virtumonde

Question

Bonsoir,
Il semble que mon ordi soit infecté, quelqu'un pourrait-il m'aider? Ci joint le rapport de HijackThis.J'ajoute que je suis débutante ...
Merci à tous


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:25:18, on 22/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\Pack Securite\Anti-Virus\fsgk32st.exe
C:\Program Files\Pack Securite\Common\FSMA32.EXE
C:\Program Files\Pack Securite\Anti-Virus\FSGK32.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Pack Securite\Common\FSMB32.EXE
C:\Program Files\Pack Securite\Common\FCH32.EXE
C:\Program Files\Pack Securite\Common\FAMEH32.EXE
C:\Program Files\Pack Securite\Anti-Virus\fsqh.exe
C:\Program Files\Pack Securite\Common\FSM32.EXE
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Pack Securite\FSPC\fspc.exe
C:\Program Files\Pack Securite\FSGUI\fsguidll.exe
C:\Program Files\Pack Securite\FSAUA\program\fsaua.exe
C:\Program Files\Pack Securite\FWES\Program\fsdfwd.exe
C:\Program Files\Pack Securite\Anti-Virus\fssm32.exe
C:\Program Files\Pack Securite\FSAUA\program\fsus.exe
C:\Program Files\Pack Securite\Anti-Virus\fsav32.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1DE64CA3-2E15-4699-A3F9-E7C656595579} - C:\WINDOWS\system32\jkhhh.dll
O2 - BHO: (no name) - {4509D10F-6D4A-4F0A-8DB9-F0026E70C3F1} - C:\WINDOWS\system32\gebcd.dll (file missing)
O2 - BHO: RXResultTracker Class - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - C:\PROGRA~1\RXTOOL~1\sfcont.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {9269E781-6EB1-449F-8C33-098B57DD0FBA} - C:\WINDOWS\system32\vturo.dll (file missing)
O2 - BHO: (no name) - {989ACFC2-30CA-46E7-92BE-7C42F5584A9D} - C:\WINDOWS\system32\geedd.dll (file missing)
O2 - BHO: (no name) - {C3C0859F-381E-4431-BDDF-A798C2830AFC} - C:\WINDOWS\system32\jkhfe.dll (file missing)
O2 - BHO: (no name) - {FD576B1A-BF4A-4E3B-BAFE-F11E6D86F0F3} - C:\WINDOWS\system32\jkhhe.dll (file missing)
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\Pack Securite\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\Pack Securite\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [pctfbwjo] c:\windows\system32\pctfbwjo.exe pctfbwjo
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [BitTorrent] "C:\Program Files\BitTorrent\bittorrent.exe" --force_start_minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: Parental... - {200DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program Files\Pack Securite\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Program Files\Pack Securite\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: Parental... - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Program Files\Pack Securite\FSPC\fspcmsie.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Filter hijack: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - C:\PROGRA~1\RXTOOL~1\sfcont.dll
O20 - Winlogon Notify: awvvs - C:\WINDOWS\system32\awvvs.dll
O20 - Winlogon Notify: gebca - C:\WINDOWS\system32\gebca.dll (file missing)
O20 - Winlogon Notify: gebcd - C:\WINDOWS\system32\gebcd.dll (file missing)
O20 - Winlogon Notify: gebyy - C:\WINDOWS\system32\gebyy.dll
O20 - Winlogon Notify: geeba - C:\WINDOWS\system32\geeba.dll
O20 - Winlogon Notify: geeda - C:\WINDOWS\system32\geeda.dll
O20 - Winlogon Notify: geedd - C:\WINDOWS\system32\geedd.dll (file missing)
O20 - Winlogon Notify: jkhfe - C:\WINDOWS\system32\jkhfe.dll (file missing)
O20 - Winlogon Notify: jkhhe - C:\WINDOWS\system32\jkhhe.dll (file missing)
O20 - Winlogon Notify: jkkji - C:\WINDOWS\system32\jkkji.dll (file missing)
O20 - Winlogon Notify: urqpmkl - urqpmkl.dll (file missing)
O20 - Winlogon Notify: vturo - C:\WINDOWS\system32\vturo.dll (file missing)
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Program Files\Pack Securite\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Program Files\Pack Securite\FSAUA\program\fsaua.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\Pack Securite\FWES\Program\fsdfwd.exe
O23 - Service: FSMA - F-Secure Corporation - C:\Program Files\Pack Securite\Common\FSMA32.EXE
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O24 - Desktop Component 0: (no name) - http://a2.g.akamai.net/f/2/1688/1h/www.tv-radio.com/player/images/blank.gif
O24 - Desktop Component 1: (no name) - http://www.europe2.fr/img/header/logo.gif

Saiyen75 · Answer

Salut,

En effet tu as une belle infection,
Quelle antivirus utilise tu ?

Commence par renommer HiajckThis.exe en CCM.exe
---> Clic droit sur hijackthis.exe (bonhomme rouge) puis Renommer
---> Tapper : CCM
---> Entrée

Relance le et refait un scan.

Ensuite :

met à jour Internet Explorer 7.0:
https://www.01net.com/telecharger/windows/Internet/navigateur/fiches/33081.html

_____________________________________________________

VundoFix :

Télécharge VundoFix.exe sur ton Bureau.  (pas Atribune)
http://www.atribune.org/ccount/click.php?id=4 

Double-clique VundoFix.exe afin de le lancer. 

Clique sur le bouton Scan for Vundo. 
Lorsque le scan est complété, clique sur le bouton Remove Vundo. 
Une invite te demandera si tu veux supprimer les fichiers, clique YES 
Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers. 
Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown") ; clique OK 
Démarre ton PC à nouveau. 
Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse. 

_____________________________________________________

++

Blik · Answer

A dam'n, Sayen75, t'as été plus rapide que moi! :P
Voilà quelques infos a propos de ton infection Astrid..

---------------------------------------------------

Détecté : 20 Novembre 2004
Mis à jour : 13 Février 2007 12:30:20 PM
Egalement appelé : Vundo [McAfee], Vundo.dldr [McAfee]
Type : Trojan Horse
Etendue de l'infection : variable
Systèmes affectés : Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP


Trojan.Vundo est un composant de logiciel publicitaire qui télécharge et affiche des publicités intempestives. Il s'installe lorsque l'utilisateur clique sur un lien contenu dans un courrier indésirable.

Saiyen75 · Answer

Salut,

Petite info sur vundo : Vundo

Tu as bien reussi a renommer HijackThis par contre maintenant il est mal placé, tu dois le mettre  la racine de C:
Exemple : C:\HijackThis\CCM.exe

En gros, déplace simplement le fichier CCM.exe dans C:\ et execute le à partir de là.

Refait un log HijackThis aprés ça :

-----------------------------------------------------------

Télécharge VirtumondoBegone : 
http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe

Lance le
Double clique ensuite sur VirtumundoBeGone.exe et suis les instructions. 
Une fois terminé, redémarre et poste le rapport VBG.TXT  créé sur le bureau dans ta prochaine réponse.

_____________________________________________________

++

Saiyen75 · Answer

Salut,

En faite, tu as crée un nouveau dossier nommé CCM.exe.
Ce que tu dois nommer en CCM.exe c'est HijackThis.exe.

