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{102808BA-B1F5-48C6-9A26-AB507A0810E8}\RP0\A0003028.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{102808BA-B1F5-48C6-9A26-AB507A0810E8}\RP0\A0003030.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{102808BA-B1F5-48C6-9A26-AB507A0810E8}\RP0\A0003031.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{102808BA-B1F5-48C6-9A26-AB507A0810E8}\RP0\A0003032.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{102808BA-B1F5-48C6-9A26-AB507A0810E8}\RP0\A0003033.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{102808BA-B1F5-48C6-9A26-AB507A0810E8}\RP0\A0003034.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{102808BA-B1F5-48C6-9A26-AB507A0810E8}\RP0\A0003035.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{102808BA-B1F5-48C6-9A26-AB507A0810E8}\RP0\A0003036.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{102808BA-B1F5-48C6-9A26-AB507A0810E8}\RP0\A0003037.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{102808BA-B1F5-48C6-9A26-AB507A0810E8}\RP0\A0003043.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{102808BA-B1F5-48C6-9A26-AB507A0810E8}\RP0\A0003045.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{102808BA-B1F5-48C6-9A26-AB507A0810E8}\RP0\A0003046.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{102808BA-B1F5-48C6-9A26-AB507A0810E8}\RP0\A0003047.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{102808BA-B1F5-48C6-9A26-AB507A0810E8}\RP0\A0003048.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{102808BA-B1F5-48C6-9A26-AB507A0810E8}\RP0\A0003049.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{102808BA-B1F5-48C6-9A26-AB507A0810E8}\RP0\A0003050.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{102808BA-B1F5-48C6-9A26-AB507A0810E8}\RP0\A0003051.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{102808BA-B1F5-48C6-9A26-AB507A0810E8}\RP0\A0003052.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{102808BA-B1F5-48C6-9A26-AB507A0810E8}\RP0\A0003059.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{102808BA-B1F5-48C6-9A26-AB507A0810E8}\RP0\A0003061.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{102808BA-B1F5-48C6-9A26-AB507A0810E8}\RP0\A0003062.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{102808BA-B1F5-48C6-9A26-AB507A0810E8}\RP0\A0003063.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{102808BA-B1F5-48C6-9A26-AB507A0810E8}\RP0\A0003064.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{102808BA-B1F5-48C6-9A26-AB507A0810E8}\RP0\A0003065.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{102808BA-B1F5-48C6-9A26-AB507A0810E8}\RP0\A0003066.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{102808BA-B1F5-48C6-9A26-AB507A0810E8}\RP0\A0003067.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{102808BA-B1F5-48C6-9A26-AB507A0810E8}\RP0\A0003068.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{102808BA-B1F5-48C6-9A26-AB507A0810E8}\RP0\A0003077.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{102808BA-B1F5-48C6-9A26-AB507A0810E8}\RP0\A0003079.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{102808BA-B1F5-48C6-9A26-AB507A0810E8}\RP0\A0003080.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{102808BA-B1F5-48C6-9A26-AB507A0810E8}\RP0\A0003081.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{102808BA-B1F5-48C6-9A26-AB507A0810E8}\RP0\A0003082.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{102808BA-B1F5-48C6-9A26-AB507A0810E8}\RP0\A0003083.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{102808BA-B1F5-48C6-9A26-AB507A0810E8}\RP0\A0003084.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{102808BA-B1F5-48C6-9A26-AB507A0810E8}\RP0\A0003085.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{102808BA-B1F5-48C6-9A26-AB507A0810E8}\RP0\A0003086.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{102808BA-B1F5-48C6-9A26-AB507A0810E8}\RP0\A0005099.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{102808BA-B1F5-48C6-9A26-AB507A0810E8}\RP0\A0005101.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{102808BA-B1F5-48C6-9A26-AB507A0810E8}\RP0\A0005102.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{102808BA-B1F5-48C6-9A26-AB507A0810E8}\RP0\A0005103.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{102808BA-B1F5-48C6-9A26-AB507A0810E8}\RP0\A0005104.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{102808BA-B1F5-48C6-9A26-AB507A0810E8}\RP0\A0005105.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{102808BA-B1F5-48C6-9A26-AB507A0810E8}\RP0\A0005106.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{102808BA-B1F5-48C6-9A26-AB507A0810E8}\RP0\A0005107.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{102808BA-B1F5-48C6-9A26-AB507A0810E8}\RP0\A0005108.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{102808BA-B1F5-48C6-9A26-AB507A0810E8}\RP0\A0005120.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{102808BA-B1F5-48C6-9A26-AB507A0810E8}\RP0\A0005122.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{102808BA-B1F5-48C6-9A26-AB507A0810E8}\RP0\A0005123.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{102808BA-B1F5-48C6-9A26-AB507A0810E8}\RP0\A0005124.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{102808BA-B1F5-48C6-9A26-AB507A0810E8}\RP0\A0005125.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{102808BA-B1F5-48C6-9A26-AB507A0810E8}\RP0\A0005126.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{102808BA-B1F5-48C6-9A26-AB507A0810E8}\RP0\A0005127.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{102808BA-B1F5-48C6-9A26-AB507A0810E8}\RP0\A0005128.