Besoin d'une aide Trojan BHO.DFZ+ d'autres

Question

Bonjour,
j'ai était infesté par un trojan Horse BHO.DFZ et depuis AVG a repéré plusieur virus et autre trojan qui se restaure à chaque fois .Je n'y connait pa gd chose mais g lancé vundofix.exe dont voici le rapport ainsi qu'un scan de Hijackthis 

VundoFix V6.7.10

Checking Java version...

Java version is 1.5.0.9
Old versions of java are exploitable and should be removed.

Java version is 1.5.0.10

Scan started at 21:29:33 29/02/2008

Listing files found while scanning....

C:\WINDOWS\system32\ghhkj.ini
C:\WINDOWS\system32\ghhkj.ini2
C:\WINDOWS\system32\jkhhg.dll
C:\WINDOWS\system32\pmnligh.dll

Beginning removal...

 Attempting to delete C:\WINDOWS\system32\ghhkj.ini
C:\WINDOWS\system32\ghhkj.ini Has been deleted!

 Attempting to delete C:\WINDOWS\system32\ghhkj.ini2
C:\WINDOWS\system32\ghhkj.ini2 Has been deleted!

 Attempting to delete C:\WINDOWS\system32\jkhhg.dll
C:\WINDOWS\system32\jkhhg.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\pmnligh.dll
C:\WINDOWS\system32\pmnligh.dll Could not be deleted.

Performing Repairs to the registry.
Done!

Beginning removal...

 Attempting to delete C:\WINDOWS\system32\pmnligh.dll
C:\WINDOWS\system32\pmnligh.dll Could not be deleted.

Performing Repairs to the registry.
Done!



et voici celui d'Hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:22:03, on 01/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\Rundll32.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\RocketDock\RocketDock.exe
C:\Program Files\LClock\LClock.exe
C:\Program Files\UberIcon\UberIcon Manager.exe
C:\Program Files\YzShadow\YzShadow.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\system32
vsvc32.exe
C:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32undll32.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: (no name) - {4F11ACBB-393F-4C86-A214-FF3D0D155CC3} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: LClock.lnk = C:\Program Files\LClock\LClock.exe
O4 - Startup: RocketDock.lnk = C:\Program Files\RocketDock\RocketDock.exe
O4 - Startup: UberIcon.lnk = C:\Program Files\UberIcon\UberIcon Manager.exe
O4 - Startup: YzShadow.lnk = C:\Program Files\YzShadow\YzShadow.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{8AF8F771-D9B7-45D4-9170-702EB34BB7E3}: NameServer = 192.168.0.250
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Cycling Manager 2007 Drivers Auto Removal (pr2akt6c) (pr2akt6c) - Cyanide - C:\WINDOWS\system32\pr2akt6c.exe

afideg · Answer

Bonjour

Relance VundoFix et poste le rapport SVP

Al.

clems · Answer

voila le nouveau rapport de vundo

VundoFix V6.7.10

Checking Java version...

Java version is 1.5.0.9
Old versions of java are exploitable and should be removed.

Java version is 1.5.0.10

Scan started at 21:36:13 01/03/2008

Listing files found while scanning....

C:\WINDOWS\system32\ihkmp.ini
C:\WINDOWS\system32\ihkmp.ini2
C:\WINDOWS\system32\pmkhi.dll
C:\WINDOWS\system32\pmnligh.dll

Beginning removal...

 Attempting to delete C:\WINDOWS\system32\ihkmp.ini
C:\WINDOWS\system32\ihkmp.ini Has been deleted!

 Attempting to delete C:\WINDOWS\system32\ihkmp.ini2
C:\WINDOWS\system32\ihkmp.ini2 Has been deleted!

 Attempting to delete C:\WINDOWS\system32\pmkhi.dll
C:\WINDOWS\system32\pmkhi.dll Could not be deleted.

 Attempting to delete C:\WINDOWS\system32\pmnligh.dll
C:\WINDOWS\system32\pmnligh.dll Could not be deleted.

Performing Repairs to the registry.
Done!

Beginning removal...

 Attempting to delete C:\WINDOWS\system32\ihkmp.ini
C:\WINDOWS\system32\ihkmp.ini Has been deleted!

 Attempting to delete C:\WINDOWS\system32\ihkmp.ini2
C:\WINDOWS\system32\ihkmp.ini2 Has been deleted!

 Attempting to delete C:\WINDOWS\system32\pmkhi.dll
C:\WINDOWS\system32\pmkhi.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\pmnligh.dll
C:\WINDOWS\system32\pmnligh.dll Could not be deleted.

Performing Repairs to the registry.
Done!



sinon AVG repere "virus found lop " et "virus found win32/polycrypt

afideg · Answer

Re,
J'arrive
Suite à coupure de courant réseau
Désolé

clems · Answer

il n'y a pas de mal .
je patienté en essayant de comprendre a quoi correspondait tout ce charabia :-)

afideg · Answer

(suite)

A)- Connais-tu ce service Cycling Manager 2007 Drivers Auto Removal qui est en
O23 - Service: Cycling Manager 2007 Drivers Auto Removal (pr2akt6c) (pr2akt6c) - Cyanide - C:\WINDOWS\system32\pr2akt6c.exe

B)- - Ensuite vas là :< https://www.virustotal.com/gui/ >
ou là < http://www.virustotal.com/en/indexf.html >
•- sur la page qui s'affiche tu cliques sur "parcourir"
•- ensuite sur la nouvelle page qui s'affiche, tu suis le chemin du fichier en gras ci-après
•- c'est-à-dire :