++

Saiyen75 · Answer

Ok

---> Ouvre poste de travail
---> Ouvre C:\ (c'est ton disque dur)
---> il y'a un dossier nommé : CCM.exe ouvre le 
---> La tu vois HijackThis.exe (bonhomme rouge)
---> Clic droit dessus
---> Renommer
---> Tappe : CCM.exe
---> Puis ENTREE.

Ensuite tu double clic dessus pour l'executer
Et tu fait les meme manip que d'habitude pour poster un log sur le forum.

++

Astrid · Answer

Salut,
Merci pour tes précisions, je pense que cette fois est la bonne!!
Qu'a donné Vertumondobegone? Est-ce la "bête" est toujours là?
A+. Ci joint nouveau rapport:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:37, on 2008-02-25
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Pack Securite\Anti-Virus\fsgk32st.exe
C:\Program Files\Pack Securite\Common\FSMA32.EXE
C:\Program Files\Pack Securite\Anti-Virus\FSGK32.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Pack Securite\Common\FSMB32.EXE
C:\Program Files\Pack Securite\Common\FCH32.EXE
C:\Program Files\Pack Securite\Common\FAMEH32.EXE
C:\Program Files\Pack Securite\Anti-Virus\fsqh.exe
C:\Program Files\Pack Securite\FSPC\fspc.exe
C:\Program Files\Pack Securite\FSAUA\program\fsaua.exe
C:\Program Files\Pack Securite\Anti-Virus\fssm32.exe
C:\Program Files\Pack Securite\FWES\Program\fsdfwd.exe
C:\Program Files\Pack Securite\FSAUA\program\fsus.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Pack Securite\Common\FSM32.EXE
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Pack Securite\FSGUI\fsguidll.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Pack Securite\Anti-Virus\fsav32.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\CCM.exe\CCM.exe.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.01net.com/telecharger/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.01net.com/telecharger/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.01net.com/telecharger/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.01net.com/telecharger/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: RXResultTracker Class - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - C:\PROGRA~1\RXTOOL~1\sfcont.dll (file missing)
O2 - BHO: (no name) - {74179869-295F-44F7-A778-6847AB1FD513} - C:\WINDOWS\system32\jkhhh.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\Pack Securite\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\Pack Securite\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [pctfbwjo] c:\windows\system32\pctfbwjo.exe pctfbwjo
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [BitTorrent] "C:\Program Files\BitTorrent\bittorrent.exe" --force_start_minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: Parental... - {200DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program Files\Pack Securite\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Program Files\Pack Securite\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: Parental... - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Program Files\Pack Securite\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Filter hijack: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - C:\PROGRA~1\RXTOOL~1\sfcont.dll
O20 - Winlogon Notify: gebca - C:\WINDOWS\system32\gebca.dll (file missing)
O20 - Winlogon Notify: geeba - C:\WINDOWS\system32\geeba.dll
O20 - Winlogon Notify: jkkji - C:\WINDOWS\system32\jkkji.dll (file missing)
O20 - Winlogon Notify: urqpmkl - urqpmkl.dll (file missing)
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Program Files\Pack Securite\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Program Files\Pack Securite\FSAUA\program\fsaua.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\Pack Securite\FWES\Program\fsdfwd.exe
O23 - Service: FSMA - F-Secure Corporation - C:\Program Files\Pack Securite\Common\FSMA32.EXE
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O24 - Desktop Component 0: (no name) - http://a2.g.akamai.net/f/2/1688/1h/www.tv-radio.com/player/images/blank.gif
O24 - Desktop Component 1: (no name) - http://www.europe2.fr/img/header/logo.gif

Saiyen75 · Answer

Re,

En effet c'est la bonne, bonne manip ^^
On avance :)
Fait bien les étapes qui suivent dans l'ordre indiqué :

Maintenant 

1- Désinstalle RXToolbar:

--> Poste de travail
---> Ajout/Suppression de programmes
--> Dans la liste rechercher RXToolbar
---> Désinstaller

2- OTMoveIt :

Télécharger sur le bureau :
http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe

= Copier le texte en gras: 

C:\PROGRA~1\RXTOOL~1\sfcont.dll
C:\WINDOWS\system32\geeba.dll
c:\windows\system32\pctfbwjo.exe

= Double-clic sur OTMoveIt.exe 
= Dans le cadre de Gauche ==> clic-droit ==> coller 
= Clic MoveIt! 
= si redémarrage demandé==> Clic : YES 
= Un rapport dans ==> C:\_OTMoveIt\MovedFiles\date du jour à copier/coller sur le forum.
------- 

redemarre le PC

_____________________________________________________

3- Fixe les lignes dans Hijackthis :

Relance HijackThis, choisis  "do a scan only"  coche la case devant les lignes ci-dessous et clic en bas sur "fix checked". 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.01net.com/telecharger/ 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.01net.com/telecharger/ 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.01net.com/telecharger/ 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.01net.com/telecharger/ 

O2 - BHO: RXResultTracker Class - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - C:\PROGRA~1\RXTOOL~1\sfcont.dll (file missing) 
O2 - BHO: (no name) - {74179869-295F-44F7-A778-6847AB1FD513} - C:\WINDOWS\system32\jkhhh.dll (file missing) 
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) 

O4 - HKLM\..\Run: [pctfbwjo] c:\windows\system32\pctfbwjo.exe pctfbwjo 
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe 

O18 - Filter hijack: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - C:\PROGRA~1\RXTOOL~1\sfcont.dll 

O20 - Winlogon Notify: gebca - C:\WINDOWS\system32\gebca.dll (file missing) 
O20 - Winlogon Notify: geeba - C:\WINDOWS\system32\geeba.dll 
O20 - Winlogon Notify: jkkji - C:\WINDOWS\system32\jkkji.dll (file missing) 
O20 - Winlogon Notify: urqpmkl - urqpmkl.dll (file missing) 

S'il te demande un redémarrage, relance ton PC.
_____________________________________________________

++

Saiyen75 · Answer

C'est pas grave, dans cecas, fait les étapes 2 puis 3

++

Saiyen75 · Answer

En effet, si tu as bien fait toutes les étapes, refait moi un nouveau log HijackThis.

++

Saiyen75 · Answer

En effet, si tu as bien fait toutes les étapes, refait moi un nouveau log HijackThis.

++

Saiyen75 · Answer

Y'a une ligne qui résiste apparement, 

Au faite tu as eut le rapport du OTMoveIt ?

Astrid · Answer

Oui, ci joint:

File/Folder  not found.
File/Folder C:\PROGRA~1\RXTOOL~1\sfcont.dll not found.
DllUnregisterServer procedure not found in C:\WINDOWS\system32\geeba.dll
C:\WINDOWS\system32\geeba.dll NOT unregistered.
C:\WINDOWS\system32\geeba.dll moved successfully.
File/Folder c:\windows\system32\pctfbwjo.exe not found.
 
OTMoveIt2 v1.0.20 log created on 02252008_215502

Saiyen75 · Answer

essaye d'aller dans :

Poste de travail
C:\ (ton disquse dur)
Program Files
Regarde si tu vois un dossier "RXTOOL" quelque chose dans le genre, si c'est le cas :
Donne moi son nom exact.