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{102808BA-B1F5-48C6-9A26-AB507A0810E8}\RP0\A0005129.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{102808BA-B1F5-48C6-9A26-AB507A0810E8}\RP0\A0005135.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{102808BA-B1F5-48C6-9A26-AB507A0810E8}\RP0\A0005137.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{102808BA-B1F5-48C6-9A26-AB507A0810E8}\RP0\A0005138.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{102808BA-B1F5-48C6-9A26-AB507A0810E8}\RP0\A0005139.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{102808BA-B1F5-48C6-9A26-AB507A0810E8}\RP0\A0005140.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{102808BA-B1F5-48C6-9A26-AB507A0810E8}\RP0\A0005141.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{102808BA-B1F5-48C6-9A26-AB507A0810E8}\RP0\A0005142.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{102808BA-B1F5-48C6-9A26-AB507A0810E8}\RP0\A0005143.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{102808BA-B1F5-48C6-9A26-AB507A0810E8}\RP0\A0005144.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{102808BA-B1F5-48C6-9A26-AB507A0810E8}\RP0\A0006197.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{102808BA-B1F5-48C6-9A26-AB507A0810E8}\RP0\A0006199.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{102808BA-B1F5-48C6-9A26-AB507A0810E8}\RP0\A0006200.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{102808BA-B1F5-48C6-9A26-AB507A0810E8}\RP0\A0006201.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{102808BA-B1F5-48C6-9A26-AB507A0810E8}\RP0\A0006202.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{102808BA-B1F5-48C6-9A26-AB507A0810E8}\RP0\A0006203.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{102808BA-B1F5-48C6-9A26-AB507A0810E8}\RP0\A0006204.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{102808BA-B1F5-48C6-9A26-AB507A0810E8}\RP0\A0006207.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{102808BA-B1F5-48C6-9A26-AB507A0810E8}\RP0\A0006209.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{102808BA-B1F5-48C6-9A26-AB507A0810E8}\RP0\A0006210.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{102808BA-B1F5-48C6-9A26-AB507A0810E8}\RP0\A0006211.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{102808BA-B1F5-48C6-9A26-AB507A0810E8}\RP0\A0006212.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{102808BA-B1F5-48C6-9A26-AB507A0810E8}\RP0\A0006213.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{102808BA-B1F5-48C6-9A26-AB507A0810E8}\RP0\A0006214.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{102808BA-B1F5-48C6-9A26-AB507A0810E8}\RP0\A0006215.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{102808BA-B1F5-48C6-9A26-AB507A0810E8}\RP0\A0008222.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{102808BA-B1F5-48C6-9A26-AB507A0810E8}\RP0\A0008224.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{102808BA-B1F5-48C6-9A26-AB507A0810E8}\RP0\A0008225.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{102808BA-B1F5-48C6-9A26-AB507A0810E8}\RP0\A0008226.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{102808BA-B1F5-48C6-9A26-AB507A0810E8}\RP0\A0008227.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{102808BA-B1F5-48C6-9A26-AB507A0810E8}\RP0\A0008228.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{102808BA-B1F5-48C6-9A26-AB507A0810E8}\RP0\A0008229.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{102808BA-B1F5-48C6-9A26-AB507A0810E8}\RP0\A0008235.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{102808BA-B1F5-48C6-9A26-AB507A0810E8}\RP0\A0008237.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{102808BA-B1F5-48C6-9A26-AB507A0810E8}\RP0\A0008238.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{102808BA-B1F5-48C6-9A26-AB507A0810E8}\RP0\A0008239.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{102808BA-B1F5-48C6-9A26-AB507A0810E8}\RP0\A0008240.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{102808BA-B1F5-48C6-9A26-AB507A0810E8}\RP0\A0008241.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{102808BA-B1F5-48C6-9A26-AB507A0810E8}\RP0\A0008242.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\VundoFix Backups\MSConfig.exe.bad -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\VundoFix Backups\qomnl.exe.bad -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\de poortere\Local Settings\Temp\mofugclq.exe -> Not-A-Virus.Downloader.Win32.WinFixer.ba : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\de poortere\Local Settings\Temp
gproxvf.exe -> Not-A-Virus.Downloader.Win32.WinFixer.ba : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\de poortere\Local Settings\Temp\qrjatydi.exe -> Not-A-Virus.Downloader.Win32.WinFixer.ba : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\de poortere\Local Settings\Temphvqsuwb.exe -> Not-A-Virus.Downloader.Win32.WinFixer.ba : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\de poortere\Local Settings\Temp\urclqecd.exe -> Not-A-Virus.Downloader.Win32.WinFixer.ba : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\de poortere\Local Settings\Temp\vntmrykt.exe -> Not-A-Virus.Downloader.Win32.WinFixer.ba : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\de poortere\Local Settings\Temp\xqedqkpr.exe -> Not-A-Virus.Downloader.Win32.WinFixer.ba : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{102808BA-B1F5-48C6-9A26-AB507A0810E8}\RP0\A0005131.exe -> Not-A-Virus.Downloader.Win32.WinFixer.ba : Nettoyé et sauvegardé (mise en quarantaine).
C:\Program Files\Temporary\kernInst.exe -> Trojan.Agent.dwb : Nettoyé et sauvegardé (mise en quarantaine).