C:\WINDOWS\system32\\pr2akt6c.exe

•- quand tu as trouvé le premier fichier pr2akt6c.exe , tu fais "ouvrir" ( sur cette dernière page affichée)
•- le fichier pr2akt6c.exe se retrouve alors ainsi dans la fenêtre de Virustotal, pour l'analyse
•- là, tu cliques sur "send file" = « Envoyer » ( de la page de Virustotal )
•- et tu attends le résultat (il faut parfois patienter)
Dans l'encadré: « Situation actuelle: terminé »  cliquer sur “Formaté”
Une nouvelle fenêtre de votre navigateur apparaîtra...
Dans la nouvelle fenêtre, cliquer sur cette image : < http://img215.imageshack.us/img215/6039/virustotalpourcopierip3.jpg >
Faire un clic droit sur la page, choisir => Sélectionner tout, puis encore clic droit => Copier... Enfin, clic droit => Coller le(s) résultat(s) dans le WordPad ou Bloc-Notes.

C)- Supprime ton Lavasoft AB Ad-Aware 2007 que je vois ici O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
==> La version gratuite n'offre pas de protection en temps réel, ça reste un scanneur donc l'efficacité est plus qu'à douter, voir : https://forum.malekal.com/viewtopic.php?f=45&t=8046
Fais ceci: Clic sur « Démarrer » > « Exécuter » ; ensuite, dans la lucarne de saisie, coller (recommencer pour chacune des trois commandes suivantes) :
1°- sc stop aawservice > valider par [OK]
2°- sc config aawservice start= disabled > valider par [OK]
3°- sc delete aawservice > valider par [OK]

D)- Télécharger _OTMoveIt (de Old_Timer) sur ton Bureau.
http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe

- Double-cliquer sur OTMoveIt.exe pour le lancer.
-copier/coller cette liste en caractères gras :

C:\Program Files\Lavasoft
C:\Program Files\RocketDock
C:\Program Files\UberIcon
C:\Program Files\YzShadow

- et colle-la dans le cadre supérieur gauche de OTMoveIt2 : « Paste standard List of Files/Folders to be moved »
-cliquer sur MoveIt! pour lancer la suppression.
-le résultat apparaîtra dans le cadre "Results".
-cliquer sur "Exit" pour fermer.
-un rapport est situé dans C:\_OTMoveIt\MovedFiles.
Poste-le SVP, merci

Il te sera peut-être demandé de redémarrer le pc pour achever la suppression.
Si c'est le cas accepte par Yes.

E)- Termine par ceci, SVP :

Relance encore VundoFix, avec rapport SVP.

Ensuite télécharge ComboFix à partir d'un de ces liens :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
https://forospyware.com

Et important, enregistre-le sur le bureau.

Avant d'utiliser ComboFix :
==> Déconnecte ton PC d'Internet et referme les fenêtres de tous les programmes en cours.
==> Désactive provisoirement (et seulement le temps de l'utilisation de ComboFix), la protection en temps réel de ton Antivirus et de tes Antispywares, (activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil).

Une fois fait, sur ton bureau double-clic sur Combofix.exe.
- Réponds oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
/!\ Pendant la durée de cette étape, ne te sers pas du pc et n'ouvre aucun programme.
Soit patient (même si tu penses que le PC est arrêté) ; les temps « d'arrêt apparent » sont parfois de plusieurs minutes (il y a ± 40 étapes d’analyse). / !\
- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisse-le faire.
- Un rapport s'ouvrira ensuite dans le bloc-notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

==> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à Internet.
==> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

PS: C'est bizarre que ton Grisoft Internet Security Suite ne supprime rien !
Bonne chance
Al.

clems · Answer

A) il s'agit d'un jeu . c'est en téléchargeant le crack no cd pour facilité le fonctionnement du jeu que j'ai chopé le trojan.  Depuis j'ai trouvé le bon crack no cd qui marche parfaitement mais peut etre est il aussi infesté. il est en cour d'analyse

D) cela correspond a un programme que j'ai installé pour changé l'apparence de windows ( icone , bureau , fenetre, barre des tache ) cela fait longtemps que je l'est et je ne pense pas que le probleme vienne de là. Enfin c'est pas moi le pro ^^ ! je le fait quant meme??

afideg · Answer

Re

Oui, pour D)-  je préfèrerais que tu supprimes maintenant; quitte à re-télécharger plus tard.
Merci
En tout cas, plusieurs ont des soucis à cause de ces:
 C:\Program Files\RocketDock 
C:\Program Files\UberIcon 
C:\Program Files\YzShadow 


Mais ce n'est pas le plus important.
Je veux mettre les chances de notre côté.

Le plus important c'est la suite VundoFix et ComboFix

clems · Answer

Re , 
virus total vient tout juste de terminer l'analyse il m'a mit : 
 Fichier pr2akt6c.exe reçu le 2008.03.01 22:50:07 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat:
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: ___.
L'heure estimée de démarrage est entre ___ et ___ .
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Formaté
Impression des résultats Impression des résultats
Votre fichier a expiré ou n'existe pas. 

Je recommence ou pas??


sinon coment je fait pour désactivé mon antivirus??

je vais faire les autre analyse que tu m'a demandé

afideg · Answer

Re,

1°- Oui, recommence l'analyse du fichier "pr2akt6c.exe" en suivant à la lettre la procédure.
J'insiste: IL FAUT PATIENTER.   ;)
Je doute de ce fichier.