Saiyen75 · Answer

Salut

Essaye cette manip, et une fois faite, retourne dans program files pour voir.

Pour afficher les Fichiers et Dossiers Caché :

* Ouvrir poste de travail
* outils
* Options des dossiers
* Onglet "Affichage"
* Dans fichiers et dossiers caché, coché la case "Afficher les fichiers et dossiers cachés"

Ensuite un peu plus bas, décocher les case "Masquer les fichiers protégés du systeème d'exploitation"

/!\ ATTENTION : Faire attention de ne pas supprimer involontairement un fichier système, car ça peut endomager votre système d'exploitation ! /!\

_____________________________________________________

Repost un nouveau HijackThis pour voir 
++

Saiyen75 · Answer

Tu es retourner dans program flies pour voir ?

Ou en est ton PC en ce moment ?

Saiyen75 · Answer

Ou en est ton PC en ce moment ?

Saiyen75 · Answer

Ralentissement ? Alerte ? Fenetre qui s'ouvrent ? Lenteur ? etc...

++

Saiyen75 · Answer

Ok, attend un peu, surf, utilise le, et dis un peu plus tard ce qu'il en est.

++

Astrid · Answer

Salut, voici le rapport d'analyse de mon ordi, c'est la cata apparemment...! Attention les yeux :

Rapport d'analyse
2008-02-26 22:08 - 00:29
Nom de l'ordinateur: NOM-4A30CA52804 
Type d'analyse: Effectuer une analyse complète de l'ordinateur 
Cible : C:\ + système + rootkits 