Fin du rapport



Rapport OTMoveIT :

File/Folder C:\WINDOWS\system32\qomnl.dll not found.
File/Folder C:\WINDOWS\system32oblibcr.dll not found.
 
OTMoveIt2 v1.0.19 log created on 02102008_185658


Et le dernier Hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:04:51, on 10/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://portail.free.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.01net.com/telecharger/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = https://portail.free.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Alice ADSL
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [AliceSAV] C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [SDFix] C:\SDFix\RunThis.bat /second
O4 - HKLM\..\RunOnce: [BrandClearStubs] RUNDLL32 IEDKCS32.DLL,BrandCleanInstallStubs >{CED16D80-047C-4B7C-950C-41C5E4F9CC57}
O4 - HKLM\..\RunOnce: [NoIE4StubProcessing] C:\WINDOWS\system32eg.exe DELETE "HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components" /v "NoIE4StubProcessing" /f
O4 - HKLM\..\RunOnce: [IEREG] regedit.exe -s C:\WINDOWS\Ie.reg
O4 - HKLM\..\RunOnce: [SDFix] C:\SDFix\RunThis.bat /second
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [speakersettings] regedit /s c:\pnp\audio\speaker_setting.reg
O4 - HKCU\..\RunOnce: [] C:\Program Files\Internet Explorer\iexplore.exe https://support.norton.com/sp/fr/fr/home/current/solutions/kb20090121104844EN?abproduct=SymNRT&abversion=2008.0.1.14&build=Symantec&ced=true&entsrc=CED_pubweb&error=0&module=2007&src=_mi
O4 - Startup: Outil de détection de support de Cyber-shot Viewer.lnk = C:\Program Files\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
O4 - Global Startup: END.lnk = C:\Program Files\Alice\Res\SplashScreen.exe
O4 - Global Startup: NETGEAR WG111v2 Smart Wizard.lnk = C:\Program Files\NETGEAR\WG111v2\WG111v2.exe
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {54823A9D-6BAE-11D5-B519-0050BA2413EB} (ChkDVDCtl Class) - http://www.gocyberlink.com/winxp/CheckDVD.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - https://www.touslesdrivers.com/index.php?v_page=29
O20 - AppInit_DLLs:  sockspy.dll sockspy.dll sockspy.dll sockspy.dll,C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Active File Monitor V4 (AdobeActiveFileMonitor4.0) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe (file missing)
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

Jigsaw · Answer

jorginho67 & DllD qu'en pensez-vous ??? Où en es-t-on c'est un cas desespéré ou on s'approche de la fin ????

Utilisateur anonyme · Answer

Bonsoir Jigsaw et jorginho67, Bon, On avance qu'en même bien : c'est pas que des cookies qui sont partis avec AVG : c'est ça de plus qui part à la trappe ;) Peux tu envoyer le rapport SDFix demander à ce poste stp : http://www.commentcamarche.net/forum/affich 4944862 rapport vundofix hijackthis ke faire ensuite?page=3#54 > Lance Hijackthis : - Puis sélectionne < Scan > - Coche les cases des lignes suivantes : O4 - HKLM\..\RunOnce: [NoIE4StubProcessing] C:\WINDOWS\system32\reg.exe DELETE "HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components" /v "NoIE4StubProcessing" /f O4 - HKLM\..\RunOnce: [IEREG] regedit.exe -s C:\WINDOWS\Ie.reg O4 - HKCU\..\RunOnce: [speakersettings] regedit /s c:\pnp\audio\speaker_setting.reg O4 - HKCU\..\RunOnce: [] C:\Program Files\Internet Explorer\iexplore.exe https://www.broadcom.com/ Ensuite, - Ferme toutes les autres fenêtres et applications (même internet) - Clic sur < fixe checked > > Passe un coup de Ccleaner > Démarre en mode sans échec (je sais que tu ne peux pas faire autrement ): (image). Si problème : tuto ici - Double-clic sur clean.cmd - Une fenêtre va apparaître, choisis l'option 2, suis les consignes et poste le rapport clean - Si tu obtiens un fichier C:\upload_moi.zip, alors fais ceci: http://www.malekal.com/tuto_upload_fichiers.php NB : Si besoin, clean : http://mickael.barroux.free.fr/securite/clean.php Si le SDFix n'est pas possible, > Télécharge ComboFix : http://www.pc-xpress.ca/download/ComboFix.exe (par sUBs) sur ton Bureau. Déconnecte toi du net et désactive ton antivirus pour que Combofix puisse s'exécuter normalement. - Double clique combofix.exe : - Tape sur la touche 1 (Yes) pour démarrer le scan. - Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse. NOTE : Le rapport se trouve également ici : C:\Combofix.txt Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi. Essaye de récupérer ta connexion web :) Si ça ne marche pas, > Installe WinSockFix pour tenter de récupérer ta connexion. Lance le programme et laisse toi guider... Ensuite, > Relance ton PC et Hijackthis : Puis sélectionne < do a system scan and save a logfile >, Et envoie, par collier/coller, ton log Hijackthis stp, Bon courage, Je sais c'est long....mais t'es aussi bien infecté.. :( A+ :)

Jigsaw · Answer

Ok je fais ce qui est demandé ...  Au fait question idiote peut-être, mais n'y aurait-il pas des "dll" manquantes ou corrompues qu'il faudrait replacer ???? D'ailleurs comment le savoir ?

jorginho67 · Answer

Salut !
pour répondre a ta question, regarde ici comment...

