infesté de vers au secours!!

Question

Bonjour,
je suis infesté de vers!!le worm python lesta A et le worm Tenga qui me bouffe tous mes fichiers .exe!!!j'ai nod 32 et avast j'ai telechagé hijackthis ad aware et multiplié les scans en ligne(bitdefender kapersky secuser.com...)je suis certainement pas doué!!aidez moi s'il vous plait

booddha · Answer

Appliquer exactement les procédures indiquées.
Rester devant la machine en rafraichissant souvent le forum pour voir les nouvelles réponses.
Répondre sans attendre à toutes les questions posées
Ne pas quitter tant qu'il n'est pas dit explicitement que le problème est résolu ou qu'il
dépasse les compétences de celui ou ceux qui vous aident.


===================== CCLEANER ========================

Nettoyage avec CCleaner
On va commencer par faire un peu le ménage

	•	Télécharger CCLeaner et l'installer sur le bureau en refusant l'installation de la barre Yahoo.
	        http://download.piriform.com/ccsetup205.exe
	•	Fermer toutes les applications
	•	Lancer CCLeaner
	        S'il n'est pas en Français cliquer sur Options, Setting, Language 
          et sélectionner Français
	•	cocher dans le menu Nettoyeur - onglet Windows :
	        Internet Explorer: Fichiers Internet Temporaires, Cookies
	•	Système: Vider la Poubelle, Fichiers Temporaires, Presse-papiers
	•	Avancé: Vieilles données du Prefetch
	•	Décocher dans le menu Options - sous-menu Avancé :
	        Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures
	•	Cocher dans le menu Nettoyeur - onglet Applications : Internet: Sun Java
	•	Cocher , si cela est possible, dans le menu Nettoyeur - onglet Applications :
	        Firefox/Mozilla: Cache Internet, Cookies 
	•	Click sur Analyse
	•	Click sur le bouton Lancer le nettoyage dans le menu Nettoyeur. 
	•	Click sur Registre
	•	Sélectionner tout
	•	Click sur Chercher des erreurs (En bas)

	Une fois le scan terminé sélectionner tout  
	•	Click sur Réparer les erreurs sélectionnées

Annoncer ici la fin de l'opération. Ce n'est pas la fin de la procédure.

jacques.gache · Answer

bonsoir, tu dis avoir nod32 et avast deux anti-virus tu en as un de trop il y a risque de conflit désinstalle s'en un , et tous ce que tu as essaié n'a pas marché? passe spybot https://www.malekal.com/spybot-search-destroy-proteger-desinfecter-pc-virus/ et passe Ccleaner dans c'est deux modes https://www.malekal.com/tutoriel-ccleaner/  lis tout cela et mets en oeuvre et refais un scane antivirus http://www.commentcamarche.net/faq/sujet 8872 scanner en ligne avec bitdefender  et dis nous ce qui te trouve et qui ne peux pas supprimer les noms exacte pour que l'on trouve un logiciel adéquat @+

booddha · Answer

Grave on n'en sait rien, pour l'instant on te prépare

Suis la procédure de jacques au-dessus. Mais avant

HijackThis

	•	Télécharger HijackThis ici http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
	•	Installer HijackThis dans un répertoire dédié NON Temporaire 
    (afin de conserver les sauvegardes qu'il fait) et en le renommant Monjack
	•	Fermer toutes les applications
	•	Lancer hitjackthis
	•	Click sur Do a system scan and save a logfile

Un rapport en fichier text va s'ouvrir.
Le copier et le coller sur le forum

booddha · Answer

Voila un lien pour spy bot

https://www.safer-networking.org/

Télécharge, installe et laisse toi guider

Troy · Answer

BitDefender n'a pas pu mettre a jour les definitions de virus.
Bien qu'il soit possible de rechercher des virus,le resultat sera probablement imprecis.

Voulez vous commencer l'analyse?
voila ce que medit bit defender scan online!avant de demarrer!??je lance le scan

booddha · Answer

Oui

Troy · Answer

spybot verifie...

booddha · Answer

Voila un lien pour spy bot

https://www.safer-networking.org/

Télécharge, installe et laisse toi guider

booddha · Answer

Voilà un tutorial pour l'installer et l'utiliser

https://forums.cnetfrance.fr

booddha · Answer

Essaye de mettre les messages les uns au dessous des autres. Sinon on ne comprend plus rien à la file.

Troy · Answer

lol desolé ;)!spybot a bientot fini dici 2 ou 3 mn

Troy · Answer

3 problemes corrigés 
Doubleclick
MediaPlex
WebTrends live

booddha · Answer

Je ne vois rien dans ton rapport qui fait penser à une infection.

Quelles sont les symptomes et quels logiciels te les a signaler?

Troy · Answer

nod 32 trouve worm python lesta A ds le dossier E:\pamela et XXX.folder 
et il trouve aussi worm Tenga dans des fichiers .exe tels que VLC ou des jeux et ensuite ces .exe ont disparus!

booddha · Answer

nod 32 trouve worm python lesta A ds le dossier E:\pamela et XXX.folder
=================
XXX.folder et sur E aussi ?

et il trouve aussi worm Tenga dans des fichiers .exe tels que VLC ou des jeux et ensuite ces .exe ont disparus!
=================
S'ils ont disparus c'est que Nod les à mis en quarantaine ou les a supprimé.


Quand tu as scanné avec bitdefender tu lui as demandé de scanner E aussi ?

E c'est quoi, un disque amovible?

Troy · Answer

E: c'est un disque local que j'ai partitionné quand j'ai installé l'ordi ya C et E euh j'ai pas fai gaffe je refai le scan on line?

Troy · Answer

rien dans E non plus!mais sache que je l'ai supprimé manuellement le dossier pamela par la corbeille avan tout ca mais il revient chaque jour!!

booddha · Answer

Tu as beaucoup de choses sur E ?

Des choses indispensables ailleurs que dans le dossier Pamela ?

Troy · Answer

ben disons que la plupart des applications que j'ai installé sur mon pc est dedans mais le dossier pamela je l'ai jamai créé il apparait tt seul avec deux ou trois fichiers bizarres et je le supprime et il revient...

booddha · Answer

Combofix

Installer ComboFix http://download.bleepingcomputer.com/sUBs/ComboFix.exe 
sur le bureau

	•	Double click sur l'icône qui s'est installé sur ton bureau :
	•	Appuyer sur la touche 1 puis sur entrée:
	•	Laisser Combofix travailler
	•	Un rapport va être générer, le copier/coller sur le forum
	
Note :
Le serveur de téléchargement peut être en surcharge et renvoyer une page d'erreur. Il faut insister.

Ce n'est pas la fin du déverminage

Troy · Answer

ComboFix 08-02-25.3 - Propriétaire 2008-02-29 2:53:14.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.1441 [GMT 1:00]
Endroit: C:\Documents and Settings\Propriétaire\Bureau\ComboFix.exe

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

((((((((((((((((((((((((((((( Fichiers créés 2008-01-28 to 2008-02-29 ))))))))))))))))))))))))))))))))))))
.