--------------------------------------------------------------------------------

Résultat: 116 antiprogramme(s) détecté(s)
AdWare.Win32.Cydoor (adware) 
Action : mis en quarantaine
AdWare.Win32.Virtumonde (adware) 
Action : mis en quarantaine
RXToolbar (Misc) 
REGKEY:HKCR\clsid\{2ab289ae-4b90-4281-b2ae-1f4bb034b647}
REGKEY:HKCR\interface\{ac368f5f-6670-4dde-a1a8-b9c064ea0402}
REGKEY:HKCR	ypelib\{05563f82-69a7-40a6-8670-153b635a7ef6}
REGKEY:HKU\S-1-5-21-2289637367-337517637-1739010885-1006\software\microsoft\windows\currentversion\ext\stats\{25d8bacf-3de2-4b48-ae22-d659b8d835b0}
REGKEY:HKU\.DEFAULT\software\microsoft\windows\currentversion\ext\stats\{59879fa4-4790-461c-a1cc-4ec4de4ca483}
REGKEY:HKU\S-1-5-21-2289637367-337517637-1739010885-1006\software\microsoft\windows\currentversion\ext\stats\{59879fa4-4790-461c-a1cc-4ec4de4ca483}
REGKEY:HKU\S-1-5-18\software\microsoft\windows\currentversion\ext\stats\{59879fa4-4790-461c-a1cc-4ec4de4ca483}
REGKEY:HKCRxresult.rxresultfilter.1
REGKEY:HKCRxresult.rxresultfilter
REGKEY:HKCRxresult.rxresulttracker
REGKEY:HKCRxresult.rxresulttracker.1
REGKEY:HKU\S-1-5-21-2289637367-337517637-1739010885-1006\softwarex toolbar
Action : mis en quarantaine
TopSearch (Data miner) 
REGKEY:HKCR\clsid\{b7156514-a76c-4545-9d5b-a4e1d02c7aec}
REGKEY:HKCR\interface\{582ab125-1403-42fb-9efb-198690ba1496}
REGKEY:HKCR	opsearch.tslink
REGKEY:HKCR	opsearch.tslink.1
REGKEY:HKCR	ypelib\{edd3b3e9-3ffd-4836-a6de-d4a9c473a971}
Action : mis en quarantaine
WinFixer (Misc) 
FILE:C:\Documents and Settings\RACHEL\Local Settings\TEMP\NI.UWFX5V_0001_N57M1412\setup.exe
FILE:C:\Program Files\Fichiers communs\WinFixer 2005\uwappchk.dll
FILE:C:\WINDOWS\system32\drivers\df_u42.sys
FOLDER:C:\Documents and Settings\RACHEL\Local Settings\TEMP\NI.UWFX5V_0001_N57M1412
REGKEY:HKCR	ypelib\{25bae2a9-df54-4927-af6f-9963146d11d8}
REGKEY:HKCR\interface\{d3390ae7-6f1d-464f-8921-af9a85eed316}
REGKEY:HKCR\clsid\{9f3d2a3c-d537-482b-a91b-44ee29f09c4b}
REGKEY:HKCR\uwfxcheck.uwfxcheck.1
REGKEY:HKCR\uwfxcheck.uwfxcheck
REGKEY:HKU\.default\software\microsoft\windows\currentversion\internet settings\p3p
Action : mis en quarantaine
Trojan.Win32.P2E.co (virus) 
C:\WINDOWS\P2ESOCKS_1052.0LL Action : ECHEC 
Trojan-Downloader.Win32.ConHook.hl (virus) 
C:\WINDOWS\system32\asfujwpf.0ll Action : ECHEC 
C:\WINDOWS\system32\avsovsen.0ll Action : ECHEC 
C:\WINDOWS\system32\axltltji.0ll Action : ECHEC 
C:\WINDOWS\system32\bedkcncy.dll Action : renommé
C:\WINDOWS\system32\boydotln.0ll Action : ECHEC 
C:\WINDOWS\system32\bsyqnpkr.0ll Action : ECHEC 
C:\WINDOWS\system32\bwobyjcs.dll Action : renommé
C:\WINDOWS\system32\bwqmiiap.0ll Action : ECHEC 
C:\WINDOWS\system32\bxqsakgs.0ll Action : ECHEC 
C:\WINDOWS\system32\cdvbibyd.dll Action : renommé
C:\WINDOWS\system32\ciqowriv.0ll Action : ECHEC 
C:\WINDOWS\system32\dbvuvqxs.0ll Action : ECHEC 
C:\WINDOWS\system32\dckutkab.0ll Action : ECHEC 
C:\WINDOWS\system32\ehcsldvy.0ll Action : ECHEC 
C:\WINDOWS\system32\eutwwbsl.0ll Action : ECHEC 
C:\WINDOWS\system32\evcflumd.0ll Action : ECHEC 
C:\WINDOWS\system32\farhibfw.dll Action : renommé
C:\WINDOWS\system32\fcmrvkud.0ll Action : ECHEC 
C:\WINDOWS\system32\feauelcy.dll Action : renommé
C:\WINDOWS\system32\ffgamued.0ll Action : ECHEC 
C:\WINDOWS\system32\fhvemxya.0ll Action : ECHEC 
C:\WINDOWS\system32\fiasmigx.0ll Action : ECHEC 
C:\WINDOWS\system32\fijxhpdx.0ll Action : ECHEC 
C:\WINDOWS\system32\flpfnayy.dll Action : renommé
C:\WINDOWS\system32\gbfesjpm.0ll Action : ECHEC 
C:\WINDOWS\system32\gukmthyi.dll Action : renommé
C:\WINDOWS\system32\hajsrqno.0ll Action : ECHEC 
C:\WINDOWS\system32\heffilye.dll Action : renommé
C:\WINDOWS\system32\hejucdrc.0ll Action : ECHEC 
C:\WINDOWS\system32\hfitujmv.0ll Action : ECHEC 
C:\WINDOWS\system32\hrolxnwj.0ll Action : ECHEC 
C:\WINDOWS\system32\jhlgisch.0ll Action : ECHEC 
C:\WINDOWS\system32\kbrvctgr.0ll Action : ECHEC 
C:\WINDOWS\system32\kcisfrrh.0ll Action : ECHEC 
C:\WINDOWS\system32\kfcejrss.dll Action : renommé
C:\WINDOWS\system32\kkmloqhv.0ll Action : ECHEC 
C:\WINDOWS\system32\klfshggb.0ll Action : ECHEC 
C:\WINDOWS\system32\kxtkqihr.0ll Action : ECHEC 
C:\WINDOWS\system32\lutvjcvo.dll Action : renommé
C:\WINDOWS\system32\mcdkjbdp.0ll Action : ECHEC 
C:\WINDOWS\system32\mvkhnmmm.0ll Action : ECHEC 
C:\WINDOWS\system32\mxajiiyf.0ll Action : ECHEC 
C:\WINDOWS\system32
jgqdvsb.0ll Action : ECHEC 
C:\WINDOWS\system32
tfqbmmb.0ll Action : ECHEC 
C:\WINDOWS\system32\ohyslnko.dll Action : renommé
C:\WINDOWS\system32\otynudfr.0ll Action : ECHEC 
C:\WINDOWS\system32\qobrppci.dll Action : renommé
C:\WINDOWS\system32\qowxqqkb.dll Action : renommé
C:\WINDOWS\system32\qvmofrop.dll Action : renommé
C:\WINDOWS\system32fighcsi.0ll Action : ECHEC 
C:\WINDOWS\system32\saqartje.0ll Action : ECHEC 
C:\WINDOWS\system32\sfgluags.0ll Action : ECHEC 
C:\WINDOWS\system32\sokxytxm.dll Action : renommé
C:\WINDOWS\system32\spfqqkrm.dll Action : renommé
C:\WINDOWS\system32	cxxoscn.0ll Action : ECHEC 
C:\WINDOWS\system32	ghqfcag.0ll Action : ECHEC 
C:\WINDOWS\system32\utwulevo.0ll Action : ECHEC 
C:\WINDOWS\system32\uwtxdepn.0ll Action : ECHEC 
C:\WINDOWS\system32\vgermaky.dll Action : renommé
C:\WINDOWS\system32\vyhsbbox.dll Action : renommé
C:\WINDOWS\system32\wdsliuhg.0ll Action : ECHEC 
C:\WINDOWS\system32\wuaudehe.0ll Action : ECHEC 
C:\WINDOWS\system32\wvpjjcjw.0ll Action : ECHEC 
C:\WINDOWS\system32\xbmdxqlw.0ll Action : ECHEC 
C:\WINDOWS\system32\xmwnosgv.0ll Action : ECHEC 
C:\WINDOWS\system32\xnaifoyg.0ll Action : ECHEC 
C:\WINDOWS\system32\yglllrta.0ll Action : ECHEC 
C:\WINDOWS\system32\ynlyfipk.0ll Action : ECHEC 
C:\WINDOWS\system32\__c0016CBA.0at Action : ECHEC 
C:\WINDOWS\system32\__c0018148.0at Action : ECHEC 
C:\WINDOWS\system32\__c001B599.0at Action : ECHEC 
C:\WINDOWS\system32\__c001B6D4.0at Action : ECHEC 
C:\WINDOWS\system32\__c0020E3C.0at Action : ECHEC 
C:\WINDOWS\system32\__c0023E19.0at Action : ECHEC 
C:\WINDOWS\system32\__c0026220.0at Action : ECHEC 
C:\WINDOWS\system32\__c002D9E8.0at Action : ECHEC 
C:\WINDOWS\system32\__c002EABD.0at Action : ECHEC 
C:\WINDOWS\system32\__c004D8E7.0at Action : ECHEC 
C:\WINDOWS\system32\__c004F1D6.0at Action : ECHEC 
C:\WINDOWS\system32\__c0051B31.0at Action : ECHEC 
C:\WINDOWS\system32\__c005AC3A.0at Action : ECHEC 
C:\WINDOWS\system32\__c005E41C.0at Action : ECHEC 
C:\WINDOWS\system32\__c006CB1.0at Action : ECHEC 
C:\WINDOWS\system32\__c0073A78.0at Action : ECHEC 
C:\WINDOWS\system32\__c0075CD1.0at Action : ECHEC 
C:\WINDOWS\system32\__c007F211.0at Action : ECHEC 
C:\WINDOWS\system32\__c0082C38.0at Action : ECHEC 
C:\WINDOWS\system32\__c009817E.0at Action : ECHEC 
C:\WINDOWS\system32\__c009F0A5.0at Action : ECHEC 
C:\WINDOWS\system32\__c00A642C.0at Action : ECHEC 
C:\WINDOWS\system32\__c00A89D7.0at Action : ECHEC 
C:\WINDOWS\system32\__c00AEC47.0at Action : ECHEC 
C:\WINDOWS\system32\__c00B4378.0at Action : ECHEC 
C:\WINDOWS\system32\__c00B8B39.0at Action : ECHEC 
C:\WINDOWS\system32\__c00C2959.0at Action : ECHEC 
C:\WINDOWS\system32\__c00C406F.0at Action : ECHEC 
C:\WINDOWS\system32\__c00C67C8.0at Action : ECHEC 
C:\WINDOWS\system32\__c00CD251.0at Action : ECHEC 
C:\WINDOWS\system32\__c00D0ABE.0at Action : ECHEC 
C:\WINDOWS\system32\__c00DC39E.0at Action : ECHEC 
C:\WINDOWS\system32\__c00E8A94.0at Action : ECHEC 
C:\WINDOWS\system32\__c00EA794.0at Action : ECHEC 
C:\WINDOWS\system32\__c00FD38D.0at Action : ECHEC 
C:\Documents and Settings\RACHEL\Local Settings\Temp\snmhhtad.0ll Action : ECHEC 
Backdoor.Win32.Agent.dlj (virus) 
C:\WINDOWS\system32\fnhgimsk.0ll Action : ECHEC 
C:\WINDOWS\system32	ecmscxo.0ll Action : ECHEC 
C:\WINDOWS\system32\vtbjgaqi.0ll Action : ECHEC 
Trojan.Win32.BHO.rg (virus) 
C:\WINDOWS\system32\isbmoknt.0ll Action : ECHEC 
Trojan.Win32.BHO.re (virus) 
C:\WINDOWS\system32\vjvbaiyp.0ll Action : ECHEC 
JS/Psyme.CA (virus) 
C:\Documents and Settings\RACHEL\Local Settings\Temp\Temporary Internet Files\Content.IE5\0D2RGHUJ\cr_obj[1].htm Action : ECHEC 



--------------------------------------------------------------------------------

Programme à risque détecté
Downloader.Win32.WinFixer (riskware) 
Action : mis en quarantaine