http://www.commentcamarche.net/faq/sujet 3713 fichier corrompu ou manquant

Jigsaw · Answer

Bon alors j'ai fait les dernières manips, dont voici les rapports (toujours aucune connexion à Internet (au passage)) : Rapport SDFix : C:\WINDOWS\SYSTEM32\ATL.DLL C:\WINDOWS\SYSTEM32\AUDIOSRV.DLL C:\WINDOWS\SYSTEM32\AUTHZ.DLL C:\WINDOWS\SYSTEM32\BASESRV.DLL C:\WINDOWS\SYSTEM32\BTPANUI.DLL C:\WINDOWS\SYSTEM32\CABINET.DLL C:\WINDOWS\SYSTEM32\CAMOCX.DLL C:\WINDOWS\SYSTEM32\CLUSAPI.DLL C:\WINDOWS\SYSTEM32\CMUTIL.DLL C:\WINDOWS\SYSTEM32\CNBJMON.DLL C:\WINDOWS\SYSTEM32\CRYPTEXT.DLL C:\WINDOWS\SYSTEM32\D3DXOF.DLL C:\WINDOWS\SYSTEM32\DATACLEN.DLL C:\WINDOWS\SYSTEM32\DEVENUM.DLL C:\WINDOWS\SYSTEM32\DFRGRES.DLL C:\WINDOWS\SYSTEM32\DIMAP.DLL C:\WINDOWS\SYSTEM32\DISPEX.DLL C:\WINDOWS\SYSTEM32\DMUTIL.DLL C:\WINDOWS\SYSTEM32\DNSRSLVR.DLL C:\WINDOWS\SYSTEM32\DOCPROP.DLL C:\WINDOWS\SYSTEM32\DOCPROP2.DLL C:\WINDOWS\SYSTEM32\DPSERIAL.DLL C:\WINDOWS\SYSTEM32\DPWSOCK.DLL C:\WINDOWS\SYSTEM32\DPWSOCKX.DLL C:\WINDOWS\SYSTEM32\DSSEC.DLL C:\WINDOWS\SYSTEM32\EVENTLOG.DLL C:\WINDOWS\SYSTEM32\GIF89.DLL C:\WINDOWS\SYSTEM32\HHSETUP.DLL C:\WINDOWS\SYSTEM32\HTICONS.DLL C:\WINDOWS\SYSTEM32\HTUI.DLL C:\WINDOWS\SYSTEM32\IASADS.DLL C:\WINDOWS\SYSTEM32\ICMUI.DLL C:\WINDOWS\SYSTEM32\IERNONCE.DLL C:\WINDOWS\SYSTEM32\IESETUP.DLL C:\WINDOWS\SYSTEM32\INETRES.DLL C:\WINDOWS\SYSTEM32\IPV6MON.DLL C:\WINDOWS\SYSTEM32\IXSSO.DLL C:\WINDOWS\SYSTEM32\IYUV_32.DLL C:\WINDOWS\SYSTEM32\IYVU9_32.DLL C:\WINDOWS\SYSTEM32\JGAW400.DLL C:\WINDOWS\SYSTEM32\JGSD400.DLL C:\WINDOWS\SYSTEM32\JOBEXEC.DLL C:\WINDOWS\SYSTEM32\LICMGR10.DLL C:\WINDOWS\SYSTEM32\LICWMI.DLL C:\WINDOWS\SYSTEM32\LOGHOURS.DLL C:\WINDOWS\SYSTEM32\MDHCP.DLL C:\WINDOWS\SYSTEM32\MF3216.DLL C:\WINDOWS\SYSTEM32\MFC40LOC.DLL C:\WINDOWS\SYSTEM32\MFC42LOC.DLL C:\WINDOWS\SYSTEM32\MFC71CHS.DLL C:\WINDOWS\SYSTEM32\MFC71CHT.DLL C:\WINDOWS\SYSTEM32\MFC71ENU.DLL C:\WINDOWS\SYSTEM32\MFC71JPN.DLL C:\WINDOWS\SYSTEM32\MFC71KOR.DLL C:\WINDOWS\SYSTEM32\MMCSHEXT.DLL C:\WINDOWS\SYSTEM32\MPR.DLL C:\WINDOWS\SYSTEM32\MPRDIM.DLL C:\WINDOWS\SYSTEM32\MPRUI.DLL C:\WINDOWS\SYSTEM32\MSASN1.DLL C:\WINDOWS\SYSTEM32\MSDTCLOG.DLL C:\WINDOWS\SYSTEM32\MSFEED~1.DLL C:\WINDOWS\SYSTEM32\MSHTMLER.DLL C:\WINDOWS\SYSTEM32\MSIDENT.DLL C:\WINDOWS\SYSTEM32\MSJTER40.DLL C:\WINDOWS\SYSTEM32\MSPORTS.DLL C:\WINDOWS\SYSTEM32\MSPRIVS.DLL C:\WINDOWS\SYSTEM32\MSVCI70.DLL C:\WINDOWS\SYSTEM32\MSVCIRT.DLL C:\WINDOWS\SYSTEM32\MSXML2R.DLL C:\WINDOWS\SYSTEM32\MSXML3R.DLL C:\WINDOWS\SYSTEM32\NPPTOOLS.DLL C:\WINDOWS\SYSTEM32\NTLANMAN.DLL C:\WINDOWS\SYSTEM32\NTLANUI.DLL C:\WINDOWS\SYSTEM32\NTMSAPI.DLL C:\WINDOWS\SYSTEM32\NTMSEVT.DLL C:\WINDOWS\SYSTEM32\PERFCTRS.DLL C:\WINDOWS\SYSTEM32\PMSPL.DLL C:\WINDOWS\SYSTEM32\PNGFILT.DLL C:\WINDOWS\SYSTEM32\PNRPNSP.DLL C:\WINDOWS\SYSTEM32\PSTOREC.DLL C:\WINDOWS\SYSTEM32\RACPLDLG.DLL C:\WINDOWS\SYSTEM32\RASTAPI.DLL C:\WINDOWS\SYSTEM32\REGAPI.DLL C:\WINDOWS\SYSTEM32\REGSVC.DLL C:\WINDOWS\SYSTEM32\RESUTILS.DLL C:\WINDOWS\SYSTEM32\RSHX32.DLL C:\WINDOWS\SYSTEM32\RTUTILS.DLL C:\WINDOWS\SYSTEM32\S11THK32.DLL C:\WINDOWS\SYSTEM32\SAFRCDLG.DLL C:\WINDOWS\SYSTEM32\SAFRSLV.DLL C:\WINDOWS\SYSTEM32\SECUR32.DLL C:\WINDOWS\SYSTEM32\SENDMAIL.DLL C:\WINDOWS\SYSTEM32\SERVDEPS.DLL C:\WINDOWS\SYSTEM32\SIRENACM.DLL C:\WINDOWS\SYSTEM32\SONYHCY.DLL C:\WINDOWS\SYSTEM32\SQLWOA.DLL C:\WINDOWS\SYSTEM32\STCLIENT.DLL C:\WINDOWS\SYSTEM32\SYNCENG.DLL C:\WINDOWS\SYSTEM32\SYNCOR11.DLL C:\WINDOWS\SYSTEM32\SYNTHC~1.DLL C:\WINDOWS\SYSTEM32\TCPMON.DLL C:\WINDOWS\SYSTEM32\TCPMONUI.DLL C:\WINDOWS\SYSTEM32\TSAPPCMP.DLL C:\WINDOWS\SYSTEM32\TWEXT.DLL C:\WINDOWS\SYSTEM32\USRLBVA.DLL C:\WINDOWS\SYSTEM32\USRSDPIA.DLL C:\WINDOWS\SYSTEM32\USRSVPIA.DLL C:\WINDOWS\SYSTEM32\USRV80A.DLL C:\WINDOWS\SYSTEM32\USRVOICA.DLL C:\WINDOWS\SYSTEM32\USRVPA.DLL C:\WINDOWS\SYSTEM32\VDMREDIR.DLL