2°- Pour désactiver ton AVG, près de l'horloge, n'as-tu pas sa miniature ==>  clic droit > ouvrir > quitter/désactiver.
(je ne sais pas être précis, je n'ai pas ce logiciel ==> mais tu dois mieux le connaître que moi; je te fais confiance).


3°- Relance HJT  « Do a system Scan only », sur la page/rapport qui s'affiche ( laisse lui le temps de tout scanner )  coche la case devant cette ligne:
O3 - Toolbar: (no name) - {4F11ACBB-393F-4C86-A214-FF3D0D155CC3} - (no file)
 ==> Burn4Free is a potentially unwanted application.
•- et ensuite Clic [Fix checked]  &#61672; (fixer =corriger)


4°- Oui, il me faut les deux derniers examens 
(et il se fait tard) ==> ton PC est bien atteint !


Al.

clems · Answer

voila le rapport de virus total ! sa n'avait pas du marcher la première fois :

Fichier pr2akt6c.exe reçu le 2008.03.01 23:54:53 (CET)
Antivirus	Version	Dernière mise à jour	Résultat
AhnLab-V3	2008.2.29.1	2008.02.29	-
AntiVir	7.6.0.73	2008.02.29	-
Authentium	4.93.8	2008.03.01	-
Avast	4.7.1098.0	2008.03.01	-
AVG	7.5.0.516	2008.03.01	-
BitDefender	7.2	2008.03.01	-
CAT-QuickHeal	9.50	2008.03.01	-
ClamAV	0.92.1	2008.03.01	-
DrWeb	4.44.0.09170	2008.03.01	-
eSafe	7.0.15.0	2008.02.28	-
eTrust-Vet	31.3.5574	2008.02.29	-
Ewido	4.0	2008.03.01	-
FileAdvisor	1	2008.03.01	-
Fortinet	3.14.0.0	2008.03.01	-
F-Prot	4.4.2.54	2008.03.01	-
F-Secure	6.70.13260.0	2008.03.01	-
Ikarus	T3.1.1.20	2008.03.01	-
Kaspersky	7.0.0.125	2008.03.01	-
McAfee	5242	2008.02.29	-
Microsoft	1.3301	2008.03.01	-
NOD32v2	2913	2008.03.01	-
Norman	5.80.02	2008.02.29	-
Panda	9.0.0.4	2008.03.01	-
Prevx1	V2	2008.03.01	-
Rising	20.33.52.00	2008.03.01	-
Sophos	4.27.0	2008.03.01	-
Sunbelt	3.0.906.0	2008.02.28	-
Symantec	10	2008.03.01	-
TheHacker	6.2.9.230	2008.03.01	-
VBA32	3.12.6.2	2008.02.27	-
VirusBuster	4.3.26:9	2008.02.29	-
Webwasher-Gateway	6.6.2	2008.03.01	-
Information additionnelle
File size: 411016 bytes
MD5: da3479a44ae85a7cd87c5269579e32f1
SHA1: 7539a8d8f3444b2f73a85fa7a8bbb37d6eebe7aa
PEiD: -


et voici le rapport d'OTMoveIt.exe : 

File/Folder C:\Program Files\Lavasoft not found.
C:\Program Files\RocketDock\Skins\ProtoTree moved successfully.
C:\Program Files\RocketDock\Skins\ProtoSteel moved successfully.
C:\Program Files\RocketDock\Skins\ProtoSky moved successfully.
C:\Program Files\RocketDock\Skins\ProtoSea moved successfully.
C:\Program Files\RocketDock\Skins\ProtoIron moved successfully.
C:\Program Files\RocketDock\Skins\ProtoGlass moved successfully.
C:\Program Files\RocketDock\Skins\ProtoClay moved successfully.
C:\Program Files\RocketDock\Skins\AstroSteel moved successfully.
C:\Program Files\RocketDock\Skins\AstroOrange moved successfully.
C:\Program Files\RocketDock\Skins\AstroLife moved successfully.
C:\Program Files\RocketDock\Skins\AstroIron moved successfully.
C:\Program Files\RocketDock\Skins\AstroGrey moved successfully.
C:\Program Files\RocketDock\Skins\AstroGlass moved successfully.
C:\Program Files\RocketDock\Skins moved successfully.
C:\Program Files\RocketDock\License_files moved successfully.
C:\Program Files\RocketDock\Languages moved successfully.
C:\Program Files\RocketDock\Icons moved successfully.
C:\Program Files\RocketDock\Docklets moved successfully.
C:\Program Files\RocketDock\Defaults\DefaultSkin moved successfully.
C:\Program Files\RocketDock\Defaults\DefaultIcons moved successfully.
C:\Program Files\RocketDock\Defaults moved successfully.
C:\Program Files\RocketDock\Data moved successfully.
Folder move failed. C:\Program Files\RocketDock scheduled to be moved on reboot.
C:\Program Files\UberIcon\UberAPI moved successfully.
C:\Program Files\UberIcon\Plugins\iZoom\Source moved successfully.
C:\Program Files\UberIcon\Plugins\iZoom moved successfully.
C:\Program Files\UberIcon\Plugins\iBounce\Source moved successfully.
C:\Program Files\UberIcon\Plugins\iBounce moved successfully.
C:\Program Files\UberIcon\Plugins\FlatOut moved successfully.
C:\Program Files\UberIcon\Plugins moved successfully.
C:\Program Files\UberIcon\License_files moved successfully.
C:\Program Files\UberIcon\Languages moved successfully.
C:\Program Files\UberIcon\Data\About moved successfully.
C:\Program Files\UberIcon\Data moved successfully.
Folder move failed. C:\Program Files\UberIcon scheduled to be moved on reboot.
C:\Program Files\YzShadow\Languages moved successfully.
Folder move failed. C:\Program Files\YzShadow scheduled to be moved on reboot.
 