--------------------------------------------------------------------------------

Statistiques
Analysés: 
Fichiers: 126395 
Non analysés: 84 
Résultat: 
Virus: 111 
Spyware: 5 
Eléments suspects: 0 
Programme à risque: 1 
Actions: 
Nettoyés: 0 
Renommés: 18 
Supprimés: 0 
Quarantaine: 6 
Echec: 93 
Secteurs d'amorçage: 
Analysés: 1 
Infectés: 0 
Eléments suspects: 0 
Nettoyés: 0 
Fichiers non analysés: 
Erreur d'ouverture du fichier (cliquez ici pour plus d'infos) . C:\HIBERFIL.SYS
Erreur d'ouverture du fichier (cliquez ici pour plus d'infos) . C:\PAGEFILE.SYS
Erreur d'ouverture du fichier (cliquez ici pour plus d'infos) . C:\WINDOWS\TEMP\AVP43B.TMP
Erreur d'ouverture du fichier (cliquez ici pour plus d'infos) . C:\WINDOWS\TEMP\PERFLIB_PERFDATA_1AC.DAT
Erreur d'ouverture du fichier (cliquez ici pour plus d'infos) . C:\WINDOWS\TEMP\PERFLIB_PERFDATA_350.DAT
Impossible d'ouvrir le fichier dans l'archive C:\WINDOWS\TEMP\PERFLIB_PERFDATA_48C.DAT.
Impossible d'ouvrir le fichier dans l'archive C:\WINDOWS\TEMP\PERFLIB_PERFDATA_550.DAT.
Impossible d'ouvrir le fichier dans l'archive C:\WINDOWS\TEMP\QR0KHX4W.TMP.
Impossible d'ouvrir le fichier dans l'archive C:\WINDOWS\TEMP\~DF8EC4.TMP.
Impossible d'ouvrir le fichier dans l'archive C:\WINDOWS\TEMP\~DF8ECC.TMP.
Impossible d'ouvrir le fichier dans l'archive C:\WINDOWS\TEMP\~DFD917.TMP.
Impossible d'ouvrir le fichier dans l'archive C:\WINDOWS\TEMP\~DFD91F.TMP.
Impossible d'ouvrir le fichier dans l'archive C:\WINDOWS\TEMP\~DFE1B9.TMP.
Impossible d'ouvrir le fichier dans l'archive C:\WINDOWS\TEMP\~DFE1C1.TMP.
Impossible d'ouvrir le fichier dans l'archive C:\WINDOWS\SYSTEM32\BIOS1.ROM.
Impossible d'ouvrir le fichier dans l'archive C:\WINDOWS\SYSTEM32\CPRUNRYU.DLL.
Erreur d'ouverture du fichier (cliquez ici pour plus d'infos) . C:\WINDOWS\SYSTEM32\DLNKFPTG.DLL
Erreur d'ouverture du fichier (cliquez ici pour plus d'infos) . C:\WINDOWS\SYSTEM32\DXNECOPR.DLL
Impossible d'ouvrir le fichier dans l'archive C:\WINDOWS\SYSTEM32\FMMKJBCV.DLL.
Impossible d'ouvrir le fichier dans l'archive C:\WINDOWS\SYSTEM32\GGWGHIVF.DLL.
Erreur d'ouverture du fichier (cliquez ici pour plus d'infos) . C:\WINDOWS\SYSTEM32\HBFVUXBG.DLL
Impossible d'ouvrir le fichier dans l'archive C:\WINDOWS\SYSTEM32\KSCPKUQO.DLL.
Impossible d'ouvrir le fichier dans l'archive C:\WINDOWS\SYSTEM32\KUEAWJSE.DLL.
Impossible d'ouvrir le fichier dans l'archive C:\WINDOWS\SYSTEM32\LIMENECP.DLL.
Erreur d'ouverture du fichier (cliquez ici pour plus d'infos) . C:\WINDOWS\SYSTEM32\LOAOFLFJ.DLL
Impossible d'ouvrir le fichier dans l'archive C:\WINDOWS\SYSTEM32\LYBEYDID.DLL.
Erreur d'ouverture du fichier (cliquez ici pour plus d'infos) . C:\WINDOWS\SYSTEM32\MCUWPOWS.DLL
Impossible d'ouvrir le fichier dans l'archive C:\WINDOWS\SYSTEM32\MMSWXXOY.DLL.
Impossible d'ouvrir le fichier dans l'archive C:\WINDOWS\SYSTEM32\MPNICHJN.DLL.
Erreur d'ouverture du fichier (cliquez ici pour plus d'infos) . C:\WINDOWS\SYSTEM32\NDIENXXU.DLL
Erreur d'ouverture du fichier (cliquez ici pour plus d'infos) . C:\WINDOWS\SYSTEM32\NNCAKPYH.DLL
Impossible d'ouvrir le fichier dans l'archive C:\WINDOWS\SYSTEM32\PFIEWWIQ.DLL.
Impossible d'ouvrir le fichier dans l'archive C:\WINDOWS\SYSTEM32\PNGFKEDD.DLL.
Impossible d'ouvrir le fichier dans l'archive C:\WINDOWS\SYSTEM32\RGYFUIYG.DLL.
Impossible d'ouvrir le fichier dans l'archive C:\WINDOWS\SYSTEM32\SGSDQMOT.DLL.
Impossible d'ouvrir le fichier dans l'archive C:\WINDOWS\SYSTEM32\SVRMJUOX.DLL.
Impossible d'ouvrir le fichier dans l'archive C:\WINDOWS\SYSTEM32\TGRBKTQU.DLL.
Erreur d'ouverture du fichier (cliquez ici pour plus d'infos) . C:\WINDOWS\SYSTEM32\UDBOERWT.DLL
Erreur d'ouverture du fichier (cliquez ici pour plus d'infos) . C:\WINDOWS\SYSTEM32\USHWAQLH.DLL
Impossible d'ouvrir le fichier dans l'archive C:\WINDOWS\SYSTEM32\UYAUFCNM.DLL.
Impossible d'ouvrir le fichier dans l'archive C:\WINDOWS\SYSTEM32\VXSNSTIP.DLL.
Impossible d'ouvrir le fichier dans l'archive C:\WINDOWS\SYSTEM32\WASTDOML.DLL.
Impossible d'ouvrir le fichier dans l'archive C:\WINDOWS\SYSTEM32\WVWWOSMU.DLL.
Impossible d'ouvrir le fichier dans l'archive C:\WINDOWS\SYSTEM32\XIIOIDOA.DLL.
Impossible d'ouvrir le fichier dans l'archive C:\WINDOWS\SYSTEM32\XUGKQIUU.DLL.
Impossible d'ouvrir le fichier dans l'archive C:\WINDOWS\SYSTEM32\YMCTMJMC.DLL.
Erreur d'ouverture du fichier (cliquez ici pour plus d'infos) . C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
Erreur d'ouverture du fichier (cliquez ici pour plus d'infos) . C:\WINDOWS\SYSTEM32\CONFIG\SAM
Erreur d'ouverture du fichier (cliquez ici pour plus d'infos) . C:\WINDOWS\SYSTEM32\CONFIG\SECURITY
Erreur d'ouverture du fichier (cliquez ici pour plus d'infos) . C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM
Erreur d'ouverture du fichier (cliquez ici pour plus d'infos) . C:\WINDOWS\SYSTEM32\CATROOT2\EDB.LOG
Erreur d'ouverture du fichier (cliquez ici pour plus d'infos) . C:\WINDOWS\SYSTEM32\CATROOT2\TMP.EDB