2008-02-29 01:52 . 2008-02-29 01:52 <REP> d-------- C:\Program Files\Spybot - Search & Destroy
2008-02-28 13:42 . 2008-02-28 13:42 <REP> d-------- C:\WINDOWS\report
2008-02-28 13:42 . 2008-02-28 13:40 35,184,593 --a------ C:\WINDOWS\LPT$VPN.127
2008-02-28 13:40 . 2008-02-28 13:40 <REP> d-------- C:\WINDOWS\AU_Backup
2008-02-28 13:40 . 2008-02-28 13:40 35,184,593 --a------ C:\WINDOWS\VPTNFILE.127
2008-02-28 13:40 . 2008-02-28 13:40 1,922,894 --a------ C:\WINDOWS\tsc.ptn
2008-02-28 13:40 . 2008-02-28 13:40 1,163,344 --a------ C:\WINDOWS\vsapi32.dll
2008-02-28 13:40 . 2008-02-28 13:40 267,845 --a------ C:\WINDOWS\tsc.exe
2008-02-28 13:40 . 2008-02-28 13:40 86,094 --a------ C:\WINDOWS\BPMNT.dll
2008-02-28 13:40 . 2008-02-28 13:40 71,749 --a------ C:\WINDOWS\hcextoutput.dll
2008-02-28 13:40 . 2008-02-28 14:29 823 --a------ C:\WINDOWS\tsc.ini
2008-02-28 13:25 . 2008-02-28 13:40 <REP> d-------- C:\WINDOWS\AU_Temp
2008-02-28 13:25 . 2008-02-28 13:25 <REP> d-------- C:\WINDOWS\AU_Log
2008-02-28 13:25 . 2008-02-28 13:25 507,904 --a------ C:\WINDOWS\TMUPDATE.DLL
2008-02-28 13:25 . 2008-02-28 13:25 286,720 --a------ C:\WINDOWS\PATCH.EXE
2008-02-28 13:25 . 2008-02-28 13:25 69,689 --a------ C:\WINDOWS\UNZIP.DLL
2008-02-28 13:25 . 2008-02-28 13:25 170 --a------ C:\WINDOWS\GetServer.ini
2008-02-28 12:46 . 2008-02-28 12:46 <REP> d-------- C:\Program Files\Alwil Software
2008-02-28 12:46 . 2003-03-18 21:20 1,060,864 --a------ C:\WINDOWS\system32\MFC71.dll
2008-02-28 12:34 . 2008-02-28 12:34 <REP> d-------- C:\Program Files\Trend Micro
2008-02-28 12:20 . 2008-02-28 12:20 <REP> d-------- C:\WINDOWS\Desktop
2008-02-28 12:20 . 2008-02-28 12:20 <REP> d-------- C:\Program Files\Plus!
2008-02-28 10:48 . 2008-02-28 23:54 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft
2008-02-28 10:20 . 2008-02-29 02:04 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-02-26 19:06 . 2007-06-08 09:44 8,576 --a------ C:\WINDOWS\system32\drivers\pqgaggvtqkjc.sys
2008-02-26 18:56 . 2007-06-08 09:44 8,576 --a------ C:\WINDOWS\system32\drivers\nokqiliugydh.sys
2008-02-26 18:46 . 2008-02-28 12:55 <REP> d-------- C:\WINDOWS\system32\ActiveScan
2008-02-26 18:46 . 2008-02-26 19:05 30,590 --a------ C:\WINDOWS\system32\pavas.ico
2008-02-26 18:46 . 2008-02-26 19:05 2,550 --a------ C:\WINDOWS\system32\Uninstall.ico
2008-02-26 18:46 . 2008-02-26 19:05 1,406 --a------ C:\WINDOWS\system32\Help.ico
2008-02-26 18:17 . 2008-02-29 02:40 <REP> d-------- C:\WINDOWS\BDOSCAN8
2008-02-25 13:36 . 2008-02-25 13:36 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Yahoo! Companion
2008-02-25 12:49 . 2008-02-25 12:49 <REP> d-------- C:\Program Files\Yahoo!
2008-02-23 17:46 . 2008-02-23 17:46 107,888 --a------ C:\WINDOWS\system32\CmdLineExt.dll
2008-02-21 23:44 . 2008-02-21 23:44 <REP> d-------- C:\Program Files\UxTheme Multipatcher Fr
2008-02-21 21:39 . 2008-02-21 21:39 <REP> d-------- C:\Program Files\DartyBox Wifi
2008-02-21 21:39 . 2008-02-21 21:39 <REP> d-------- C:\Documents and Settings\Propriétaire\Application Data\InstallShield
2008-02-21 21:39 . 2007-01-16 13:52 450,560 --a------ C:\WINDOWS\system32\drivers\WlanBZXP.sys
2008-02-21 21:39 . 2007-01-16 13:52 102,400 --a------ C:\WINDOWS\system32\W32N55.DLL
2008-02-21 21:39 . 2007-01-16 13:52 20,608 --a------ C:\WINDOWS\system32\drivers\BRGSp50.sys
2008-02-21 21:39 . 2007-01-16 13:52 17,664 --a------ C:\WINDOWS\system32\drivers\ZDPSp50.sys
2008-02-21 21:39 . 2007-01-16 13:52 1,162 --a------ C:\WINDOWS\system32\W32N55.INI
2008-02-20 00:00 . 2008-02-20 00:00 <REP> d-------- C:\Documents and Settings\Propriétaire\Application Data\DivX
2008-02-19 07:28 . 2008-02-19 07:28 268 --ah----- C:\sqmdata01.sqm
2008-02-19 07:28 . 2008-02-19 07:28 244 --ah----- C:\sqmnoopt01.sqm
2008-02-19 00:37 . 2008-02-19 00:37 268 --ah----- C:\sqmdata00.sqm
2008-02-19 00:37 . 2008-02-19 00:37 244 --ah----- C:\sqmnoopt00.sqm
2008-02-18 23:21 . 2008-02-18 23:21 <REP> d-------- C:\WINDOWS\system32\LogFiles
2008-02-18 23:21 . 2008-02-18 23:21 <REP> d-------- C:\WINDOWS\system32\drivers\UMDF
2008-02-18 23:21 . 2008-02-18 23:21 <REP> d-------- C:\Program Files\Windows Media Connect 2
2008-02-18 22:47 . 2008-02-27 21:19 <REP> d-------- C:\Documents and Settings\Propriétaire\Contacts
2008-02-18 22:47 . 2008-02-27 21:19 <REP> d-------- C:\Documents and Settings\Propriétaire\Contacts
2008-02-18 22:47 . 2008-02-18 22:47 <REP> d-------- C:\Documents and Settings\Propriétaire\Application Data\vlc
2008-02-18 22:43 . 2008-02-18 22:46 <REP> d-------- C:\Program Files\Windows Live
2008-02-18 22:43 . 2008-02-18 22:46 <REP> d--hsc--- C:\Program Files\Fichiers communs\WindowsLiveInstaller
2008-02-18 22:43 . 2008-02-18 22:43 <REP> d-------- C:\Documents and Settings\All Users\Application Data\WLInstaller
2008-02-18 22:05 . 2008-02-25 08:01 <REP> d-------- C:\Documents and Settings\Propriétaire\Application Data\Azureus
2008-02-18 22:05 . 2008-02-18 22:05 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Azureus
2008-02-18 21:33 . 2008-02-18 21:33 107,134 --a------ C:\WINDOWS\UninstallFirefox.exe
2008-02-18 21:33 . 2008-02-18 21:33 0 --a------ C:\WINDOWS\nsreg.dat
2008-02-18 21:32 . 2008-02-18 22:24 2,942 --a------ C:\WINDOWS\mozver.dat
2008-02-18 20:41 . 2008-02-18 20:41 <REP> d-------- C:\Documents and Settings\Propriétaire\Application Data\AdobeUM
2008-02-18 20:36 . 2008-02-18 20:36 <REP> d--hs---- C:\WINDOWS\ftpcache
2008-02-18 20:36 . 2008-02-18 20:36 <REP> d-------- C:\Program Files\Free
2008-02-14 20:59 . 2008-02-14 20:59 <REP> d-------- C:\Program Files\Microsoft Games
2008-02-13 21:38 . 2008-02-13 21:38 21,840 --a------ C:\WINDOWS\system32\SIntfNT.dll
2008-02-13 21:38 . 2008-02-13 21:38 17,212 --a------ C:\WINDOWS\system32\SIntf32.dll
2008-02-13 21:38 . 2008-02-13 21:38 12,067 --a------ C:\WINDOWS\system32\SIntf16.dll
2008-02-13 21:33 . 2008-02-14 20:56 25 --a------ C:\WINDOWS\SIERRA.INI
2008-02-07 21:27 . 2008-02-07 21:27 <REP> dr-h----- C:\Documents and Settings\Propriétaire\Application Data\SecuROM
2008-02-07 21:27 . 2008-02-23 17:47 <REP> d-------- C:\Documents and Settings\Propriétaire\Application Data\Command & Conquer 3 Les guerres du Tiberium
2008-02-06 21:17 . 2008-02-20 00:08 <REP> d-------- C:\Documents and Settings\Propriétaire\Application Data\My Games
2008-02-06 21:00 . 2008-02-06 21:00 <REP> d-------- C:\Program Files\Firaxis Games
2008-02-05 01:19 . 2008-02-01 03:33 <REP> d--h----- C:\Documents and Settings\Invité\Voisinage réseau
2008-02-05 01:19 . 2008-02-01 03:33 <REP> d--h----- C:\Documents and Settings\Invité\Voisinage réseau
2008-02-05 01:19 . 2008-02-01 03:33 <REP> d--h----- C:\Documents and Settings\Invité\Voisinage d'impression
2008-02-05 01:19 . 2008-02-01 03:33 <REP> d--h----- C:\Documents and Settings\Invité\Voisinage d'impression
2008-02-05 01:19 . 2008-02-01 03:17 <REP> d--h----- C:\Documents and Settings\Invité\Modèles
2008-02-05 01:19 . 2008-02-01 03:17 <REP> d--h----- C:\Documents and Settings\Invité\Modèles
2008-02-05 01:19 . 2008-02-05 01:19 <REP> dr------- C:\Documents and Settings\Invité\Mes documents
2008-02-05 01:19 . 2008-02-05 01:19 <REP> dr------- C:\Documents and Settings\Invité\Mes documents
2008-02-05 01:19 . 2008-02-01 03:33 <REP> dr------- C:\Documents and Settings\Invité\Menu Démarrer
2008-02-05 01:19 . 2008-02-01 03:33 <REP> dr------- C:\Documents and Settings\Invité\Menu Démarrer
2008-02-05 01:19 . 2008-02-05 01:19 <REP> dr------- C:\Documents and Settings\Invité\Favoris
2008-02-05 01:19 . 2008-02-05 01:19 <REP> dr------- C:\Documents and Settings\Invité\Favoris
2008-02-05 01:19 . 2008-02-19 07:34 <REP> d-------- C:\Documents and Settings\Invité\Bureau
2008-02-05 01:19 . 2008-02-19 07:34 <REP> d-------- C:\Documents and Settings\Invité\Bureau
2008-02-03 15:48 . 2008-02-03 15:48 <REP> d-------- C:\Program Files\Lionhead Studios
2008-02-03 14:06 . 2008-02-20 00:07 <REP> d-------- C:\Program Files\Valve Lan
2008-02-03 14:05 . 2008-02-03 14:32 <REP> d-------- C:\Program Files\TrackMania Nations ESWC
2008-02-03 12:38 . 2008-02-03 12:38 <REP> d-------- C:\Program Files\Realtek
2008-02-03 12:38 . 2007-01-12 17:54 520,192 -r------- C:\WINDOWS\RtlExUpd.dll
2008-02-02 20:30 . 2007-07-30 19:19 43,352 --a------ C:\WINDOWS\system32\wups2.dll
2008-02-02 20:30 . 2007-07-30 19:19 38,232 --a------ C:\WINDOWS\system32\wucltui.dll.mui
2008-02-02 20:30 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuaucpl.cpl.mui
2008-02-02 20:30 . 2007-07-30 19:19 30,040 --a------ C:\WINDOWS\system32\wuapi.dll.mui
2008-02-02 20:30 . 2007-07-30 19:18 21,336 --a------ C:\WINDOWS\system32\wuaueng.dll.mui
2008-02-02 20:29 . 2008-02-02 20:29 <REP> d---s---- C:\Documents and Settings\Propriétaire\UserData
2008-02-02 20:29 . 2008-02-02 20:29 <REP> d---s---- C:\Documents and Settings\Propriétaire\UserData
2008-02-02 20:03 . 2008-02-02 20:03 <REP> d-------- C:\Program Files\ma-config.com

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-03 14:56 163,644 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
2008-02-01 02:20 --------- d-----w C:\Program Files\microsoft frontpage
2008-02-01 02:19 --------- d-----w C:\Program Files\Services en ligne
2008-01-04 21:56 156,992 ----a-w C:\WINDOWS\system32\DivXCodecVersionChecker.exe
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-02-21 23:02 68856]
"MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 11:34 5724184]
"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-08-28 00:29 8466432]
"nod32kui"="C:\Program Files\Eset\nod32kui.exe" [2008-02-02 19:56 917504]
"RTHDCPL"="RTHDCPL.EXE" [2007-04-10 16:28 16126464 C:\WINDOWS\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2007-04-04 18:22 1822720 C:\WINDOWS\SkyTel.exe]
"a-squared"="E:\a-squared Anti-Malware\a2guard.exe" [2008-02-28 23:49 1845904]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-03-02 13:00 15360]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Utilitaire r‚seau pour SAGEM Wi-Fi 11g USB adapter.lnk - C:\Program Files\DartyBox Wifi\SAGEM WiFi manager\WLANUTL.exe [2008-02-21 21:39:33 950272]