OTMoveIt2 v1.0.20 log created on 03012008_233453

je redémar et je lance le reste

afideg · Answer

Merci
à+..

clems · Answer

sa y est !!!!
alors voila le rapport de vondo :

VundoFix V6.7.10

Checking Java version...

Java version is 1.5.0.9
Old versions of java are exploitable and should be removed.

Java version is 1.5.0.10

Scan started at 23:39:01 01/03/2008

Listing files found while scanning....

C:\WINDOWS\system32\edeeg.ini
C:\WINDOWS\system32\edeeg.ini2
C:\WINDOWS\system32\geede.dll
C:\WINDOWS\system32\pmnligh.dll

Beginning removal...

Attempting to delete C:\WINDOWS\system32\edeeg.ini
C:\WINDOWS\system32\edeeg.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\edeeg.ini2
C:\WINDOWS\system32\edeeg.ini2 Has been deleted!

Attempting to delete C:\WINDOWS\system32\geede.dll
C:\WINDOWS\system32\geede.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\pmnligh.dll
C:\WINDOWS\system32\pmnligh.dll Could not be deleted.

Performing Repairs to the registry.
Done!

et celui de combofix :

ComboFix 08-03-01.3 - Famille Brière 2008-03-02 0:13:31.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.707 [GMT 1:00]
Endroit: C:\Documents and Settings\Famille Brière\Bureau\ComboFix.exe
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!/b/color
.
[i] ADS - ntoskrnl.exe: deleted 88 bytes in 2 streams. /i

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\pmnligh.dll
C:\WINDOWS\system32\uninstall.exe

.
((((((((((((((((((((((((((((( Fichiers créés 2008-02-01 to 2008-03-01 ))))))))))))))))))))))))))))))))))))
.

2008-03-01 23:34 . 2008-03-01 23:34 <REP> d-------- C:\_OTMoveIt
2008-03-01 21:19 . 2008-03-01 21:19 <REP> d-------- C:\Program Files\Trend Micro
2008-02-29 21:29 . 2008-03-02 00:07 <REP> d-------- C:\VundoFix Backups
2008-02-26 22:41 . 2008-02-26 22:41 63,871 --a------ C:\WINDOWS\BMdfa7fce4.xml
2008-02-26 22:41 . 2008-02-27 10:32 22 --a------ C:\WINDOWS\pskt.ini

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-01 23:18 --------- d-----w C:\Program Files\eMule
2008-03-01 22:34 --------- d-----w C:\Program Files\YzShadow
2008-03-01 22:34 --------- d-----w C:\Program Files\UberIcon
2008-03-01 22:34 --------- d-----w C:\Program Files\RocketDock
2008-03-01 21:52 --------- d-----w C:\Program Files\Fichiers communs\Wise Installation Wizard
2008-02-29 19:20 --------- d-----w C:\Program Files\Everest Poker
2008-02-20 15:47 --------- d-----w C:\Program Files\Mozilla Thunderbird
2008-02-17 15:30 --------- d-----w C:\Program Files\WWP
2008-02-14 20:26 --------- d-----w C:\Program Files\Pingus
2008-02-13 12:15 --------- d-----w C:\Program Files\SuperTux 0.3.0
2008-01-25 14:23 --------- d-----w C:\Program Files\MP3Gain
2008-01-22 17:45 --------- d-----w C:\Program Files\iTunes
2008-01-22 17:44 --------- d-----w C:\Program Files\iPod
2008-01-22 17:40 --------- d-----w C:\Program Files\QuickTime
2008-01-07 15:01 --------- d-----w C:\Program Files\Paradox Interactive
2008-01-06 12:44 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-01-06 12:44 --------- d-----w C:\Program Files\Vivendi Universal Games
2008-01-05 12:37 --------- d-----w C:\Program Files\Wormux
2008-01-04 11:11 --------- d-----w C:\Program Files\Sauerbraten
2008-01-03 15:45 --------- d-----w C:\Program Files\Pointstone
2008-01-03 13:18 --------- d-----w C:\Program Files\Fichiers communs\Pointstone
2008-01-02 21:31 --------- d-----w C:\Program Files\Cube
2008-01-02 18:29 --------- d-----w C:\Program Files\3DBELOTE
2007-12-16 11:48 5,000,700,653 ----a-w C:\Program Files\Pc Game Pes Pro Evolution Soccer 2008 Multilanguage (It,Es,En,Fr,De) By Basileuon.rar
2007-12-09 20:46 41,575 ----a-w C:\WINDOWS\BricoPackUninst.cmd
2007-10-27 10:06 5,812,650,152 ----a-w C:\Program Files\PES_PRO_EVOLUTION_SOCCER_2008_MULTILANGUAGE_(IT,ES,EN,FR,DE)_by_basileuon.nrg
2007-09-16 17:36 158,720 --sha-w C:\Program Files\Thumbs.db
.