Impossible d'ouvrir le fichier dans l'archive bios1.rom.
L'analyse de C:\WINDOWS\I386\DRIVER.CAB a été interrompue. [F-Secure AVP]
Erreur d'ouverture du fichier (cliquez ici pour plus d'infos) . C:\RECYCLER\S-1-5-21-2289637367-337517637-1739010885-1007\DC3.LNK
Erreur d'ouverture du fichier (cliquez ici pour plus d'infos) . C:\PROGRAM FILES\PACK SECURITE\COMMON\POLICY.IPF
Impossible d'ouvrir le fichier dans l'archive C:\PROGRAM FILES\DISNEY INTERACTIVE\CP AVEC DISNEY LE LIVRE DE LA JUNGLE\DIR\SRM_RECIPE01.PICT.
Impossible d'ouvrir le fichier dans l'archive C:\PROGRAM FILES\DISNEY INTERACTIVE\CP AVEC DISNEY LE LIVRE DE LA JUNGLE\DIR\SRM_RECIPE02.PICT.
Impossible d'ouvrir le fichier dans l'archive C:\PROGRAM FILES\DISNEY INTERACTIVE\CP AVEC DISNEY LE LIVRE DE LA JUNGLE\DIR\SRM_RECIPE03.PICT.
Impossible d'ouvrir le fichier dans l'archive C:\PROGRAM FILES\DISNEY INTERACTIVE\CP AVEC DISNEY LE LIVRE DE LA JUNGLE\DIR\SRM_RECIPE04.PICT.
Impossible d'ouvrir le fichier dans l'archive C:\PROGRAM FILES\DISNEY INTERACTIVE\CP AVEC DISNEY LE LIVRE DE LA JUNGLE\DIR\SRM_RECIPE05.PICT.
Erreur d'ouverture du fichier (cliquez ici pour plus d'infos) . C:\DOCUMENTS AND SETTINGS\RACHEL\NTUSER.DAT
Impossible d'ouvrir le fichier dans l'archive C:\DOCUMENTS AND SETTINGS\RACHEL\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\W41JW917\2008-02-24T172859Z_01_NOOTR_RTRIDSP_1_OFRSP-TENNIS-DOHA-20080224[1].JPG.
Impossible d'ouvrir le fichier dans l'archive C:\DOCUMENTS AND SETTINGS\RACHEL\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\W41JW917\2008-02-24T183906Z_01_NOOTR_RTRIDSP_1_OFRSP-FOOTBALL-ANGLETERRE-LEAGUE-20080224[1].JPG.
Impossible d'ouvrir le fichier dans l'archive C:\DOCUMENTS AND SETTINGS\RACHEL\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\S1OFSZWN\2008-02-24T184453Z_01_NOOTR_RTRIDSP_1_OFRIN-FRANCE-SARKOZY-INSULTE-TP-20080224[1].JPG.
Impossible d'ouvrir le fichier dans l'archive C:\DOCUMENTS AND SETTINGS\RACHEL\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\S1OFSZWN\9A36AC225381AF717097B763AAC5DF5F[1].GIF.
Impossible d'ouvrir le fichier dans l'archive C:\DOCUMENTS AND SETTINGS\RACHEL\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\QKKR5XKD\0000005552_000000000000000527206[1].GIF.
Impossible d'ouvrir le fichier dans l'archive C:\DOCUMENTS AND SETTINGS\RACHEL\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\QKKR5XKD\32[1].GIF.
Impossible d'ouvrir le fichier dans l'archive C:\DOCUMENTS AND SETTINGS\RACHEL\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\QKKR5XKD\VID1015[1].JPG.
Impossible d'ouvrir le fichier dans l'archive C:\DOCUMENTS AND SETTINGS\RACHEL\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\KJ57U6B1\118348[1].JPG.
Impossible d'ouvrir le fichier dans l'archive C:\DOCUMENTS AND SETTINGS\RACHEL\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\KJ57U6B1\CMP638[2].
Impossible d'ouvrir le fichier dans l'archive C:\DOCUMENTS AND SETTINGS\RACHEL\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\KHQFSLAN\118007[1].JPG.
Impossible d'ouvrir le fichier dans l'archive C:\DOCUMENTS AND SETTINGS\RACHEL\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\IJILET0H\VID1016[1].JPG.
Impossible d'ouvrir le fichier dans l'archive C:\DOCUMENTS AND SETTINGS\RACHEL\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\CVXBMYFL\2008-02-24T165730Z_01_NOOTR_RTRIDSP_1_OFRSP-FOOTBALL-PSG-20080224[1].JPG.
Impossible d'ouvrir le fichier dans l'archive C:\DOCUMENTS AND SETTINGS\RACHEL\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\A10JMHA5\3630_FR_S[1].JPG.
Impossible d'ouvrir le fichier dans l'archive C:\DOCUMENTS AND SETTINGS\RACHEL\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\A10JMHA5\BWBRT596KDXDNVTC9KWTQE9SCBNS6DN8[1].JPG.
Impossible d'ouvrir le fichier dans l'archive C:\DOCUMENTS AND SETTINGS\RACHEL\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\29D2FEP0\118128[1].JPG.
Impossible d'ouvrir le fichier dans l'archive C:\DOCUMENTS AND SETTINGS\RACHEL\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\1N3JXDG2\CMP638[1].
Impossible d'ouvrir le fichier dans l'archive C:\DOCUMENTS AND SETTINGS\RACHEL\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\0XYNGX6R\118073[1].JPG.
Impossible d'ouvrir le fichier dans l'archive C:\DOCUMENTS AND SETTINGS\RACHEL\LOCAL SETTINGS\TEMP\DIXSMLLS.DLL.
Impossible d'ouvrir le fichier dans l'archive C:\DOCUMENTS AND SETTINGS\RACHEL\LOCAL SETTINGS\TEMP\UIJPBXGF.DLL.
Impossible d'ouvrir le fichier dans l'archive C:\DOCUMENTS AND SETTINGS\RACHEL\LOCAL SETTINGS\TEMP\XYAILQHW.DLL.
Erreur d'ouverture du fichier (cliquez ici pour plus d'infos) . C:\DOCUMENTS AND SETTINGS\RACHEL\LOCAL SETTINGS\TEMP\~DFD02B.TMP
Erreur d'ouverture du fichier (cliquez ici pour plus d'infos) . C:\DOCUMENTS AND SETTINGS\RACHEL\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\USRCLASS.DAT