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^InterVideo WinCinema Manager.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\InterVideo WinCinema Manager.lnk
backup=C:\WINDOWS\pss\InterVideo WinCinema Manager.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk
backup=C:\WINDOWS\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
-r------- 2005-05-03 19:43 69632 C:\WINDOWS\Alcmtr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Desktop Search]
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 10:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nod32kui]
--a------ 2008-02-02 19:56 917504 C:\Program Files\Eset\nod32kui.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
--a------ 2007-08-28 00:29 8466432 C:\WINDOWS\system32\NvCpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
--a------ 2007-08-28 00:29 81920 C:\WINDOWS\system32\NvMcTray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2007-08-28 00:29 1626112 C:\WINDOWS\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
-r------- 2007-04-10 16:28 16126464 C:\WINDOWS\RTHDCPL.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
-r------- 2007-04-04 18:22 1822720 C:\WINDOWS\SkyTel.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"E:\\eMule\\emule.exe"=

R3 AtcL001;NDIS Miniport Driver for Atheros L1 Gigabit Ethernet Controller;C:\WINDOWS\system32\DRIVERS\l151x86.sys [2007-07-03 12:06]
R3 SG762_XP;SAGEM 802.11g XG762 1211B Driver;C:\WINDOWS\system32\DRIVERS\WlanBZXP.sys [2007-01-16 13:52]
S3 fbxusb;Carte réseau virtuelle FreeBox USB;C:\WINDOWS\system32\DRIVERS\fbxusb32.sys [2004-10-20 16:23]
S3 ZDCndis5;ZDCndis5 Protocol Driver;C:\WINDOWS\system32\ZDCndis5.SYS []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c2948194-d124-11dc-9057-001d60794c4b}]
\Shell\AutoRun\command - F:\LaunchU3.exe -a

*Newly Created Service* - A2ANTIMALWARE
*Newly Created Service* - AAVMKER4
*Newly Created Service* - ASWMON2
*Newly Created Service* - ASWRDR
*Newly Created Service* - ASWTDI
*Newly Created Service* - AVAST!_ANTIVIRUS
*Newly Created Service* - MCHINJDRV
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-29 02:53:46
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
Temps d'accomplissement: 2008-02-29 2:54:00

booddha · Answer

Navilog

	•	Télécharger Navilog1 ici http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
	•	Double click sur l'icône de Navilog1 pour lancer l'installation :
	•	Choisir la langue d'installation : ici, on choisira le français puis cliquez sur Suivant
	•	Click sur Suivant
	•	Lire la licence utilisateur puis click sur Oui
	•	Une fenêtre indique où Navilog1 va être installé (par défaut dans C:\Program Files\Navilog1\): 
	•	click sur Suivant

	•	Une fois Navilog1 installé, une fenêtre permet de quitter l'installation. 
	•	Laisser la case Démarrer maintenant l'application installée cochée
	•	click sur Fermer.
	•	Sinon, pour l'ouvrir, double-click sur le raccourci navilog1 sur le bureau.
	•	Taper f du clavier 
	•	Appuyer sur la touche Entrée.
	•	Appuyer sur une touche du clavier pour continuer...
	•	Navilog1 vérifie qu'il est bien installé : sans quoi, il faudra le réinstaller,
  comme indiqué dans la partie Installation de cet article.
	•	Taper 1 dans menu principal de Navilog1 
	•	Appuyer sur la touche Entrée.

Navilog1 va effectuer la recherche des fichiers infectieux du PC : 
cela peut prendre une dizaine de minutes...

Navilog1 informe que la recherche est terminée :
	•	Appuyer sur une touche du clavier pour afficher le rapport qu'il a généré.
	•	Poster le rapport C:\fixnavi.txt ici

g!rly · Answer

Bonsoir bouddha, 
Juste un p´tit coucou en passant ;-)
Bonne fin de soirée`
...

Troy · Answer

Search Navipromo version 3.4.8 commencé le 29/02/2008 à  3:02:27,50

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files
avilog1
Mise à jour le 25.02.2008 à 20h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2900.2180 
Système de fichiers : NTFS

Executé en mode normal

*** Recherche Programmes installés ***




*** Recherche dossiers dans C:\WINDOWS ***



*** Recherche dossiers dans C:\Program Files ***



*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***




*** Recherche dossiers dans "C:\Documents and Settings\Propriétaire\applic~1" *** 



*** Recherche dossiers dans "C:\Documents and Settings\Propriétaire\locals~1\applic~1" *** 



*** Recherche dossiers dans "C:\Documents and Settings\Propriétaire\MENUDM~1\PROGRA~1" *** 


*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun Fichier trouvé



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans C:\WINDOWS\system32 *

* Recherche dans "C:\Documents and Settings\Propriétaire\locals~1\applic~1" * 



*** Recherche fichiers *** 




*** Recherche clés spécifiques dans le Registre ***


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans C:\WINDOWS\system32 :


* Dans "C:\Documents and Settings\Propriétaire\locals~1\applic~1" : 


3)Recherche Certificats :

Certificat Egroup absent !

4)Recherche fichiers connus :



*** Analyse terminée le 29/02/2008 à  3:03:11,48 ***

booddha · Answer

Désinfection automatique

	•	Double-click sur le raccourci navilog1 du bureau et refaire les mêmes opérations que 
dans la section Recherche de fichiers infectieux de cet article jusqu'à arriver au menu de Navilog1

	•	Pour lancer le nettoyage automatique, taper 2
	•	Appuyer sur la touche Entrée.
	
Laisser Navilog1 travailler et être patient !
Il demandera d'enregistrer les documents en cours d'utilisation, car il aura besoin de redémarrer le PC.

	•	Quand le PC sera prêt à redémarrer, appuyer sur une touche du clavier et laisser Navilog1 opérer.
	•	Une fois le PC redémarré, Navilog1 terminera la désinfection et il fournira un rapport de désinfection.
	•	L'enregistrer si besoin, par exemple si on demande de le poster sur un forum (menu Edition / Enregistrer sous). 
Sans quoi le rapport sera quand même sauvegardé dans le fichier suivant : "cleannavi.txt" 
à la racine du disque dur (ex : C:\cleannavi.txt).

Troy · Answer

Clean Navipromo version 3.4.8 commencé le 29/02/2008 à  3:18:41,40

Outil exécuté depuis C:\Program Files
avilog1
Mise à jour le 25.02.2008 à 20h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2900.2180
Système de fichiers : NTFS

Mode suppression automatique 
avec prise en charge résultats Catchme et GNS


 
*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)
 

*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans C:\WINDOWS\System32 *


* Suppression dans "C:\Documents and Settings\PropriÚtaire\locals~1\applic~1" * 



*** Suppression dossiers dans C:\WINDOWS ***


*** Suppression dossiers dans C:\Program Files ***


*** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***


*** Suppression dossiers dans "C:\Documents and Settings\PropriÚtaire\applic~1" *** 


*** Suppression dossiers dans "C:\Documents and Settings\PropriÚtaire\locals~1\applic~1" *** 


*** Suppression dossiers dans "C:\Documents and Settings\PropriÚtaire\MENUDM~1\PROGRA~1" *** 


*** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***



*** Suppression fichiers ***


*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Propriétaire\locals~1\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

2)Recherche, création sauvegardes et suppression Heuristique :


* Dans C:\WINDOWS\system32 *


* Dans "C:\Documents and Settings\PropriÚtaire\locals~1\applic~1" * 


*** Sauvegarde du Registre vers dossier Backupnavi ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok


*** Certificats ***

Certificat Egroup absent !

*** Nettoyage terminé le 29/02/2008 à  3:21:17,96 ***

booddha · Answer

Je ne vois rien.

Telecharge AVF Anti-spyware http://download.grisoft.cz/filedir/inst/avgas-setup-7.5.1.43-3339.exe

Installe le et fais lui scanner tout tes disques.

Poste le rapport ici. 

Je regarderais demain.

Troy · Answer

ok ca marche et ben dors bien et a demain alors merci encore!;-)

Troy · Answer

---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

 + Créé à:	06:38:49 29/02/2008

 + Résultat de l'analyse:	