------- Sigcheck -------

1bd6c2f707a275cb7c16fd99fe0f31ca C:\WINDOWS\system32\svchost.exe
----a-w 14,336 2004-08-03 22:55:02 C:\WINDOWS\system32\svchost.exe
-c--a-w 14,336 2004-08-03 22:55:02 C:\WINDOWS\system32\dllcache\svchost.exe

89bb24d6a541f2fdc85099dff594a5d7 C:\WINDOWS\system32\user32.dll
----a-w 578,048 2005-03-02 18:20:32 C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\user32.dll
----a-w 579,072 2007-03-08 15:50:30 C:\WINDOWS\$hf_mig$\KB925902\SP2QFE\user32.dll
-c----w 572,416 2004-08-03 22:54:44 C:\WINDOWS\$NtUninstallKB890859$\user32.dll
-c----w 578,048 2005-03-02 18:10:36 C:\WINDOWS\$NtUninstallKB925902$\user32.dll
----a-w 572,928 2007-03-08 15:37:50 C:\WINDOWS\system32\user32.dll
-c--a-w 572,928 2007-03-08 15:37:50 C:\WINDOWS\system32\dllcache\user32.dll

bc41f51a39d3b255805fdb759b7814ae C:\WINDOWS\system32\ws2_32.dll
----a-w 82,944 2004-08-03 22:54:48 C:\WINDOWS\system32\ws2_32.dll
-c--a-w 82,944 2004-08-03 22:54:48 C:\WINDOWS\system32\dllcache\ws2_32.dll

1dbf125862891817f374f407626967f4 C:\WINDOWS\system32\drivers\tcpip.sys
----a-w 360,576 2006-04-20 12:18:35 C:\WINDOWS\$hf_mig$\KB917953\SP2QFE\tcpip.sys
-c----w 359,040 2004-08-03 21:14:42 C:\WINDOWS\$NtUninstallKB917953$\tcpip.sys
-c--a-w 359,808 2006-04-20 11:51:50 C:\WINDOWS\system32\dllcache\tcpip.sys
----a-w 359,808 2006-04-20 11:51:50 C:\WINDOWS\system32\drivers\tcpip.sys

d2de785aeab0bb8ca4c14a8a199dbe4e C:\WINDOWS\system32\winlogon.exe
----a-w 506,368 2004-08-03 22:55:02 C:\WINDOWS\system32\winlogon.exe
-c--a-w 506,368 2004-08-03 22:55:02 C:\WINDOWS\system32\dllcache\winlogon.exe

558635d3af1c7546d26067d5d9b6959e C:\WINDOWS\system32\drivers\ndis.sys
-c--a-w 182,912 2004-08-03 21:14:30 C:\WINDOWS\system32\dllcache\ndis.sys
----a-w 182,912 2004-08-03 21:14:30 C:\WINDOWS\system32\drivers\ndis.sys

4448006b6bc60e6c027932cfc38d6855 C:\WINDOWS\system32\drivers\ip6fw.sys
-c--a-w 29,056 2004-08-03 21:00:08 C:\WINDOWS\system32\dllcache\ip6fw.sys
----a-w 29,056 2004-08-03 21:00:08 C:\WINDOWS\system32\drivers\ip6fw.sys
c3f264bfcc33d4e09ca242df5fd06356 C:\WINDOWS\explorer.exe
----a-w 3,801,600 2007-06-13 13:22:28 C:\WINDOWS\explorer.exe
----a-w 1,037,312 2007-06-13 13:10:53 C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe
-c----w 3,800,576 2004-08-03 22:54:50 C:\WINDOWS\$NtUninstallKB938828$\explorer.exe
-c--a-w 3,801,600 2007-06-13 13:22:28 C:\WINDOWS\system32\dllcache\explorer.exe
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{9B78E359-84BD-4042-A844-4B0B1B9029F6}]
C:\WINDOWS\system32\geede.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:54 15360]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-10-13 17:24 1694208]
"RocketDock"="C:\_OTMoveIt\MovedFiles\[u]0/u3012008_233453\Program Files\RocketDock\RocketDock.exe" [2006-02-02 09:57 389120]
"eMuleAutoStart"="C:\Program Files\eMule\emule.exe" [2007-05-13 15:57 5308416]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-08-28 00:29 8466432]
"nwiz"="nwiz.exe" [2007-08-28 00:29 1626112 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-08-28 00:29 81920]
"P17Helper"="P17.dll" [2005-05-03 19:38 64512 C:\WINDOWS\system32\P17.dll]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2007-12-20 21:08 579072]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-03 23:54 15360]
"AVG7_Run"="C:\PROGRA~1\Grisoft\AVG7\avgw.exe" [2007-11-19 22:23 219136]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=MsgPlusLoader.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\eMule\\emule.exe"=
"C:\\Program Files\\Grisoft\\AVG7\\avginet.exe"=
"C:\\Program Files\\Grisoft\\AVG7\\avgamsvr.exe"=
"C:\\Program Files\\Grisoft\\AVG7\\avgcc.exe"=
"C:\\Program Files\\Grisoft\\AVG7\\avgemc.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"C:\\Program Files\\KONAMI\\Pro Evolution Soccer 2008\\PES2008.exe"=
"C:\\Program Files\\iTunes\\iTunes.exe"=
"C:\\Program Files\\Cyanide\\Pro Cycling Manager 2007\\PCM.exe"=