--------------------------------------------------------------------------------

Options
Version des définitions:
Virus: 2008-02-26_06 
Spyware: 2008-02-26_05 
Moteurs d'analyse :
F-Secure AVP: 7.00.171, 2008-02-26 
F-Secure Libra: 2.04.01, 2008-02-21 
F-Secure Orion: 1.02.37, 2008-02-26 
F-Secure Draco: 1.00.35, 2008-02-13 
F-Secure BlackLight: 1.00.64 
Options d'analyse : 
Analyser tous les fichiers 
Analyser le contenu des archives 
Exclus :
Objets : c:\WINDOWS\system32\pctfbwjo.dat c:\WINDOWS\system32\pctfbwjo_nav.dat c:\WINDOWS\system32\pctfbwjo_navps.dat 
Actions:
Virus: Nettoyer les fichiers infectés 
Spyware: Mettre en quarantaine et supprimer 
Afficher les éléments suspects après vérification complète de l'ordinateur 

--------------------------------------------------------------------------------

Erreur d'informations
Une erreur "Impossible d'ouvrir le fichier" s'est produite :
Le message d'erreur "Impossible d'ouvrir le fichier" signifie que le moteur d'analyse n'a pas pu ouvrir de fichier et que ce dernier n'a pas pu être analysé. Vous pouvez généralement ignorer ce message d'erreur car il peut être dû à de nombreuses causes autres qu'une menace de sécurité, notamment : 
Le fichier est un fichier système. Par principe, les fichiers système sont protégés par le système d'exploitation. Dans ce cas, ignorez le message. 
Vous n'êtes pas autorisé à lire le fichier. Pour analyser le fichier, connectez-vous avec un compte utilisateur disposant des autorisations suffisantes (le compte administrateur de l'ordinateur par exemple) et réexécutez l'analyse. 
Le fichier était utilisé par une application pendant la tentative d'analyse. Pour l'analyser, fermez toutes les applications et réessayez. 

--------------------------------------------------------------------------------

Copyright © 1998-2007 Assistance produit | Envoi d'un échantillon de virus à F-Secure
F-Secure n'assume aucune responsabilité quant au matériel créé ou publié par une tierce partie et référencé par un lien dans les pages Web de F-Secure. Sauf mention contraire explicite, vous acceptez qu'en soumettant du matériel sur l'un de nos serveurs, par exemple via courrier électronique ou formulaire CGI de F-Secure, le matériel mis à disposition peut dès lors être publié sur les pages Web de F-Secure ou sur support papier. Vous accéderez au site web public de F-Secure en cliquant sur les liens soulignés. Ainsi, votre accès est enregistré dans nos statistiques privées avec votre nom de domaine. Ces informations ne sont communiquées à aucune tierce partie. Vous vous engagez à ne pas intenter de procédure judiciaire contre notre société en relation avec le matériel soumis. Sauf mention contraire explicite, F-Secure peut inclure dans ses propres produits/publications tout concept relatif au matériel mis à sa disposition, sans aucun engagement de responsabilité.

Saiyen75 · Answer

Salut

Est ce que tu utilise une version payante de F-Secure ?

Saiyen75 · Answer

Oui certainement, 

Fais un scan en ligne avec Kaspersky : 

/!\ Le scan ne marche que sous Internet Explorer. /!\

https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr 

NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.-- 

- Sous Démonstration en ligne, on t'explique la marche à suivre, et pour lancer le scan il faut sélectionner < Exécuter l'analyse en ligne >. 

- On va te demander de télécharger un contôle active x, accepte . 
- Dans le menu Choisissez la cible de l'analyse, sélectionne Poste de travail. Le scan va commencer. 
- Poste le rapport dans le forum. 
S'il y a un problème, assure toi que les contrôles active x sont bien configurés dans les options internet comme décrit sur ce lien : http://www.inoculer.com/activex.php3 
Rappel : le scan est à faire sous Internet Explorer 

_____________________________________________________

Saiyen75 · Answer

C'est pas grave, on va avancer :

ComboFix :

Télécharge combofix.exe(par sUBs) sur ton Bureau : 

http://download.bleepingcomputer.com/sUBs/ComboFix.exe 

* Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.
* Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent géner fortement la procédure de recherche et de nettoyage de l'outil. 



Une fois fait, sur ton bureau double-clic sur Combofix.exe. 

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc. 

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes. /!\

- En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire. 

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt) 

* Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. 

* Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message. 

_____________________________________________________

Saiyen75 · Answer

Ok bien reçu,

J'attend le ComboFix.

++

Saiyen75 · Answer

Repost moi un nouveau HijackThis s'il te plait.

Merci

Astrid · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:35:57, on 06/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Pack Securite\Anti-Virus\fsgk32st.exe
C:\Program Files\Pack Securite\Common\FSMA32.EXE
C:\Program Files\Pack Securite\Anti-Virus\FSGK32.EXE
C:\Program Files\Pack Securite\Common\FSMB32.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Pack Securite\Common\FCH32.EXE
C:\Program Files\Pack Securite\Common\FAMEH32.EXE
C:\Program Files\Pack Securite\Anti-Virus\fsqh.exe
C:\Program Files\Pack Securite\FSPC\fspc.exe
C:\Program Files\Pack Securite\FSAUA\program\fsaua.exe
C:\Program Files\Pack Securite\FWES\Program\fsdfwd.exe
C:\Program Files\Pack Securite\FSAUA\program\fsus.exe
C:\Program Files\Pack Securite\Common\FSM32.EXE
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Pack Securite\FSGUI\fsguidll.exe
C:\Program Files\Pack Securite\Anti-Virus\fsav32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Pack Securite\FSGUI\fsavgui.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Pack Securite\Anti-Virus\fssm32.exe
C:\CCM.exe\CCM.exe.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\Pack Securite\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\Pack Securite\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [BitTorrent] "C:\Program Files\BitTorrent\bittorrent.exe" --force_start_minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Parental... - {200DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program Files\Pack Securite\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Program Files\Pack Securite\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: Parental... - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Program Files\Pack Securite\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Program Files\Pack Securite\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Program Files\Pack Securite\FSAUA\program\fsaua.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\Pack Securite\FWES\Program\fsdfwd.exe
O23 - Service: FSMA - F-Secure Corporation - C:\Program Files\Pack Securite\Common\FSMA32.EXE
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O24 - Desktop Component 0: (no name) - http://a2.g.akamai.net/f/2/1688/1h/www.tv-radio.com/player/images/blank.gif
O24 - Desktop Component 1: (no name) - http://www.europe2.fr/img/header/logo.gif

Saiyen75 · Answer

Re

Fixe les lignes dans Hijackthis :

Relance HijackThis, choisis  "do a scan only"  coche la case devant les lignes ci-dessous et clic en bas sur "fix checked". 

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime 
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime 

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL') 
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU') 
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') 
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') 



S'il te demande un redémarrage, relance ton PC.
_____________________________________________________

Télécharger et installer CCleaner. 

Ccleaner on CCM


Clique sur Options, Avancé et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". 
Ne touche pas aux autres réglages. 
Lancer un nettoyage et répare 3 fois les erreurs 
sans installer la barre yahoo.

Aprés, va dans l'onglet Registre puis cherche les erreurs
une fois terminé, Répare les erreurs selectionnées

_____________________________________________________

++

Saiyen75 · Answer

Re

Comment se comporte ton PC en ce moment ?
De nouvelles Alertes ?