:mozilla.79:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\243gqwwv.default\cookies.txt -> TrackingCookie.247realmedia : Aucune action entreprise.
:mozilla.27:C:\Documents and Settings\Invité\Application Data\Mozilla\Firefox\Profiles\gvevtv6t.default\cookies.txt -> TrackingCookie.2o7 : Aucune action entreprise.
:mozilla.39:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\243gqwwv.default\cookies.txt -> TrackingCookie.Advertising : Aucune action entreprise.
:mozilla.40:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\243gqwwv.default\cookies.txt -> TrackingCookie.Advertising : Aucune action entreprise.
:mozilla.41:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\243gqwwv.default\cookies.txt -> TrackingCookie.Advertising : Aucune action entreprise.
:mozilla.42:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\243gqwwv.default\cookies.txt -> TrackingCookie.Advertising : Aucune action entreprise.
C:\Documents and Settings\Propriétaire\Cookies\propriétaire@advertising[2].txt -> TrackingCookie.Advertising : Aucune action entreprise.
:mozilla.6:C:\Documents and Settings\Invité\Application Data\Mozilla\Firefox\Profiles\gvevtv6t.default\cookies.txt -> TrackingCookie.Atdmt : Aucune action entreprise.
:mozilla.81:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\243gqwwv.default\cookies.txt -> TrackingCookie.Atdmt : Aucune action entreprise.
:mozilla.38:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\243gqwwv.default\cookies.txt -> TrackingCookie.Bluestreak : Aucune action entreprise.
:mozilla.47:C:\Documents and Settings\Invité\Application Data\Mozilla\Firefox\Profiles\gvevtv6t.default\cookies.txt -> TrackingCookie.Comclick : Aucune action entreprise.
:mozilla.48:C:\Documents and Settings\Invité\Application Data\Mozilla\Firefox\Profiles\gvevtv6t.default\cookies.txt -> TrackingCookie.Comclick : Aucune action entreprise.
:mozilla.49:C:\Documents and Settings\Invité\Application Data\Mozilla\Firefox\Profiles\gvevtv6t.default\cookies.txt -> TrackingCookie.Comclick : Aucune action entreprise.
:mozilla.43:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\243gqwwv.default\cookies.txt -> TrackingCookie.Doubleclick : Aucune action entreprise.
C:\Documents and Settings\Propriétaire\Cookies\propriétaire@ssl-hints.netflame[1].txt -> TrackingCookie.Netflame : Aucune action entreprise.
:mozilla.28:C:\Documents and Settings\Invité\Application Data\Mozilla\Firefox\Profiles\gvevtv6t.default\cookies.txt -> TrackingCookie.Overture : Aucune action entreprise.
C:\Documents and Settings\Propriétaire\Cookies\propriétaire@ads.pointroll[2].txt -> TrackingCookie.Pointroll : Aucune action entreprise.
:mozilla.49:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\243gqwwv.default\cookies.txt -> TrackingCookie.Safer-networking : Aucune action entreprise.
:mozilla.30:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\243gqwwv.default\cookies.txt -> TrackingCookie.Serving-sys : Aucune action entreprise.
:mozilla.31:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\243gqwwv.default\cookies.txt -> TrackingCookie.Serving-sys : Aucune action entreprise.
:mozilla.32:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\243gqwwv.default\cookies.txt -> TrackingCookie.Serving-sys : Aucune action entreprise.
:mozilla.33:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\243gqwwv.default\cookies.txt -> TrackingCookie.Serving-sys : Aucune action entreprise.
:mozilla.34:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\243gqwwv.default\cookies.txt -> TrackingCookie.Serving-sys : Aucune action entreprise.
:mozilla.35:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\243gqwwv.default\cookies.txt -> TrackingCookie.Serving-sys : Aucune action entreprise.
:mozilla.36:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\243gqwwv.default\cookies.txt -> TrackingCookie.Serving-sys : Aucune action entreprise.
C:\Documents and Settings\Propriétaire\Cookies\propriétaire@bs.serving-sys[2].txt -> TrackingCookie.Serving-sys : Aucune action entreprise.
C:\Documents and Settings\Propriétaire\Cookies\propriétaire@serving-sys[2].txt -> TrackingCookie.Serving-sys : Aucune action entreprise.
:mozilla.33:C:\Documents and Settings\Invité\Application Data\Mozilla\Firefox\Profiles\gvevtv6t.default\cookies.txt -> TrackingCookie.Smartadserver : Aucune action entreprise.
:mozilla.34:C:\Documents and Settings\Invité\Application Data\Mozilla\Firefox\Profiles\gvevtv6t.default\cookies.txt -> TrackingCookie.Smartadserver : Aucune action entreprise.
:mozilla.35:C:\Documents and Settings\Invité\Application Data\Mozilla\Firefox\Profiles\gvevtv6t.default\cookies.txt -> TrackingCookie.Smartadserver : Aucune action entreprise.
:mozilla.36:C:\Documents and Settings\Invité\Application Data\Mozilla\Firefox\Profiles\gvevtv6t.default\cookies.txt -> TrackingCookie.Smartadserver : Aucune action entreprise.
:mozilla.54:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\243gqwwv.default\cookies.txt -> TrackingCookie.Smartadserver : Aucune action entreprise.
:mozilla.55:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\243gqwwv.default\cookies.txt -> TrackingCookie.Smartadserver : Aucune action entreprise.
:mozilla.56:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\243gqwwv.default\cookies.txt -> TrackingCookie.Smartadserver : Aucune action entreprise.
:mozilla.57:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\243gqwwv.default\cookies.txt -> TrackingCookie.Smartadserver : Aucune action entreprise.
C:\Documents and Settings\Propriétaire\Cookies\propriétaire@smartadserver[1].txt -> TrackingCookie.Smartadserver : Aucune action entreprise.
:mozilla.38:C:\Documents and Settings\Invité\Application Data\Mozilla\Firefox\Profiles\gvevtv6t.default\cookies.txt -> TrackingCookie.Weborama : Aucune action entreprise.
:mozilla.39:C:\Documents and Settings\Invité\Application Data\Mozilla\Firefox\Profiles\gvevtv6t.default\cookies.txt -> TrackingCookie.Weborama : Aucune action entreprise.
:mozilla.40:C:\Documents and Settings\Invité\Application Data\Mozilla\Firefox\Profiles\gvevtv6t.default\cookies.txt -> TrackingCookie.Weborama : Aucune action entreprise.
:mozilla.50:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\243gqwwv.default\cookies.txt -> TrackingCookie.Weborama : Aucune action entreprise.
:mozilla.51:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\243gqwwv.default\cookies.txt -> TrackingCookie.Weborama : Aucune action entreprise.
:mozilla.52:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\243gqwwv.default\cookies.txt -> TrackingCookie.Weborama : Aucune action entreprise.
:mozilla.53:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\243gqwwv.default\cookies.txt -> TrackingCookie.Weborama : Aucune action entreprise.


Fin du rapport

booddha · Answer

Bon

Essayes de supprimer le dossier Pamela  dans E: et dis moi s'il se recrée.

Troy · Answer

il n'a pas reapparu depuis hier,s'il réapparait faut pas que je le vide?

booddha · Answer

Relance ta machine et repost un log Hitjackthis pour vérifier

Troy · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:37:35, on 29/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\mdm.exe
C:\Program Files\Eset
od32krn.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Eset
od32kui.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\DartyBox Wifi\SAGEM WiFi manager\WLANUTL.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://127.0.0.1:4664/about&s=VQY-KKuWVVMAQgoO_fbjmPlTrNs
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset
od32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - https://www.touslesdrivers.com/index.php?v_page=29
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Program Files\Eset
od32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe

booddha · Answer

Relancer Hitjackthis

	•	Fixer ces lignes


 	O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)


	•	Pour fixer les lignes.
	•	Cliquer sur la petite case à gauche de la ligne à fixer.

	•	Une fois toutes les lignes cochées, cliquer sur le bouton en bas FIX CHECKED
	•	Fermer et relancer HitJackThis
	•	Copier/Coller le nouveau rapport sur le forum.

Troy · Answer

il y a du nouveau nod 32 s'enerve il y a une alerte par amon :
file:\ad aware\AAWLic.exe
threat :Win32\Tenga.gen virus
le probleme c'est que la seule chose que me propose le nod c'est :display warning window!!!

Troy · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:51:29, on 29/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\mdm.exe
C:\Program Files\Eset
od32krn.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Eset
od32kui.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\DartyBox Wifi\SAGEM WiFi manager\WLANUTL.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://127.0.0.1:4664/about&s=VQY-KKuWVVMAQgoO_fbjmPlTrNs
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset
od32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - https://www.touslesdrivers.com/index.php?v_page=29
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Program Files\Eset
od32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe

Troy · Answer

nod me dit 
Commment:
Event occured on a newly created file.The file was moved to quarantine .You may close this window

booddha · Answer

Regarde dans la quarantaine de NOD ce qu'il y a mis (Je ne connais pas NOD)

Regarde si le dossier Pamela est réapparu.

Troy · Answer

il y est et nod a trouvé tenga ds le dossier E:\ad aware ts les fichiers de ce dossier crée une alerte comme celle decrite ci dessus il y a deux vers python lesta (pamela et XXX.folder)et tenga qui se ballade d'exe en exe !

Troy · Answer

tenga vien de manger encore plein de exe emule...

Troy · Answer

hijack aussi a disparu c'est l'heure du repas pour les worms on dirait!