R0 pe3akt6c;Cycling Manager 2007 Environment Driver (pe3akt6c);C:\WINDOWS\system32\drivers\pe3akt6c.sys [2007-06-08 18:29]
R0 pf2akt6c;Cycling Manager 2007 File System Driver (pf2akt6c);C:\WINDOWS\system32\drivers\pf2akt6c.sys [2007-06-08 18:28]
R0 ps6akt6c;Cycling Manager 2007 Synchronization Driver (ps6akt6c);C:\WINDOWS\system32\drivers\ps6akt6c.sys [2007-06-08 18:28]
R0 ps7akt6c;Cycling Manager 2007 Synchronization Driver (ps7akt6c);C:\WINDOWS\system32\drivers\ps7akt6c.sys [2007-09-28 11:05]
S2 pr2akt6c;Cycling Manager 2007 Drivers Auto Removal (pr2akt6c);C:\WINDOWS\system32\pr2akt6c.exe svc []
S3 Fadpu16E;Fadpu16E;C:\DOCUME~1\FAMILL~1\LOCALS~1\Temp\Fadpu16E.sys []
S3 SetupNTGLM7X;SetupNTGLM7X;E:\NTGLM7X.sys []
S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 23:08]

.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2007-11-19 21:10:07 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-02 00:18:09
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs a chargé sous des processus courants ---------------------

PROCESS: C:\WINDOWS\explorer.exe [6.00.2900.3156]
-> C:\_OTMoveIt\MovedFiles\[u]0/u3012008_233453\Program Files\UberIcon\UberIcon.dll
-> C:\Program Files\LClock\LC.dll
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\Rundll32.exe
C:\Program Files\LClock\LClock.exe
C:\_OTMoveIt\MovedFiles\[u]0/u3012008_233453\Program Files\UberIcon\UberIcon Manager.exe
C:\_OTMoveIt\MovedFiles\[u]0/u3012008_233453\Program Files\YzShadow\YzShadow.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-03-02 0:20:48 - machine was rebooted
ComboFix-quarantined-files.txt 2008-03-01 23:20:45
.
2007-11-22 10:39:17 --- E O F ---

je fait le hijackthis et jte l'envoi tt dsuite

clems · Answer

voila le rapport du hijackthis après la réparation en O3 :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:30:41, on 02/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\Rundll32.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\_OTMoveIt\MovedFiles\03012008_233453\Program Files\RocketDock\RocketDock.exe
C:\Program Files\LClock\LClock.exe
C:\_OTMoveIt\MovedFiles\03012008_233453\Program Files\UberIcon\UberIcon Manager.exe
C:\_OTMoveIt\MovedFiles\03012008_233453\Program Files\YzShadow\YzShadow.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\system32
vsvc32.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {9B78E359-84BD-4042-A844-4B0B1B9029F6} - C:\WINDOWS\system32\geede.dll (file missing)
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [RocketDock] "C:\_OTMoveIt\MovedFiles\03012008_233453\Program Files\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: LClock.lnk = C:\Program Files\LClock\LClock.exe
O4 - Startup: RocketDock.lnk = C:\_OTMoveIt\MovedFiles\03012008_233453\Program Files\RocketDock\RocketDock.exe
O4 - Startup: UberIcon.lnk = C:\_OTMoveIt\MovedFiles\03012008_233453\Program Files\UberIcon\UberIcon Manager.exe
O4 - Startup: YzShadow.lnk = C:\_OTMoveIt\MovedFiles\03012008_233453\Program Files\YzShadow\YzShadow.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{8AF8F771-D9B7-45D4-9170-702EB34BB7E3}: NameServer = 192.168.0.250
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Cycling Manager 2007 Drivers Auto Removal (pr2akt6c) (pr2akt6c) - Cyanide - C:\WINDOWS\system32\pr2akt6c.exe

clems · Answer

bon tu as du te déconnecté ! j'éteins l'ordi et je me reconnecte dans l'après midi pour finir de nettoyer tout sa!
salut a + et merci beaucoup pour ton aide ;)

afideg · Answer

(suite)
Ça m'a pris le temps de l'analyse et recherches. ;)

1°- PREALABLES :
A)-Désactiver le TeaTimer
==> Si tu n'as pas Spybot S&D, passe outre de cette partie !
==> Si tu as Spybot S&D.
•- Tout d'abord > Désactive le Tea-Timer de Spybot en passant par les options de Spybot: une fois dans le logiciel, il faut aller dans le menu "Mode" => coche "Mode avancé" => "Outils"(en bas de page)=> "Résident" => et tu décoches cette case: "Résident Teatimer" . Tu ne dois plus voir l'icône du Tea- Timer dans la barre de tâches!
•- Ne fais pas l'impasse sur cette étape, car ça peut faire échouer la procédure de désinfection !

B)- Désactive AVG (bouclier résident)
==> Réactive-le en fin de cette procédure ComboFix.

2°-
Désactive ta restauration système
Clic sur « Démarrer »
Clic droit sur « Poste de travail », puis sur « Propriétés »,
Vas sur l’onglet « Restauration système »
Tu y coches la case « Désactiver la restauration »
Termine par [Appliquer] [OK]

3°- Sélectionne (mettre en surbrillance) tout le texte en caractères gras suivant :

File::
C:\Program Files\Thumbs.db
C:\Program Files\PES_PRO_EVOLUTION_SOCCER_2008_MULTILANGUAGE_(IT,ES,EN,FR,DE)_by_basileuon.nrg
C:\Program Files\Pc Game Pes Pro Evolution Soccer 2008 Multilanguage (It,Es,En,Fr,De) By Basileuon.rar
C:\WINDOWS\BricoPackUninst.cmd
C:\WINDOWS\pskt.ini
C:\WINDOWS\BM9b0108a9.xml
C:\WINDOWS\system32\geede.dll
C:\WINDOWS\system32\awtqq.dll
C:\WINDOWS\system32\geedc.dll
C:\WINDOWS\system32\geeda.dll
C:\WINDOWS\system32\ssttt.dll
C:\WINDOWS\system32\jkkli.dll