C:\WINDOWS\SYSTEM32\VFWWDM32.DLL C:\WINDOWS\SYSTEM32\VGA256.DLL C:\WINDOWS\SYSTEM32\WDIGEST.DLL C:\WINDOWS\SYSTEM32\WEBHITS.DLL C:\WINDOWS\SYSTEM32\WINSTA.DLL C:\WINDOWS\SYSTEM32\WPDSHE~1.DLL C:\WINDOWS\SYSTEM32\WSHFR.DLL C:\WINDOWS\SYSTEM32\WSNMP32.DLL C:\WINDOWS\SYSTEM32\WSTDECOD.DLL C:\WINDOWS\SYSTEM32\WUDFSVC.DLL C:\WINDOWS\SYSTEM32\WUPS2.DLL C:\WINDOWS\SYSTEM32\WZCSAPI.DLL C:\WINDOWS\SYSTEM32\XMLPROVI.DLL Rapport Combofix : ((((((((((((((((((((((((( Files Created from 2008-01-12 to 2008-02-12 ))))))))))))))))))))))))))))))) 2008-02-12 01:02 39,936 --a------ C:\WINDOWS\system32\huffyuv.dll 2008-02-12 01:02 27,648 --a------ C:\WINDOWS\system32\ir50_lcs.dll 2008-02-12 01:02 245,408 --a------ C:\WINDOWS\system32\unicows.dll 2008-02-12 01:02 2,024,448 --a------ C:\WINDOWS\system32\divx.dll 2008-02-10 23:07 51,200 --a------ C:\WINDOWS ircmd.exe 2008-02-10 20:26 d-------- C:\WINDOWS\ERUNT 2008-02-10 18:58 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys 2008-02-09 16:35 882 --a------ C:\WINDOWS\system32 mp.reg 2008-02-09 16:34 85,504 --a------ C:\WINDOWS\system32\VACFix.exe 2008-02-09 16:34 82,432 --a------ C:\WINDOWS\system32\IEDFix.exe 2008-02-09 16:34 53,248 --a------ C:\WINDOWS\system32\Process.exe 2008-02-09 16:34 51,200 --a------ C:\WINDOWS\system32\dumphive.exe 2008-02-09 16:34 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe 2008-02-09 16:34 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe 2008-02-09 16:34 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe 2008-02-09 16:02 551 --------- C:\WINDOWS\Ie.reg 2008-02-09 16:02 25,088 --a------ C:\WINDOWS\system32\shfolder.dll 2008-02-09 14:55 d-------- C:\Program Files\TechCity Solutions 2008-02-08 01:56 d--hs---- C:\found.000 2008-02-08 01:19 d--h----- C:\WINDOWS\msdownld.tmp 2008-02-08 01:17 d-------- C:\WINDOWS\system32\fr-fr 2008-02-07 23:14 d-------- C:\Program Files\Avira 2008-02-07 23:14 d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Avira 2008-02-07 17:33 d-------- C:\Program Files\Fichiers communs\BitDefender 2008-02-04 12:49 d-------- C:\VundoFix Backups 2008-02-04 12:03 d-------- C:\WINDOWS\LastGood 2008-02-04 12:03 d-------- C:\WINDOWS\BDOSCAN8 2008-02-02 12:32 d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard 2008-02-01 19:21 d-------- C:\Program Files\CCleaner 2008-02-01 16:18 d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Spybot - Search & Destroy 2008-02-01 01:03 664 --a------ C:\WINDOWS\system32\d3d9caps.dat 2008-02-01 00:40 d--h----- C:\WINDOWS\PIF 2008-01-26 20:58 d-------- C:\Program Files\Lavalys 2008-01-26 12:58 d-------- C:\WINDOWS\LastGood.Tmp 2008-01-26 11:49 dr------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\storageprotector 2008-01-26 11:49 dr------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\SalesMon 2008-01-26 11:48 d-------- C:\Program Files\Fichiers communs\StorageProtector 2008-01-26 11:03 d-------- C:\Program Files\Trend Micro 2008-01-21 15:32 1,835,008 --ah----- C:\DOCUME~1\Mohamed\NTUSER.DAT 2008-01-21 15:32 dr------- C:\DOCUME~1\Mohamed\Menu D‚marrer 2008-01-21 15:32 d--h----- C:\DOCUME~1\Mohamed\Voisinage r‚seau 2008-01-21 15:32 d--h----- C:\DOCUME~1\Mohamed\Voisinage d'impression 2008-01-21 15:32 d--h----- C:\DOCUME~1\Mohamed\ModŠles 2008-01-21 15:32 d-------- C:\DOCUME~1\Mohamed\Mes documents 2008-01-21 15:32 d-------- C:\DOCUME~1\Mohamed\Favoris 2008-01-21 15:32 d-------- C:\DOCUME~1\Mohamed\Bureau 2008-01-18 18:48 552 --a------ C:\WINDOWS\system32\d3d8caps.dat 2008-01-16 19:46 245,760 --a------ C:\Program Files\Uninstall Ask Toolbar.dll 2008-01-14 09:58 6,746,112 --a------ C:\DOCUME~1\DEPOOR~1 tuser.dat 2008-01-14 09:58 229,376 --a------ C:\DOCUME~1\LOCALS~1 tuser.dat 2008-01-12 21:58 163,904 --a------ C:\WINDOWS\system32\mlqwpsrw.dll.vir 2008-01-12 21:11 d-------- C:\Program