Troy · Answer

Time	Module	Object	Name	Threat	Action	User	Information
29/02/2008 14:18:16	AMON	file	E:\Monjack\HijackThis.exe	Win32/Tenga.gen virus	quarantined - deleted	AUTORITE NT\SYSTEM	Event occurred on a newly created file. The file was moved to quarantine. You may close this window. 
29/02/2008 14:18:13	AMON	file	E:\eMule\emule.exe	Win32/Tenga.gen virus	quarantined - deleted	AUTORITE NT\SYSTEM	Event occurred on a newly created file. The file was moved to quarantine. You may close this window. 
29/02/2008 14:18:06	AMON	file	E:\cc3\Support\EReg.exe	Win32/Tenga.gen virus	quarantined - deleted	AUTORITE NT\SYSTEM	Event occurred on a newly created file. The file was moved to quarantine. You may close this window. 
29/02/2008 14:18:02	AMON	file	E:\cc3\CNC3.exe	Win32/Tenga.gen virus	quarantined - deleted	AUTORITE NT\SYSTEM	Event occurred on a newly created file. The file was moved to quarantine. You may close this window. 
29/02/2008 14:17:50	AMON	file	E:\ad aware\ProcessWatch.exe	Win32/Tenga.gen virus	quarantined - deleted	AUTORITE NT\SYSTEM	Event occurred on a newly created file. The file was moved to quarantine. You may close this window. 
29/02/2008 14:17:45	AMON	file	E:\ad aware\lsupdatemanager.exe	Win32/Tenga.gen virus	quarantined - deleted	AUTORITE NT\SYSTEM	Event occurred on a newly created file. The file was moved to quarantine. You may close this window. 
29/02/2008 14:14:33	AMON	file	E:\ad aware\HostFileEditor.exe	Win32/Tenga.gen virus	quarantined - deleted	AUTORITE NT\SYSTEM	Event occurred on a newly created file. The file was moved to quarantine. You may close this window. 
29/02/2008 14:14:33	AMON	file	E:\ad aware\Ad-Watch2007.exe	Win32/Tenga.gen virus	quarantined - deleted	AUTORITE NT\SYSTEM	Event occurred on a newly created file. The file was moved to quarantine. You may close this window. 
29/02/2008 14:14:32	AMON	file	E:\ad aware\Ad-Aware2007.exe	Win32/Tenga.gen virus	quarantined - deleted	AUTORITE NT\SYSTEM	Event occurred on a newly created file. The file was moved to quarantine. You may close this window. 
29/02/2008 14:14:31	AMON	file	E:\ad aware\AAWTray.exe	Win32/Tenga.gen virus	quarantined - deleted	AUTORITE NT\SYSTEM	Event occurred on a newly created file. The file was moved to quarantine. You may close this window. 
29/02/2008 14:14:30	AMON	file	E:\ad aware\aawservice.exe	Win32/Tenga.gen virus	quarantined - deleted	AUTORITE NT\SYSTEM	Event occurred on a newly created file. The file was moved to quarantine. You may close this window. 
29/02/2008 14:14:25	AMON	file	E:\ad aware\AAWLic.exe	Win32/Tenga.gen virus	quarantined - deleted	AUTORITE NT\SYSTEM	Event occurred on a newly created file. The file was moved to quarantine. You may close this window. 
29/02/2008 00:48:14	AMON	file	C:\WINDOWS\TEMP\_avast4_\unp143501973.tmp	probably unknown NewHeur_PE virus	quarantined - deleted	AUTORITE NT\SYSTEM	Event occurred on a new file created by the application: C:\Program Files\Alwil Software\Avast4\ashServ.exe. The file was moved to quarantine. You may close this window. 
29/02/2008 00:48:14	AMON	file	C:\WINDOWS\TEMP\_avast4_\unp193910629.tmp	probably unknown NewHeur_PE virus	quarantined - deleted	AUTORITE NT\SYSTEM	Event occurred on a new file created by the application: C:\Program Files\Alwil Software\Avast4\ashServ.exe. The file was moved to quarantine. You may close this window. 
29/02/2008 00:48:13	AMON	file	C:\WINDOWS\TEMP\_avast4_\unp86301476.tmp	probably unknown NewHeur_PE virus	quarantined - deleted	AUTORITE NT\SYSTEM	Event occurred on a new file created by the application: C:\Program Files\Alwil Software\Avast4\ashServ.exe. The file was moved to quarantine. You may close this window. 
29/02/2008 00:48:11	AMON	file	C:\WINDOWS\TEMP\_avast4_\unp227663174.tmp	probably unknown NewHeur_PE virus	quarantined - deleted	AUTORITE NT\SYSTEM	Event occurred on a new file created by the application: C:\Program Files\Alwil Software\Avast4\ashServ.exe. The file was moved to quarantine. You may close this window. 
28/02/2008 23:51:56	AMON	file	C:\WINDOWS\TEMP\_avast4_\unp83748755.tmp	probably unknown NewHeur_PE virus	quarantined - deleted	AUTORITE NT\SYSTEM	Event occurred on a new file created by the application: C:\Program Files\Alwil Software\Avast4\ashServ.exe. The file was moved to quarantine. You may close this window. 
28/02/2008 23:51:56	AMON	file	C:\WINDOWS\TEMP\_avast4_\unp190099252.tmp	probably unknown NewHeur_PE virus	quarantined - deleted	AUTORITE NT\SYSTEM	Event occurred on a new file created by the application: C:\Program Files\Alwil Software\Avast4\ashServ.exe. The file was moved to quarantine. You may close this window. 
28/02/2008 23:51:56	AMON	file	C:\WINDOWS\TEMP\_avast4_\unp37958766.tmp	probably unknown NewHeur_PE virus	quarantined - deleted	AUTORITE NT\SYSTEM	Event occurred on a new file created by the application: C:\Program Files\Alwil Software\Avast4\ashServ.exe. The file was moved to quarantine. You may close this window. 
28/02/2008 23:51:55	AMON	file	C:\WINDOWS\TEMP\_avast4_\unp256893736.tmp	probably unknown NewHeur_PE virus	quarantined - deleted	AUTORITE NT\SYSTEM	Event occurred on a new file created by the application: C:\Program Files\Alwil Software\Avast4\ashServ.exe. The file was moved to quarantine. You may close this window. 
28/02/2008 23:51:55	AMON	file	C:\WINDOWS\TEMP\_avast4_\unp207451453.tmp	probably unknown NewHeur_PE virus	quarantined - deleted	AUTORITE NT\SYSTEM	Event occurred on a new file created by the application: C:\Program Files\Alwil Software\Avast4\ashServ.exe. The file was moved to quarantine. You may close this window. 
28/02/2008 23:51:55	AMON	file	C:\WINDOWS\TEMP\_avast4_\unp236666992.tmp	probably unknown NewHeur_PE virus	quarantined - deleted	AUTORITE NT\SYSTEM	Event occurred on a new file created by the application: C:\Program Files\Alwil Software\Avast4\ashServ.exe. The file was moved to quarantine. You may close this window. 
28/02/2008 23:51:54	AMON	file	C:\WINDOWS\TEMP\_avast4_\unp5316482.tmp	probably unknown NewHeur_PE virus	quarantined - deleted	AUTORITE NT\SYSTEM	Event occurred on a new file created by the application: C:\Program Files\Alwil Software\Avast4\ashServ.exe. The file was moved to quarantine. You may close this window. 
28/02/2008 23:51:53	AMON	file	C:\WINDOWS\TEMP\_avast4_\unp229810375.tmp	probably unknown NewHeur_PE virus	quarantined - deleted	AUTORITE NT\SYSTEM	Event occurred on a new file created by the application: C:\Program Files\Alwil Software\Avast4\ashServ.exe. The file was moved to quarantine. You may close this window. 
28/02/2008 23:51:49	AMON	file	C:\WINDOWS\TEMP\_avast4_\unp194252748.tmp	probably unknown NewHeur_PE virus	quarantined - deleted	AUTORITE NT\SYSTEM	Event occurred on a new file created by the application: C:\Program Files\Alwil Software\Avast4\ashServ.exe. The file was moved to quarantine. You may close this window. 
28/02/2008 23:46:42	AMON	file	C:\WINDOWS\TEMP\_avast4_\unp31079688.tmp	probably unknown NewHeur_PE virus	quarantined - deleted	AUTORITE NT\SYSTEM	Event occurred on a new file created by the application: C:\Program Files\Alwil Software\Avast4\ashServ.exe. The file was moved to quarantine. You may close this window. 
28/02/2008 23:46:42	AMON	file	C:\WINDOWS\TEMP\_avast4_\unp149598623.tmp	probably unknown NewHeur_PE virus	quarantined - deleted	AUTORITE NT\SYSTEM	Event occurred on a new file created by the application: C:\Program Files\Alwil Software\Avast4\ashServ.exe. The file was moved to quarantine. You may close this window. 
28/02/2008 23:46:33	AMON	file	C:\WINDOWS\TEMP\_avast4_\unp127679412.tmp	probably unknown NewHeur_PE virus	quarantined - deleted	AUTORITE NT\SYSTEM	Event occurred on a new file created by the application: C:\Program Files\Alwil Software\Avast4\ashServ.exe. The file was moved to quarantine. You may close this window. 
28/02/2008 23:46:32	AMON	file	C:\WINDOWS\TEMP\_avast4_\unp178885104.tmp	probably unknown NewHeur_PE virus	quarantined - deleted	AUTORITE NT\SYSTEM	Event occurred on a new file created by the application: C:\Program Files\Alwil Software\Avast4\ashServ.exe. The file was moved to quarantine. You may close this window. 
28/02/2008 23:46:32	AMON	file	C:\WINDOWS\TEMP\_avast4_\unp123287168.tmp	probably unknown NewHeur_PE virus	quarantined - deleted	AUTORITE NT\SYSTEM	Event occurred on a new file created by the application: C:\Program Files\Alwil Software\Avast4\ashServ.exe. The file was moved to quarantine. You may close this window. 
28/02/2008 23:46:31	AMON	file	C:\WINDOWS\TEMP\_avast4_\unp134716109.tmp	probably unknown NewHeur_PE virus	quarantined - deleted	AUTORITE NT\SYSTEM	Event occurred on a new file created by the application: C:\Program Files\Alwil Software\Avast4\ashServ.exe. The file was moved to quarantine. You may close this window. 
28/02/2008 23:46:08	AMON	file	C:\WINDOWS\TEMP\_avast4_\unp185540195.tmp	probably unknown NewHeur_PE virus	quarantined - deleted	AUTORITE NT\SYSTEM	Event occurred on a new file created by the application: C:\Program Files\Alwil Software\Avast4\ashServ.exe. The file was moved to quarantine. You may close this window. 
28/02/2008 23:46:04	AMON	file	C:\WINDOWS\TEMP\_avast4_\unp141211930.tmp	probably unknown NewHeur_PE virus	quarantined - deleted	AUTORITE NT\SYSTEM	Event occurred on a new file created by the application: C:\Program Files\Alwil Software\Avast4\ashServ.exe. The file was moved to quarantine. You may close this window. 
28/02/2008 23:45:57	AMON	file	C:\WINDOWS\TEMP\_avast4_\unp14147121.tmp	probably unknown NewHeur_PE virus	quarantined - deleted	AUTORITE NT\SYSTEM	Event occurred on a new file created by the application: C:\Program Files\Alwil Software\Avast4\ashServ.exe. The file was moved to quarantine. You may close this window. 
28/02/2008 21:54:32	AMON	file	E:\XXX.folder	Exploit/CodeBase virus	deleted	AUTORITE NT\SYSTEM	Event occurred at an attempt to access the file by the application: C:\Program Files\Alwil Software\Avast4\ashServ.exe.
28/02/2008 10:07:10	AMON	file	E:\vlc\vlc.exe	Win32/Tenga.gen virus	quarantined - deleted	AUTORITE NT\SYSTEM	Event occurred on a newly created file. The file was moved to quarantine. You may close this window. 
28/02/2008 10:07:10	AMON	file	E:\vlc\uninstall.exe	Win32/Tenga.gen virus	quarantined - deleted	AUTORITE NT\SYSTEM	Event occurred on a newly created file. The file was moved to quarantine. You may close this window. 
28/02/2008 10:07:10	AMON	file	E:\sega rallye\SEGARallyLauncher.exe	Win32/Tenga.gen virus	quarantined - deleted	AUTORITE NT\SYSTEM	Event occurred on a newly created file. The file was moved to quarantine. You may close this window. 
28/02/2008 10:07:09	AMON	file	E:\sega rallye\SEGA Rally_SSE1.exe	Win32/Tenga.gen virus	quarantined - deleted	AUTORITE NT\SYSTEM	Event occurred on a newly created file. The file was moved to quarantine. You may close this window. 
28/02/2008 10:07:09	AMON	file	E:\sega rallye\SEGA Rally.exe	Win32/Tenga.gen virus	quarantined - deleted	AUTORITE NT\SYSTEM	Event occurred on a newly created file. The file was moved to quarantine. You may close this window. 
28/02/2008 10:07:09	AMON	file	E:\sega rallyeallye crac\SEGA[1].RALLY.V4.060.ENG.FAIRLIGHT.NOCD\SEGA Rally.exe	Win32/Tenga.gen virus	quarantined - deleted	AUTORITE NT\SYSTEM	Event occurred on a newly created file. The file was moved to quarantine. You may close this window. 
28/02/2008 10:07:09	AMON	file	E:\sega rallye\original SEGA Rally.exe	Win32/Tenga.gen virus	quarantined - deleted	AUTORITE NT\SYSTEM	Event occurred on a newly created file. The file was moved to quarantine. You may close this window. 
28/02/2008 10:07:09	AMON	file	E:\NEVERWINTER2\Utils
wn2stub.exe	Win32/Tenga.gen virus	quarantined - deleted	AUTORITE NT\SYSTEM	Event occurred on a newly created file. The file was moved to quarantine. You may close this window. 
28/02/2008 10:07:09	AMON	file	E:\NEVERWINTER2\ServerMonitorConsole.exe	Win32/Tenga.gen virus	quarantined - deleted	AUTORITE NT\SYSTEM	Event occurred on a newly created file. The file was moved to quarantine. You may close this window. 
28/02/2008 10:07:09	AMON	file	E:\NEVERWINTER2\original nwn2main_amdxp.exe	Win32/Tenga.gen virus	quarantined - deleted	AUTORITE NT\SYSTEM	Event occurred on a newly created file. The file was moved to quarantine. You may close this window. 
28/02/2008 10:07:09	AMON	file	E:\NEVERWINTER2\original nwn2main.exe	Win32/Tenga.gen virus	quarantined - deleted	AUTORITE NT\SYSTEM	Event occurred on a newly created file. The file was moved to quarantine. You may close this window. 
28/02/2008 10:07:09	AMON	file	E:\NEVERWINTER2