Folder::
C:\_OTMoveIt
C:\VundoFix Backups
C:\Program Files\Everest Poker
C:\Program Files\YzShadow
C:\Program Files\UberIcon
C:\Program Files\RocketDock

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{9B78E359-84BD-4042-A844-4B0B1B9029F6}]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RocketDock"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"BM9b0108a9"=-

4°- Copie le texte sélectionné (CTRL+C).
Ouvre le bloc-notes (programme>Accessoires >bloc-notes).
Colle (bien dans le coin supérieur gauche) ce texte dans ce bloc-notes (CTRL+V).
Sauvegarde (enregistre-le sur le bureau) sous le nom CFScript.txt
En english ==> Save this as ComboFix-Do.txt and change the "Save as type" to "All Files" and place it on your desktop (= bureau). Regarde ici < http://img225.imageshack.us/img225/6237/screenshot169qy8.png >

5°- Ensuite, dépose ce fichier texte sur l'application de ComboFix (icône rouge “ComboFix.exe” sur le bureau) en faisant un “glisser/déposer” de ce fichier “ CFScript.txt ” sur le fichier “ComboFix.exe” comme sur la capture: < http://img.photobucket.com/albums/v666/sUBs/CFScript.gif >
Ou http://tinypic.com/images/goodbye.jpg

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
( je crois qu'il n'y a plus à taper 1 ou 2, maintenant il y a une fenêtre qui s'ouvre avec des explications et des boutons OUI et NON )

Patiente le temps du scan.
Le bureau va disparaître à plusieurs reprises: c'est normal!

(CAUTION: Do not mouse-click ComboFix's window while it is running. = Ne touche à rien tant que le scan n'est pas terminé. That may cause it to stall.)

6°- Une fois le scan achevé, un rapport va s'afficher: poste son contenu sur le forum.
Si le fichier n'apparaît pas, il se trouve ici > C:\ComboFix.txt

7°- Arrêter puis redémarrer le PC

8°- Ensuite réactive ta restauration système
Clic droit sur « Poste de travail », puis sur « Propriétés »,
Vas sur l’onglet « Restauration système »
Tu décoches la case « Désactiver la restauration »
Termine par [Appliquer] [OK]

(NOTE: Si échec de la suppression, il faut lancer en MSE ==> Redémarrer le PC en mode sans échec</gras> < http://www.coupdepoucepc.com/modules/news/article.php?storyid=253 >
Choisir sa session habituelle, (pas le compte "Administrateur" ou une autre).
NOTE : Quand tu as le curseur qui clignote, tu peux avoir un temps d'ouverture du mode sans échec qui va jusqu'à 15 minutes. Il faut donc être patient.)

9°- Poste un nouveau rapport ComboFix.txt comme ceci :
- Double clique sur l'icône de ComboFix.exe du bureau, [Exécuter] et suis les invites.
Tape 1 puis [Enter] . Accepter les alertes éventuelles. Laisse se dérouler le scan.
Lorsque le scan sera complété, un rapport apparaîtra sur le bureau.
Tu copies et colles ce rapport sur le forum.

clems · Answer

j'allais juste partir ! jviens d'installer spybot je vais faire sa tout de suite alors ! 
et merci encore pour ton aide ;)

clems · Answer

je coupe la connexion internet ou pas avant de désactivé AVG ??

afideg · Answer

Re,

Je suis content que tu fasses cela cette nuit encore.
Désolé; je suis épuisé.
Je vais au lit.

Courage


Je l'ai dit, c'est une sale infection.

Tu liras ceci : Fais gaffe avec l'utilisation des logiciels P2P!! ce sont les principaux vecteurs d'infection! 
Pour t'en convaincre, lis le contenu très clair de ces liens de Tesgaz concernant le P2P en général => https://forum.zebulon.fr/topic/85544-pr%C3%A9vention-le-p2p-et-ses-cons%C3%A9quences/ 
Les infections véhiculées pas le p2p sont une menace réelle!! par exemple le vers Worm.Win32_Sumom-A qui est un ver de messagerie instantanée et de réseaux peer-to-peer,se met dans le dossier incoming/Shared afin d'être expédié à toutes les personnes qui partagent tes téléchargements...=> http://www.virustraq.com/info_virus/10134/details/ 


Al.

afideg · Answer

"Coupe la connexion internet avant de désactivé AVG"
Mais comment feras-tu pour lire la consigne de procédure ?
Pas besoin de couper IE

clems · Answer

voici le rapport de combofix après l'étape 6

ComboFix 08-03-01.3 - Famille Brière 2008-03-02 1:47:01.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.658 [GMT 1:00]
Endroit: C:\Documents and Settings\Famille Brière\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\Famille Brière\Bureau\CFScript.txt

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]