Files\Temporary (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) 2008-02-12 01:35 77516 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx 2008-02-12 01:02 --------- d-------- C:\Program Files\K-Lite Codec Pack 2008-02-11 19:16 167200 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat 2008-02-09 16:02 --------- d-------- C:\Program Files\Alice 2008-02-09 14:54 --------- d--h----- C:\Program Files\InstallShield Installation Information 2008-02-08 00:46 --------- d-------- C:\Program Files\Fichiers communs\Symantec Shared 2008-02-06 01:39 --------- d-------- C:\Program Files\LimeWire 2008-02-04 13:37 --------- d-------- C:\DOCUME~1\DEPOOR~1\APPLIC~1\LimeWire 2008-02-01 15:26 --------- d-------- C:\Program Files\eMule 2008-02-01 00:45 44 --a--c--- C:\WINDOWS\system32\msssc.dll 2008-01-31 10:37 --------- d-------- C:\Program Files\AviSynth 2.5 2008-01-21 14:18 --------- d-------- C:\Program Files\QuickTime 2008-01-16 19:48 --------- d-------- C:\Program Files\NCH Software 2008-01-14 22:58 --------- d-------- C:\DOCUME~1\DEPOOR~1\APPLIC~1\OpenOffice.org2 2008-01-14 21:55 5714720 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat 2008-01-14 11:21 16676 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx 2008-01-09 15:01 53248 --a------ C:\WINDOWS\bdoscandel.exe 2008-01-07 03:06 74858 --a------ C:\WINDOWS\system32\perfc00C.dat 2008-01-07 03:06 467144 --a------ C:\WINDOWS\system32\perfh00C.dat 2008-01-06 15:22 --------- d-------- C:\Program Files\Messenger 2008-01-01 18:22 294912 --a------ C:\WINDOWS\system32\khooker .exe 2008-01-01 18:22 221184 --a------ C:\WINDOWS\system32\LVCOMSX .EXE 2008-01-01 18:22 106496 --a------ C:\WINDOWS\SiSUSBrg .exe 2008-01-01 16:08 147456 --a------ C:\WINDOWS\system32\vbzip10.dll 2008-01-01 16:08 --------- d-------- C:\Program Files\Incomplete 2008-01-01 16:06 654432 --a------ C:\z.dat 2008-01-01 16:06 18058 --a------ C:\x.dat 2008-01-01 16:06 134 --a------ C: .bat 2008-01-01 16:05 172032 --a------ C:\winlogon.exe 2008-01-01 14:15 91492 --a------ C:\WINDOWS\system32\drivers\klin.dat 2008-01-01 14:15 85860 --a------ C:\WINDOWS\system32\drivers\klick.dat 2007-12-27 14:25 --------- d-------- C:\Program Files\TVersity 2006-01-21 23:41:04 952 -csha-w C:\WINDOWS\system32\KGyGaAvL.sys ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "AGRSMMSG"="AGRSMMSG.exe" [2003-04-29 08:58 C:\WINDOWS\AGRSMMSG.exe] "avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-08-31 12:25] "AliceSAV"="C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe" [2005-12-16 17:57] "!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 10:25] "SDFix"="C:\SDFix\RunThis.bat /second" [] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 13:00] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion unonce] "BrandClearStubs"=RUNDLL32 IEDKCS32.DLL,BrandCleanInstallStubs >{CED16D80-047C-4B7C-950C-41C5E4F9CC57} "SDFix"=C:\SDFix\RunThis.bat /second C:\Documents and Settings\de poortere\Menu D‚marrer\Programmes\D‚marrage\ Outil de d‚tection de support de Cyber-shot Viewer.lnk - C:\Program Files\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe [2007-03-03 12:39:28] C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\ END.lnk - C:\Program Files\Alice\Res\SplashScreen.exe [2008-02-09 16:03:04] NETGEAR WG111v2 Smart Wizard.lnk - C:\Program Files\NETGEAR\WG111v2\WG111v2.exe [2006-05-17 15:05:52] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "appinit_dlls"= sockspy.dll sockspy.dll sockspy.dll sockspy.dll,C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] "Authentication Packages"= msv1_0 C:\WINDOWS\system32\qomnl R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys S1 avgio;avgio;\??\C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgio.sys S1 avipbb;avipbb;C:\WINDOWS\system32\DRIVERS\avipbb.sys S1 PCLEPCI;PCLEPCI;\??