wupdate.exe	Win32/Tenga.gen virus	quarantined - deleted	AUTORITE NT\SYSTEM	Event occurred on a newly created file. The file was moved to quarantine. You may close this window. 
28/02/2008 10:07:09	AMON	file	E:\NEVERWINTER2\NWN2ToolsetLauncher.exe	Win32/Tenga.gen virus	quarantined - deleted	AUTORITE NT\SYSTEM	Event occurred on a newly created file. The file was moved to quarantine. You may close this window. 
28/02/2008 10:07:08	AMON	file	E:\NEVERWINTER2
wn2server.exe	Win32/Tenga.gen virus	quarantined - deleted	AUTORITE NT\SYSTEM	Event occurred on a newly created file. The file was moved to quarantine. You may close this window. 
28/02/2008 10:07:08	AMON	file	E:\NEVERWINTER2
wn2main_amdxp.exe	Win32/Tenga.gen virus	quarantined - deleted	AUTORITE NT\SYSTEM	Event occurred on a newly created file. The file was moved to quarantine. You may close this window. 
28/02/2008 10:07:08	AMON	file	E:\NEVERWINTER2
wn2main.exe	Win32/Tenga.gen virus	quarantined - deleted	AUTORITE NT\SYSTEM	Event occurred on a newly created file. The file was moved to quarantine. You may close this window. 
28/02/2008 10:07:08	AMON	file	E:\NEVERWINTER2
wn2.exe	Win32/Tenga.gen virus	quarantined - deleted	AUTORITE NT\SYSTEM	Event occurred on a newly created file. The file was moved to quarantine. You may close this window. 
28/02/2008 10:07:08	AMON	file	E:\mozilla\xpicleanup.exe	Win32/Tenga.gen virus	quarantined - deleted	AUTORITE NT\SYSTEM	Event occurred on a newly created file. The file was moved to quarantine. You may close this window. 
28/02/2008 10:07:08	AMON	file	E:\mozilla\updater.exe	Win32/Tenga.gen virus	quarantined - deleted	AUTORITE NT\SYSTEM	Event occurred on a newly created file. The file was moved to quarantine. You may close this window. 
28/02/2008 10:07:08	AMON	file	E:\mozilla\uninstall\helper.exe	Win32/Tenga.gen virus	quarantined - deleted	AUTORITE NT\SYSTEM	Event occurred on a newly created file. The file was moved to quarantine. You may close this window. 
28/02/2008 10:07:08	AMON	file	E:\mozilla\firefox.exe	Win32/Tenga.gen virus	quarantined - deleted	AUTORITE NT\SYSTEM	Event occurred on a newly created file. The file was moved to quarantine. You may close this window. 
28/02/2008 10:07:07	AMON	file	E:\mozilla\extensions	alkback@mozilla.org\components	alkback.exe	Win32/Tenga.gen virus	quarantined - deleted	AUTORITE NT\SYSTEM	Event occurred on a newly created file. The file was moved to quarantine. You may close this window. 
28/02/2008 10:07:07	AMON	file	E:\hellgate\TheWitcherPatch_1.1a.exe	Win32/Tenga.gen virus	quarantined - deleted	AUTORITE NT\SYSTEM	Event occurred on a newly created file. The file was moved to quarantine. You may close this window. 
28/02/2008 10:07:07	AMON	file	E:\hellgate\SP_x86\hellgate_sp_dx9_x86_origine.exe	Win32/Tenga.gen virus	quarantined - deleted	AUTORITE NT\SYSTEM	Event occurred on a newly created file. The file was moved to quarantine. You may close this window. 
28/02/2008 10:07:07	AMON	file	E:\hellgate\SP_x86\hellgate_sp_dx10_x86_origine.exe	Win32/Tenga.gen virus	quarantined - deleted	AUTORITE NT\SYSTEM	Event occurred on a newly created file. The file was moved to quarantine. You may close this window. 
28/02/2008 10:07:07	AMON	file	E:\hellgate\MP_x86\hellgate_mp_dx9_x86.exe	Win32/Tenga.gen virus	quarantined - deleted	AUTORITE NT\SYSTEM	Event occurred on a newly created file. The file was moved to quarantine. You may close this window. 
28/02/2008 10:07:07	AMON	file	E:\hellgate\MP_x86\hellgate_mp_dx10_x86.exe	Win32/Tenga.gen virus	quarantined - deleted	AUTORITE NT\SYSTEM	Event occurred on a newly created file. The file was moved to quarantine. You may close this window. 
28/02/2008 10:07:06	AMON	file	E:\hellgate\LauncherQuickPatcher.exe	Win32/Tenga.gen virus	quarantined - deleted	AUTORITE NT\SYSTEM	Event occurred on a newly created file. The file was moved to quarantine. You may close this window. 
28/02/2008 10:07:06	AMON	file	E:\hellgate\Launcher.exe	Win32/Tenga.gen virus	quarantined - deleted	AUTORITE NT\SYSTEM	Event occurred on a newly created file. The file was moved to quarantine. You may close this window. 
28/02/2008 10:07:06	AMON	file	E:\eMule\unins000.exe	Win32/Tenga.gen virus	quarantined - deleted	AUTORITE NT\SYSTEM	Event occurred on a newly created file. The file was moved to quarantine. You may close this window. 
28/02/2008 10:07:06	AMON	file	E:\dxwebsetup.exe	Win32/Tenga.gen virus	quarantined - deleted	AUTORITE NT\SYSTEM	Event occurred on a newly created file. The file was moved to quarantine. You may close this window. 
28/02/2008 10:07:06	AMON	file	E:\ccleaner\uninst.exe	Win32/Tenga.gen virus	quarantined - deleted	AUTORITE NT\SYSTEM	Event occurred on a newly created file. The file was moved to quarantine. You may close this window. 
28/02/2008 10:07:06	AMON	file	E:\ccleaner\CCleaner.exe	Win32/Tenga.gen virus	quarantined - deleted	AUTORITE NT\SYSTEM	Event occurred on a newly created file. The file was moved to quarantine. You may close this window. 
28/02/2008 10:07:06	AMON	file	E:\cc3\Support\EReg.exe	Win32/Tenga.gen virus	quarantined - deleted	AUTORITE NT\SYSTEM	Event occurred on a newly created file. The file was moved to quarantine. You may close this window. 
28/02/2008 10:07:06	AMON	file	E:\cc3\DirectX\DXSETUP.exe	Win32/Tenga.gen virus	quarantined - deleted	AUTORITE NT\SYSTEM	Event occurred on a newly created file. The file was moved to quarantine. You may close this window. 
28/02/2008 10:07:06	AMON	file	E:\cc3\CNC3.exe	Win32/Tenga.gen virus	quarantined - deleted	AUTORITE NT\SYSTEM	Event occurred on a newly created file. The file was moved to quarantine. You may close this window. 
28/02/2008 10:07:06	AMON	file	E:\Azureus\uninstall.exe	Win32/Tenga.gen virus	quarantined - deleted	AUTORITE NT\SYSTEM	Event occurred on a newly created file. The file was moved to quarantine. You may close this window. 
28/02/2008 10:07:05	AMON	file	E:\Azureus\plugins\azemp\azmplay.exe	Win32/Tenga.gen virus	quarantined - deleted	AUTORITE NT\SYSTEM	Event occurred on a newly created file. The file was moved to quarantine. You may close this window. 
28/02/2008 10:07:05	AMON	file	E:\Azureus\jre\bin\unpack200.exe	Win32/Tenga.gen virus	quarantined - deleted	AUTORITE NT\SYSTEM	Event occurred on a newly created file. The file was moved to quarantine. You may close this window. 
28/02/2008 10:07:05	AMON	file	E:\Azureus\jre\bin	nameserv.exe	Win32/Tenga.gen virus	quarantined - deleted	AUTORITE NT\SYSTEM	Event occurred on a newly created file. The file was moved to quarantine. You may close this window. 
28/02/2008 10:07:05	AMON	file	E:\Azureus\jre\bin\servertool.exe	Win32/Tenga.gen virus	quarantined - deleted	AUTORITE NT\SYSTEM	Event occurred on a newly created file. The file was moved to quarantine. You may close this window. 
28/02/2008 10:07:05	AMON	file	E:\Azureus\jre\binmiregistry.exe	Win32/Tenga.gen virus	quarantined - deleted	AUTORITE NT\SYSTEM	Event occurred on a newly created file. The file was moved to quarantine. You may close this window. 
28/02/2008 10:07:05	AMON	file	E:\Azureus\jre\binmid.exe	Win32/Tenga.gen virus	quarantined - deleted	AUTORITE NT\SYSTEM	Event occurred on a newly created file. The file was moved to quarantine. You may close this window. 
28/02/2008 10:07:05	AMON	file	E:\Azureus\jre\bin\policytool.exe	Win32/Tenga.gen virus	quarantined - deleted	AUTORITE NT\SYSTEM	Event occurred on a newly created file. The file was moved to quarantine. You may close this window. 
28/02/2008 10:07:05	AMON	file	E:\Azureus\jre\bin\pack200.exe	Win32/Tenga.gen virus	quarantined - deleted	AUTORITE NT\SYSTEM	Event occurred on a newly created file. The file was moved to quarantine. You may close this window. 
28/02/2008 10:07:05	AMON	file	E:\Azureus\jre\bin\orbd.exe	Win32/Tenga.gen virus	quarantined - deleted	AUTORITE NT\SYSTEM	Event occurred on a newly created file. The file was moved to quarantine. You may close this window. 
28/02/2008 10:07:05	AMON	file	E:\Azureus\jre\bin\ktab.exe	Win32/Tenga.gen virus	quarantined - deleted	AUTORITE NT\SYSTEM	Event occurred on a newly created file. The file was moved to quarantine. You may close this window. 
28/02/2008 10:07:05	AMON	file	E:\Azureus\jre\bin\klist.exe	Win32/Tenga.gen virus	quarantined - deleted	AUTORITE NT\SYSTEM	Event occurred on a newly created file. The file was moved to quarantine. You may close this window. 
28/02/2008 10:07:04	AMON	file	E:\Azureus\jre\bin\kinit.exe	Win32/Tenga.gen virus	quarantined - deleted	AUTORITE NT\SYSTEM	Event occurred on a newly created file. The file was moved to quarantine. You may close this window. 
28/02/2008 10:07:04	AMON	file	E:\Azureus\jre\bin\keytool.exe	Win32/Tenga.gen virus	quarantined - deleted	AUTORITE NT\SYSTEM	Event occurred on a newly created file. The file was moved to quarantine. You may close this window. 
28/02/2008 10:03:42	AMON	file	E:\Azureus\jre\bin\jusched.exe	Win32/Tenga.gen virus	quarantined - deleted	AUTORITE NT\SYSTEM	Event occurred on a newly created file. The file was moved to quarantine. You may close this window. 
28/02/2008 10:02:43	AMON	file	E:\Azureus\jre\bin\jureg.exe	Win32/Tenga.gen virus	quarantined - deleted	AUTORITE NT\SYSTEM	Event occurred on a newly created file. The file was moved to quarantine. You may close this window. 
28/02/2008 10:02:42	AMON	file	E:\Azureus\jre\bin\jucheck.exe	Win32/Tenga.gen virus	quarantined - deleted	AUTORITE NT\SYSTEM	Event occurred on a newly created file. The file was moved to quarantine. You may close this window. 
28/02/2008 10:02:41	AMON	file	E:\Azureus\jre\bin\javaw.exe	Win32/Tenga.gen virus	quarantined - deleted	AUTORITE NT\SYSTEM	Event occurred on a newly created file. The file was moved to quarantine. You may close this window. 
28/02/2008 10:00:17	AMON	file	E:\Azureus\jre\bin\javacpl.exe	Win32/Tenga.gen virus	quarantined - deleted	AUTORITE NT\SYSTEM	Event occurred on a newly created file. The file was moved to quarantine. You may close this window. 
28/02/2008 10:00:16	AMON	file	E:\Azureus\jre\bin\java.exe	Win32/Tenga.gen virus	quarantined - deleted	AUTORITE NT\SYSTEM	Event occurred on a newly created file. The file was moved to quarantine. You may close this window. 
28/02/2008 10:00:16	AMON	file	E:\Azureus\jre\bin\java-rmi.exe	Win32/Tenga.gen virus	quarantined - deleted	AUTORITE NT\SYSTEM	Event occurred on a newly created file. The file was moved to quarantine. You may close this window. 
28/02/2008 10:00:15	AMON	file	E:\Azureus\AzureusUpdater.exe	Win32/Tenga.gen virus	quarantined - deleted	AUTORITE NT\SYSTEM	Event occurred on a newly created file. The file was moved to quarantine. You may close this window. 
28/02/2008 10:00:11	AMON	file	E:\Azureus\Azureus.exe	Win32/Tenga.gen virus	quarantined - deleted	AUTORITE NT\SYSTEM	Event occurred on a newly created file. The file was moved to quarantine. You may close this window. 
26/02/2008 18:42:48	AMON	file	E:\XXX.FOLDER	Exploit/CodeBase virus	quarantined - deleted	AUTORITE NT\SYSTEM	Event occurred on a newly created file. The file was moved to quarantine. You may close this window. 
26/02/2008 18:42:13	AMON	file	E:\pamela\_aleste.exe	Python/Lesta.A worm	quarantined - deleted	AUTORITE NT\SYSTEM	Event occurred on a newly created file. The file was moved to quarantine. You may close this window. 
23/02/2008 23:06:52	AMON	file	E:\pamela\_aleste.exe	Python/Lesta.A worm	quarantined - deleted	AUTORITE NT\SYSTEM	Event occurred on a newly created file. The file was moved to quarantine. You may close this window. 
23/02/2008 19:59:40	AMON	file	E:\XXX.folder	Exploit/CodeBase virus	quarantined - deleted	AUTORITE NT\SYSTEM	Event occurred on a newly created file. The file was moved to quarantine. You may close this window. 
23/02/2008 19:55:31	AMON	file	E:\pamela\_aleste.exe	Python/Lesta.A worm	quarantined - deleted	AUTORITE NT\SYSTEM	Event occurred on a newly created file. The file was moved to quarantine. You may close this window. 
22/02/2008 20:43:24	AMON	file	E:\XXX.FOLDER	Exploit/CodeBase virus	quarantined - deleted	AUTORITE NT\SYSTEM	Event occurred on a newly created file. The file was moved to quarantine. You may close this window. 
22/02/2008 20:43:22	AMON	file	E:\pamela\_aleste.exe	Python/Lesta.A worm	quarantined - deleted	AUTORITE NT\SYSTEM	Event occurred on a newly created file. The file was moved to quarantine. You may close this window. 
21/02/2008 23:45:15	AMON	file	E:\pamela\_aleste.exe	Python/Lesta.A worm	quarantined - deleted	AUTORITE NT\SYSTEM	Event occurred on a newly created file. The file was moved to quarantine. You may close this window.