Saiyen75 · Answer

Salut Astrid

Ton Log HijackThis parait propre,
on va faire un petit test Online pour voir :

bitdefender en ligne : 

Utilise Internet Explorer
accepte l'active X
la barre anti pop-up du SP2 (en haut) se met à clignoter, clic dessus et choisis "accepter l'active X"

http://www.bitdefender.fr/scan_fr/scan8/ie.html 

- Cliquer sur J'accepte
- Start Scan
- Une fois terminé, Dans l'onglet "Problèmes détectés"
- "Cliquer ici pour exporter le rapport"
- Enregistrer sur le bureau (choisir un nom)
- Fermer le scan
- Ouvrir le fichier enregistré le copier/coller sur le forum.

_____________________________________________________

Saiyen75 · Answer

Salut

Repost moi un log hijackthis s'il te plait.

++

Saiyen75 · Answer

Salut,

Tu va faire un test avec Panda, ton hijackthis est propre. Donc on va voir :

Fait un test Panda online :

Lance le avec Internet Explorer.

http://pandasoftware.fr 

- Clique sur Analyser Maintenant
- Selectionner Analyse Complete
- Puis Analyser maintenant
- Installer
- Copier/Coller le rapport à la fin de l'analyse.

_____________________________________________________

++

Saiyen75 · Answer

Re

- Télécharger et installer AVG Anti-Spyware 7.5 (si tu ne l'as pas déjà et si tu l'as, vérifie bien les paramètres "rapports").

https://www.avg.com/en-ww/free-antivirus-download 

Lancer AVG Anti-Spyware. 
Cliquer sur le menu Mise à jour. 
Dans le paragraphe "Mise à jour manuelle", cliquer sur le bouton "Commencer la mise à jour". 
Attendre la fin de cette mise à jour puis fermer le programme. 


- Lance AVG Anti-Spyware 7.5 

Cliquer sur le menu" Analyse" (de la barre d'outils). 
Cliquer sur l'onglet "Paramètres". 
Dans "Comment réagir"? cliquer sur "Actions recommandées" et choisir "Quarantaine". 
Dans Comment faire l'analyse ? et dans Programmes potentiellement dangereux, vérifier que toutes les cases soient cochées. 
Dans "Rapports" vérifier que la case "Générer un rapport après chaque analyse" soit aussi coché. 
Dans l'onglet "Analyse" 
Cliquer sur "Analyse complète du système". 
Important : Ne pas ouvrir de fenêtre, ne pas lancer de programme pendant l'exécution de AVG Anti-Spyware, car cela pourrait interférer avec le processus de recherche. 
Très important : A la fin de l'analyse, cocher tout ce qui a été trouvé puis cliquer sur " Appliquer toutes les actions" 
Ensuite. 
Cliquer sur "Enregistrer le rapport". Ceci génère un rapport en fichier texte qui se trouve dans le dossier Reports du dossier d'AVG Anti-Spyware. 
(C:\Programfiles\Grisoft\AVG Antispyware 7.5\Reports ) 
Puis fermer AVG Anti-Spyware. 

_____________________________________________________

Puis aprés :

Pour les Antispy, je te conseil en premier cas :

Spybot 1.5.2 : 
Spybot on CCM

** Attention **  de ne pas cocher "TeaTimer" lors de l'installation.

puis aprés,

Ad-Aware : 
AD-Aware 2007 on CCM

(l'un, l'autre, ou les deux)

_____________________________________________________

++

Saiyen75 · Answer

Salut,

Bien rien de bien méchant, 

OTMoveIt :

Télécharger sur le bureau :
http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe

= Copier le texte en gras: 

C:\WINDOWS\system32\loaoflfj.dll
C:\WINDOWS\system32\hbfvuxbg.dll 
C:\WINDOWS\system32\dxnecopr.dll 
C:\Documents and Settings\THEO\Local Settings\Temporary Internet Files\Content.IE5\I5O144AJ\install_fr[1].exe
C:\WINDOWS\system32\pctfbwjo.0xe 
C:\WINDOWS\system32\ushwaqlh.dll
C:\WINDOWS\system32\mcuwpows.dll 
C:\Documents and Settings\THEO\Local Settings\Temporary Internet Files\Content.IE5\384DYGQS\mosx1024[1]
C:\WINDOWS\system32\dlnkfptg.dll
C:\WINDOWS\system32
dienxxu.dll
C:\WINDOWS\system32
ncakpyh.dll
C:\program files
eed2find

= Double-clic sur OTMoveIt.exe 
= Dans le cadre de Gauche ==> clic-droit ==> coller 
= Clic MoveIt! 
= si redémarrage demandé==> Clic : YES 
= Un rapport dans ==> C:\_OTMoveIt\MovedFiles\date du jour à copier/coller sur le forum.
------- 

redemarre le PC

_____________________________________________________

Saiyen75 · Answer

Salut

* Désactivation Restauration Système : 
Cliquer droit sur le "Poste de travail" > Propriétés > onglet "Restauration du système" > cocher la case "Désactiver la Restauration du système sur tous les lecteurs" 
> Appliquer patiente jusqu a que cela soit marqué "désactivée" puis Ok. 
> Redémarre ton PC.

Ensuite :

bitdefender en ligne : 

Utilise Internet Explorer
accepte l'active X
la barre anti pop-up du SP2 (en haut) se met à clignoter, clic dessus et choisis "accepter l'active X"

http://www.bitdefender.fr/scan_fr/scan8/ie.html 

- Cliquer sur J'accepte
- Start Scan
- Une fois terminé, Dans l'onglet "Problèmes détectés"
- "Cliquer ici pour exporter le rapport"
- Enregistrer sur le bureau (choisir un nom)
- Fermer le scan
- Ouvrir le fichier enregistré le copier/coller sur le forum.

_____________________________________________________

Poste le rapport bitDefender puis réactive la restauration systeme.

* Activation : 
Suivre le même chemin ; décocher la case "Désactiver la Restauration du système sur tous les lecteurs" 
> Appliquer attends que cela soit a nouveau sur "surveillance" puis Ok. Redémarrer l'ordinateur...

++

Saiyen75 · Answer

Salut

Ok, ton antivirus detecte certainement des fichiers mis en quarantaine par d'autre, déja pour commencer, tu vas faire ce qui suis, si ta restauration systeme est déja sur désactiver, passer directement à la réactivation :

* Désactivation : 
Cliquer droit sur le "Poste de travail" > Propriétés > onglet "Restauration du système" > cocher la case "Désactiver la Restauration du système sur tous les lecteurs" 
> Appliquer patiente jusqu a que cela soit marqué "désactivée" puis Ok. 

* Activation : 
Suivre le même chemin ; décocher la case "Désactiver la Restauration du système sur tous les lecteurs" 
> Appliquer attends que cela soit a nouveau sur "surveillance" puis Ok. Redémarrer l'ordinateur...

Tu as fréquement les alertes ?

++

Saiyen75 · Answer

Salut,

Au vu du rapport HijackThis et bitDefender tu n'es plus infecté, Panda detecte apparement quelque reste, a voir si c'est réellement néfaste.
Pour le moment si tu n'as plus d'alerte c'est trés bon sgine :D
Si tu veux, attend encore quelques jours pour voir ce que ça donne, enfin si jamais tu as du nouveau, tiens moi a courrant on repassera un coup de néttoyage.


++

Virtumonde

35 réponses

Votre réponse

Newsletters