\C:\WINDOWS\system32\drivers\pclepci.sys S1 ssmdrv;ssmdrv;C:\WINDOWS\system32\DRIVERS\ssmdrv.sys S2 SoundMAX Agent Service (default);SoundMAX Agent Service;C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe S2 spupdsvc;Windows Service Pack Installer update service;C:\WINDOWS\system32\spupdsvc.exe S3 avgntflt;avgntflt;\??\C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgntflt.sys S3 irsir;Pilote série infrarouge Microsoft;C:\WINDOWS\system32\DRIVERS\irsir.sys S3 MSDV;Microsoft DV Camera and VCR;C:\WINDOWS\system32\DRIVERS\msdv.sys S3 pepifilter;Volume Adapter;C:\WINDOWS\system32\DRIVERS\lv302af.sys S3 PID_08A0;Labtec WebCam(PID_08A0);C:\WINDOWS\system32\DRIVERS\LV302AV.SYS S3 rt2571;Wireless 802.11g USB Adapter Driver;C:\WINDOWS\system32\DRIVERS t2571.sys S3 RTLWUSB;NETGEAR WG111v2 54Mbps Wireless USB 2.0 Adapter NT Driver;C:\WINDOWS\system32\DRIVERS\wg111v2.sys S3 scramby;Scramby Microphone;C:\WINDOWS\system32\drivers\scramby.sys S3 scramby_out;Scramby Output;C:\WINDOWS\system32\drivers\scramby_out.sys S3 WlanUIG;Sagem 802.11g Wireless LAN USB Adapter Driver;C:\WINDOWS\system32\DRIVERS\WlanUIG.sys S4 avp ;avp ;"C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp .exe" -r Contents of the 'Scheduled Tasks' folder 2008-01-14 21:49:23 C:\WINDOWS\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job ************************************************************************** catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-02-12 18:35:26 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden registry entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** Completion time: 2008-02-12 18:37:09 C:\ComboFix-quarantined-files.txt ... 2008-02-12 18:36 --- E O F --- Rapport Hijackthis : Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:41:47, on 12/02/2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5730.0011) Boot mode: Safe mode with network support Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://portail.free.fr/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.google.fr/?gws_rd=ssl R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = https://portail.free.fr/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [AliceSAV] C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized O4 - HKLM\..\Run: [SDFix] C:\SDFix\RunThis.bat /second O4 - HKLM\..\RunOnce: [BrandClearStubs] RUNDLL32 IEDKCS32.DLL,BrandCleanInstallStubs >{CED16D80-047C-4B7C-950C-41C5E4F9CC57} O4 - HKLM\..\RunOnce: [SDFix] C:\SDFix\RunThis.bat /second O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Startup: Outil de détection de support de Cyber-shot Viewer.lnk = C:\Program Files\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe O4 - Global Startup: END.lnk = C:\Program Files\Alice\Res\SplashScreen.exe O4 - Global Startup: NETGEAR WG111v2 Smart Wizard.lnk = C:\Program Files\NETGEAR\WG111v2\WG111v2.exe O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O10 - Unknown file in Winsock LSP: c:\windows\system32 wprovau.dll O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab O16 - DPF: {54823A9D-6BAE-11D5-B519-0050BA2413EB} (ChkDVDCtl Class) - http://www.gocyberlink.com/winxp/CheckDVD.cab O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/... O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - https://www.touslesdrivers.com/index.php?v_page=29 O20 - AppInit_DLLs: sockspy.dll sockspy.dll sockspy.dll sockspy.dll,C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Adobe Active File Monitor V4 (AdobeActiveFileMonitor4.0) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe (file missing) O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing) O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe (file missing) O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