Troy · Answer

et voila vlc maintenant je peux te dire que c'est la panique sur mon pc la toute les 3min j'ai une alerte nod et un exe qui disparait!!

booddha · Answer

Effectivement, ça grouille

J'ai trouvé ça et apparemment cela à fonctionner
--------------------------------------------------------------------
pour Pamela

Faire CTRL+ALT+SUPPR

clic , si présent sur

Scripts.py2exe et clic ==> Terminer le processus
et
aleste.exe et clic ==> Terminer le processus
--------
supprimer

pamela ==> dans C:\Documents and Settings\All Users\Documents\

-----------
Démarrer==> Exécuter ==> Ecrire :regedit

presser :CTRL et F
Tout cocher
Ecrire ou copier/coller : pamela
clic : Suivant
Si trouvé ==> clic-droit et supprimer
relancer la recherche jusqu'à l'annonce de FIN
-----
pareil avec

aleste.exe

et
Scripts.py2exe


Il y a une suite

Troy · Answer

alors dans le gestionnaire des taches j'ai rien trouvé qui correspond ni pamela ==> dans C:\Documents and Settings\All Users\Documents\ il n'y est pas!ensuite avec le regedit...j'ai trouvé pamelacollections je l'ai supprimé trois fois voila pas plus

booddha · Answer

Trois fois? Pas à la même place ?

Troy · Answer

je crois bien oui

Troy · Answer

si a la meme place je crois

booddha · Answer

Désactiver les points de restauration du système
Pour cela
	•	Click-droit sur l'icône Poste de travail
	•	Click sur Propriétés
	•	Click sur l'onglet Restauration du système.
	•	Sélectionner Désactiver la Restauration du système 
	        ou Désactiver la Restauration du système sur tous les lecteurs
	•	Click sur Appliquer. 
  Tout les points de restauration seront supprimé. 
	•	Click sur Oui.
	•	Click sur OK.

Recommence ça

Démarrer==> Exécuter ==> Ecrire :regedit

presser :CTRL et F
Tout cocher
Ecrire ou copier/coller : pamela
clic : Suivant
Si trouvé ==> 

Refaire ça en mode sans echec (Imprime ou écris la procédure car en mode sans echec tu n'auras pas accés à internet)

Démarrer==> Exécuter ==> Ecrire :regedit

presser :CTRL et F
Tout cocher
Ecrire ou copier/coller : pamela
clic : Suivant
Si trouvé ==> clic-droit et supprimer
relancer la recherche jusqu'à l'annonce de FIN
-----
pareil avec

aleste.exe

et
Scripts.py2exe

Troy · Answer

rien trouvé dans les clés registres en mode sans echec rien du tout ni de pamela ni de aleste.exe ni Scripts.py2exe!??

booddha · Answer

Essaye de supprimer ton dossier pamela dans E:

Troy · Answer

c'est fait depuis hier

booddha · Answer

Tu m'as dit qu'il était revenu ! Ce n'est pas le cas?

Troy · Answer

je croyais mai la ya plus rien

booddha · Answer

On va s'occuper de l'autre

Une procédure qui semble avoir fonctionner 

Vas là http://www.secuser.com/antivirus/index.htm sous Internet explorer

Accepte de charger l'ActiveX

Accepte d'installer ce qu'on te propose.

Sélectionne tous tes disques et lance le scan sans cocher l'autonettoyage.

S'il te le propose nettoie ce qu'il trouve en acceptant et note ce qu'il enlève.

Reviens quand fini

Troy · Answer

c'est un air de deja vu mais j'ai petetre mal fait je te suis 
je fais ca et j'arrive

Troy · Answer

secuser n'a rien trouvé!

booddha · Answer

L'infestation continue ?

Troy · Answer

ya plus d'alertes mais je suis sur qu'ils sont toujours la quelque part ca fait toujours ca!

booddha · Answer

Essaie de supprimer le dossier XXX.folder (si tu n'y arrives pas essaye en mode sans echec)

Vide ta poubelle

Vide la quarantaine de NOD

Refais un coup de CCleaner

Remet moi un rapport hitjacthis (tu seras obligé de le télécharger, change son nom une fois fait en MonJack.exe par exemple).

On va mettre en surveillance.

Reviens s'il se passe quelque chose et reviens s'il ne se passe rien au-delà du temps que cela mettait pour se produire.

PS : Très important : Active le pare-feu de windows ou télécharge KERIO et installe le.

Troy · Answer

ok je viens d'activer le pare feu windows je fais tt ca et jarrive
merci

Troy · Answer

question avec ccleaner jcntrole tout ou seulement cke tu mavai dit de cocher la derniere foi kon l'a fait??

booddha · Answer

Comme la première fois

Troy · Answer

voila pour Ccleaner
ANALYSE COMPLETE - (0.022 secs)
------------------------------------------------------------------------------------------
17,6MB ont été supprimés. (Taille approximative)
------------------------------------------------------------------------------------------