Jigsaw · Answer

Je viens d'aller voir un autre post sur Vundo et le gars explique qu'il avait 2 antivirus. perso moi j'ai AVG que je ne mets pas systématiquement en route puisque pour le moment je ne sais plus me connecter à Internet mais j'ai aussi l'Installation de Bitdefender sur le bureau (non installé juste l'application pour l'installer) car le PC me dit impossible car l'administrateur a bloqué la politique, etc .... Seulement même si ça n'est que l'application de bitdefender, ne devrais-je pas la bazarder car il y a déjà AVG ???

jorginho67 · Answer

Ton antivirus est Avira\AntiVir PersonalEdition Classic 
AVG Anti-Spyware 7.5 --> c'est un antispywares !!!

Kapersky, c'est un payant ? tu payes  l'abonnement ? ou c'est un version d'essai ? 
Si oui, on vire tout et tu garde uniquement AVIRA ANTIVIR !

Jigsaw · Answer

Disons que Kapersky est la version que j'ai emprunté à mon frère le code d'activation était bon donc j'ai pu l'utiliser ! Mais je ne m'en servait quasiment pas ! J'ai viré l'icône du bureau mais je sais plus si il figure encore dans le Panneau de configuration ou non !? J'irai voir !

jorginho67 · Answer

pour virer Kaper :
Nettoyeur Kaspersky:
http://kb.kaspersky.fr/index.php?ShowID=543

Jigsaw · Answer

Sinon concernant le rapport d'Hijackthis où en est-on faut-il procéder à d'autres manips ?

jorginho67 · Answer

juste nettoyer des trucs supperflus !

Relance HijackThis, choisis "do a scan only" 
coche la case devant les lignes ci-dessous et clic en bas sur "fix checked".

O4 - HKLM\..\Run: [SDFix] C:\SDFix\RunThis.bat /second 
O4 - HKLM\..\RunOnce: [SDFix] C:\SDFix\RunThis.bat /second
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe 

Comment fixer les lignes <---- voir  ici
Générer un rapport  <----- voir ici

ensuite, relance AVG Antispy 7.5, fais la MàJ, et en mode sans echec fait le tourner!

*Mise à jour :
Lance AVG Anti-Spyware.
Clique sur le menu Mise à jour.
Dans le paragraphe Mise à jour manuelle, clique sur le bouton Commencer la mise à jour.
Attends la fin de cette mise à jour
Ferme AVG Antispyware

* Reglages :

Clique sur le menu Analyse (de la barre d'outils).
Clique sur l'onglet Paramètres.

Dans Comment réagir? cliquer sur Actions recommandées et choisir Quarantaine
Dans Comment faire l'analyse ? et dans Programmes potentiellement dangereux, vérifier que toutes les cases soient cochées.
Vérifier que le bouton-radio Générer un rapport après chaque analyse soit aussi coché.
tu dois avoir ceci : https://www.hiboox.com


* Scan et nettoyage : (a faire en mode sans echec)
Dans l'onglet Analyse
Cliquer sur Analyse complète du système.

Important : Ne pas ouvrir de fenêtre, ne pas lancer de
programme pendant l'exécution de AVG Anti-Spyware, car cela pourrait interférer avec le processus de recherche.
Tres important : A la fin de l'analyse, clique sur " Appliquer toutes les actions" <<-- TRES IMPORTANT
voir ici  : https://www.hiboox.com
Ensuite.

Cliquer sur "Enregistrer le rapport". Ceci génère un rapport
en fichier texte qui se trouve dans le dossier Reports du dossier d'AVG Anti-Spyware.
Puis fermer AVG Anti-Spyware..

poste le rapport stp !

Jigsaw · Answer

Merci merci merci merci merci INFINIMENT aux Dieux de l'informatique que sont jorginho67 et DllD !!!!!!

Quelle patience ils ont eu, mais pas pour RIEN !!!!! Je peux vous annoncer que grâce à votre précieuse aide j'ai réussi à récupérer Windows XP, qu'il démarre à présent correctement, mes icônes s'affichent sur le bureau, Windows Media Player est aussi réapparu, je peux de nouveau y lire mes musiques, que ma connection Internet est remise (d'ailleurs je ne vous écris plus du PC fixe de mon frère, mais bien de mon PC portable perso. !!!!)

N'oubliez pas chers internautes de remercier vos bienfaiteurs car sans eux, nous serions bien incapable d'utiliser nos PC !!!!

Donc je vous remercie tout les 2 à nouveau, merci de votre patience !!!!!!!!

Jigsaw. Ce post est à présent résolu !!!!!

Utilisateur anonyme · Answer

Salut,

Mais de rien...

Merci merci merci merci merci INFINIMENT aux Dieux de l'informatique que sont jorginho67 et DllD !!!!!! ,
la tu exagères ....

Bonne continuation,

A+

Rapport Vundofix+Hijackthis ke faire ensuite?

62 réponses

Discussions similaires