Détails des fichiers à supprimer (Note: AUCUN fichier n'a pour l'instant été supprimé)
------------------------------------------------------------------------------------------
C:\Documents and Settings\Propriétaire\Cookies\propriétaire@activescan[1].txt 137 bytes
C:\Documents and Settings\Propriétaire\Cookies\propriétaire@ads.pointroll[2].txt 721 bytes
C:\Documents and Settings\Propriétaire\Cookies\propriétaire@advertising[2].txt 408 bytes
C:\Documents and Settings\Propriétaire\Cookies\propriétaire@bitdefender[2].txt 131 bytes
C:\Documents and Settings\Propriétaire\Cookies\propriétaire@bs.serving-sys[2].txt 140 bytes
C:\Documents and Settings\Propriétaire\Cookies\propriétaire@c.msn[1].txt 67 bytes
C:\Documents and Settings\Propriétaire\Cookies\propriétaire@commentcamarche[1].txt 118 bytes
C:\Documents and Settings\Propriétaire\Cookies\propriétaire@edt02[1].txt 500 bytes
C:\Documents and Settings\Propriétaire\Cookies\propriétaire@feedback.exalead[2].txt 277 bytes
C:\Documents and Settings\Propriétaire\Cookies\propriétaire@google[1].txt 130 bytes
C:\Documents and Settings\Propriétaire\Cookies\propriétaire@google[3].txt 136 bytes
C:\Documents and Settings\Propriétaire\Cookies\propriétaire@h.live[1].txt 68 bytes
C:\Documents and Settings\Propriétaire\Cookies\propriétaire@hotmail.msn[1].txt 71 bytes
C:\Documents and Settings\Propriétaire\Cookies\propriétaire@live[1].txt 394 bytes
C:\Documents and Settings\Propriétaire\Cookies\propriétaire@live[2].txt 395 bytes
C:\Documents and Settings\Propriétaire\Cookies\propriétaire@login.live[2].txt 173 bytes
C:\Documents and Settings\Propriétaire\Cookies\propriétaire@messenger.msn[1].txt 96 bytes
C:\Documents and Settings\Propriétaire\Cookies\propriétaire@msn[1].txt 425 bytes
C:\Documents and Settings\Propriétaire\Cookies\propriétaire@p.live[1].txt 104 bytes
C:\Documents and Settings\Propriétaire\Cookies\propriétaire@rad.live[2].txt 690 bytes
C:\Documents and Settings\Propriétaire\Cookies\propriétaire@rad.msn[1].txt 812 bytes
C:\Documents and Settings\Propriétaire\Cookies\propriétaire@sdv[1].txt 368 bytes
C:\Documents and Settings\Propriétaire\Cookies\propriétaire@serviceswitching[1].txt 147 bytes
C:\Documents and Settings\Propriétaire\Cookies\propriétaire@serving-sys[1].txt 592 bytes
C:\Documents and Settings\Propriétaire\Cookies\propriétaire@smartadserver[1].txt 379 bytes
C:\Documents and Settings\Propriétaire\Cookies\propriétaire@ssl-hints.netflame[1].txt 155 bytes
C:\Documents and Settings\Propriétaire\Cookies\propriétaire@t.msn[2].txt 329 bytes
C:\Documents and Settings\Propriétaire\Cookies\propriétaire@traductionexpress[1].txt 279 bytes
C:\Documents and Settings\Propriétaire\Cookies\propriétaire@translate.google[2].txt 307 bytes
C:\Documents and Settings\Propriétaire\Cookies\propriétaire@wdcs.trendmicro[1].txt 148 bytes
C:\Documents and Settings\Propriétaire\Cookies\propriétaire@windowsmarketplace[2].txt 263 bytes
C:\Documents and Settings\Propriétaire\Cookies\propriétaire@www.trendmicro[1].txt 144 bytes
C:\Documents and Settings\Propriétaire\Cookies\propriétaire@xiti[1].txt 100 bytes
C:\Documents and Settings\Propriétaire\Cookies\propriétaire@yahoo[2].txt 166 bytes
C:\Documents and Settings\Propriétaire\Cookies\propriétaire@zune[2].txt 235 bytes
C:\WINDOWS\TEMP\exp5FB.tmp 0 bytes
C:\Documents and Settings\Propriétaire\Local Settings\Temp\Arabic.bin 20,48KB
C:\Documents and Settings\Propriétaire\Local Settings\Temp\Czech.bin 23,74KB
C:\Documents and Settings\Propriétaire\Local Settings\Temp\Danish.bin 22,25KB
C:\Documents and Settings\Propriétaire\Local Settings\Temp\Dutch.bin 25,14KB
C:\Documents and Settings\Propriétaire\Local Settings\Temp\English.bin 21,40KB
C:\Documents and Settings\Propriétaire\Local Settings\Temp\Finnish.bin 22,32KB
C:\Documents and Settings\Propriétaire\Local Settings\Temp\French.bin 26,60KB
C:\Documents and Settings\Propriétaire\Local Settings\Temp\German.bin 25,15KB
C:\Documents and Settings\Propriétaire\Local Settings\Temp\Greek.bin 24,49KB
C:\Documents and Settings\Propriétaire\Local Settings\Temp\hcScan.html 12,29KB
C:\Documents and Settings\Propriétaire\Local Settings\Temp\Hebrew.bin 19,09KB
C:\Documents and Settings\Propriétaire\Local Settings\Temp\Hungarian.bin 25,47KB
C:\Documents and Settings\Propriétaire\Local Settings\Temp\IHD7.tmp 0 bytes
C:\Documents and Settings\Propriétaire\Local Settings\Temp\Italian.bin 26,77KB
C:\Documents and Settings\Propriétaire\Local Settings\Temp\Japanese.bin 23,73KB
C:\Documents and Settings\Propriétaire\Local Settings\Temp\Korean.bin 19,66KB
C:\Documents and Settings\Propriétaire\Local Settings\Temp\MessengerCache\0DDsAV97UdAMUGL2FSdGEQU+UNqY= 25,25KB
C:\Documents and Settings\Propriétaire\Local Settings\Temp\MessengerCache\3Ccachedsoap id=22-191140113322 2F3E 3,82KB
C:\Documents and Settings\Propriétaire\Local Settings\Temp\MessengerCache\8qQo7eBooZ+t3DfFYutGKXZ61ik= 2,91KB
C:\Documents and Settings\Propriétaire\Local Settings\Temp\MessengerCache\BHO71PXSpk4pBCn4rYkpMP9XJ1c= 25,58KB
C:\Documents and Settings\Propriétaire\Local Settings\Temp\MessengerCache\h4LuFtGaaKKryeHJ2FNlzJCGS1rY= 3,17KB
C:\Documents and Settings\Propriétaire\Local Settings\Temp\Norwegian.bin 21,45KB
C:\Documents and Settings\Propriétaire\Local Settings\Temp\Polish.bin 23,65KB
C:\Documents and Settings\Propriétaire\Local Settings\Temp\Portuguese(Brazil).bin 24,48KB
C:\Documents and Settings\Propriétaire\Local Settings\Temp\Portuguese.bin 25,64KB
C:\Documents and Settings\Propriétaire\Local Settings\Temp\Russian.bin 25,51KB
C:\Documents and Settings\Propriétaire\Local Settings\Temp\SimChin.bin 16,02KB
C:\Documents and Settings\Propriétaire\Local Settings\Temp\Spanish.bin 27,10KB
C:\Documents and Settings\Propriétaire\Local Settings\Temp\SWEDISH.bin 23,52KB
C:\Documents and Settings\Propriétaire\Local Settings\Temp\Thai.bin 21,46KB
C:\Documents and Settings\Propriétaire\Local Settings\Temp\TradChin.bin 16,55KB
C:\Documents and Settings\Propriétaire\Local Settings\Temp\Turkish.bin 21,73KB
Cache Internet de Firefox/Mozilla (113 fichiers) 17,0MB
Cookie supprimé: sdv.fr
Cookie supprimé: commentcamarche.net
Cookie supprimé: xiti.com
Cookie supprimé: yahoo.com
Cookie supprimé: google.com
Cookie supprimé: google.fr
Cookie supprimé: www.01net.com
Cookie supprimé: smartadserver.com
Cookie supprimé: weborama.fr
Cookie supprimé: iframe.mediaplazza.com
Cookie supprimé: www.01men.com
Cookie supprimé: symantec.com
Cookie supprimé: forum.telecharger.01net.com
Cookie supprimé: www.telecharger.net
Cookie supprimé: visites.nimes.cci.fr
Cookie supprimé: wysistat.com
Cookie supprimé: www.expo-nimes.com
Cookie supprimé: emsisoft.net
Cookie supprimé: emsisoft.com
Cookie supprimé: serving-sys.com
Cookie supprimé: bs.serving-sys.com
Cookie supprimé: bluestreak.com
Cookie supprimé: advertising.com
Cookie supprimé: doubleclick.net
Cookie supprimé: pcentraide.com
Cookie supprimé: betanews.com
Cookie supprimé: fileforum.betanews.com
Cookie supprimé: www.safer-networking.org
Cookie supprimé: aus2.mozilla.org
Cookie supprimé: clubic.com
Cookie supprimé: edt02.net
Cookie supprimé: 247realmedia.com
Cookie supprimé: atomz.com
Cookie supprimé: atdmt.com
Cookie supprimé: mozilla.com
Cookie supprimé: www.spamfighter.com
Cookie supprimé: avast.com
Cookie supprimé: download.mozilla.org
Cookie supprimé: netavenir.com
Cookie supprimé: promobenef.com
Cookie supprimé: sur-la-toile.com
Cookie supprimé: toplist.cz
Cookie supprimé: youjob.com
Cookie supprimé: espace.netavenir.com
Cookie supprimé: webscanner.kaspersky.fr
Cookie supprimé: www.viruslist.com
Cookie supprimé: www.youjob.com
------------------------------------------------------------------------------------------

Troy · Answer

et le hijack
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:53:13, on 29/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\mdm.exe
C:\Program Files\Eset
od32krn.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Eset
od32kui.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\DartyBox Wifi\SAGEM WiFi manager\WLANUTL.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://127.0.0.1:4664/about&s=VQY-KKuWVVMAQgoO_fbjmPlTrNs
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset
od32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\pchealth\helpctr\Binaries\MSCONFIG.EXE /auto
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - https://www.touslesdrivers.com/index.php?v_page=29
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Program Files\Eset
od32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe

booddha · Answer

Bon le pare-feu n'apparait pas comme activé mais je pense que tu l'as fait.

Je ne vois plus rien dans ton rapport

On va croiser les doigts

Fais ça pour finir

Désactiver les points de restauration du système
Pour cela
	•	Click-droit sur l'icône Poste de travail
	•	Click sur Propriétés
	•	Click sur l'onglet Restauration du système.
	•	Sélectionner Désactiver la Restauration du système 
	        ou Désactiver la Restauration du système sur tous les lecteurs
	•	Click sur Appliquer. 
  Tout les points de restauration seront supprimé. 
	•	Click sur Oui.
	•	Click sur OK.
	•	Relancer la machine
	
	Activer / réactiver la restauration du système de Windows XP

	•	Click avec le bouton droit sur Poste de travail 
	•	Click sur Propriétés.
	•	Click sur l'onglet Restauration du système.
	•	Désélectionner Désactiver la Restauration du système 
	        ou Désactiver la Restauration du système sur tous les lecteurs.
	•	Click sur Appliquer
	•	Click Ok

      La restauration du système créera régulièrement des sauvegardes 
      de fichiers système et fichiers de programme sélectionnés.

Troy · Answer

voila j'ai tout fait a la lettre!!

booddha · Answer

Et ben a+ (sans problème j'espère)

Reviens si ça reproduit.

Troy · Answer

ok ca marche merci pour toutes ces infos!et dis moi juste une chose c'est ton metier d'aider les internautes en detresse??ou c'est juste comme ca?

Infesté de vers au secours!!

69 réponses

Votre réponse

Discussions similaires

Newsletters