FILE ::
C:\Program Files\Pc Game Pes Pro Evolution Soccer 2008 Multilanguage (It,Es,En,Fr,De) By Basileuon.rar
C:\Program Files\PES_PRO_EVOLUTION_SOCCER_2008_MULTILANGUAGE_(IT,ES,EN,FR,DE)_by_basileuon.nrg
C:\Program Files\Thumbs.db
C:\WINDOWS\BM9b0108a9.xml
C:\WINDOWS\BricoPackUninst.cmd
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\awtqq.dll
C:\WINDOWS\system32\geeda.dll
C:\WINDOWS\system32\geedc.dll
C:\WINDOWS\system32\geede.dll
C:\WINDOWS\system32\jkkli.dll
C:\WINDOWS\system32\ssttt.dll
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\_OTMoveIt
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453.log
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453.res
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Changelog.html
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Data\About.png
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Data\General.png
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Data\Icons.png
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Data\Position.png
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Data\Style.png
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Defaults\DefaultIcons\Unknown.png
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Defaults\DefaultSkin\background.ini
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Defaults\DefaultSkin\bg.png
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Defaults\DefaultSkin\sep.png
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Defaults\DefaultSkin\separator.ini
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Docklets\Defaults.ini
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\gdiplus.dll
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Icons\Control Panel.png
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Icons\Desktop Windows.png
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Icons\eMail.png
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Icons\Internet.png
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Icons\Music.png
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Icons\My Computer.png
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Icons\My Files.png
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Icons\Network.png
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Icons\Options.png
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Icons\Pictures.png
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Icons\Recycle Bin (full).png
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Icons\Recycle Bin.png
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Icons\Time & Date.png
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Icons\WMP.png
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Languages\.DS_Store
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Languages\1025.ini
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Languages\1026.ini
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Languages\1027.ini
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Languages\1028.ini
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Languages\1029.ini
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Languages\1030.ini
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Languages\1031.ini
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Languages\1033.ini
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Languages\1034.ini
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Languages\1036.ini
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Languages\1037.ini
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Languages\1038.ini
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Languages\1040.ini
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Languages\1041.ini
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Languages\1042.ini
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Languages\1043.ini
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Languages\1044.ini
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Languages\1045.ini
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Languages\1046.ini
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Languages\1048.ini
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Languages\1049.ini
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Languages\1052.ini
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Languages\1053.ini
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Languages\1054.ini
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Languages\1057.ini
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Languages\1058.ini
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Languages\1065.ini
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Languages\2052.ini
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Languages\2070.ini
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Languages\2074.ini
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Languages\Instructions.html
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Languages\Language IDs.URL
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Languages\LanguageID Finder.exe
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\License-Full.html
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\License.html
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\License_files\deed.gif
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\License_files\deed_002.gif
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\License_files\deed_003.gif
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\License_files\deeds.css
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\License_files\logo_code.gif
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\License_files\logo_deed.gif
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\License_files\popup.gif
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\MouseHook.dll
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\RocketDock.exe
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Skins\AstroGlass\background.ini
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Skins\AstroGlass\bg.png
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Skins\AstroGlass\sep.png
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Skins\AstroGlass\separator.ini
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Skins\AstroGrey\background.ini
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Skins\AstroGrey\bg.png
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Skins\AstroGrey\sep.png
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Skins\AstroGrey\separator.ini
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Skins\AstroIron\background.ini
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Skins\AstroIron\bg.png
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Skins\AstroIron\sep.png
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Skins\AstroIron\separator.ini
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Skins\AstroLife\background.ini
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Skins\AstroLife\bg.png
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Skins\AstroLife\sep.png
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Skins\AstroLife\separator.ini
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Skins\AstroOrange\background.ini
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Skins\AstroOrange\bg.png
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Skins\AstroOrange\sep.png
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Skins\AstroOrange\separator.ini
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Skins\AstroSteel\background.ini
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Skins\AstroSteel\bg.png
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Skins\AstroSteel\sep.png
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Skins\AstroSteel\separator.ini
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Skins\ProtoClay\background.ini
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Skins\ProtoClay\bg.png
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Skins\ProtoClay\sep.png
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Skins\ProtoClay\separator.ini
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Skins\ProtoGlass\background.ini
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Skins\ProtoGlass\bg.png
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Skins\ProtoGlass\sep.png
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Skins\ProtoGlass\separator.ini
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Skins\ProtoIron\background.ini
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Skins\ProtoIron\bg.png
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Skins\ProtoIron\sep.png
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Skins\ProtoIron\separator.ini
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Skins\ProtoSea\background.ini
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Skins\ProtoSea\bg.png
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Skins\ProtoSea\sep.png
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Skins\ProtoSea\separator.ini
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Skins\ProtoSky\background.ini
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Skins\ProtoSky\bg.png
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Skins\ProtoSky\sep.png
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Skins\ProtoSky\separator.ini
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Skins\ProtoSteel\background.ini
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Skins\ProtoSteel\bg.png
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Skins\ProtoSteel\sep.png
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Skins\ProtoSteel\separator.ini
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Skins\ProtoTree\background.ini
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Skins\ProtoTree\bg.png
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Skins\ProtoTree\sep.png
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Skins\ProtoTree\separator.ini
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Uninst.exe
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\Uninst.log
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\UberIcon\Changelog.html
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\UberIcon\Data\About\About.ini
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\UberIcon\Data\About\About.png
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\UberIcon\gdiplus.dll
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\UberIcon\Languages\1026.ini
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\UberIcon\Languages\1028.ini
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\UberIcon\Languages\1029.ini
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\UberIcon\Languages\1031.ini
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\UberIcon\Languages\1033.ini
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\UberIcon\Languages\1034.ini
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\UberIcon\Languages\1036.ini
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\UberIcon\Languages\1040.ini
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\UberIcon\Languages\1041.ini
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\UberIcon\Languages\1043.ini
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\UberIcon\Languages\1044.ini
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\UberIcon\Languages\1049.ini
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\UberIcon\Languages\1053.ini
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\UberIcon\Languages\Instructions.html
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\UberIcon\Languages\Language IDs.URL
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\UberIcon\Languages\LanguageID Finder.exe
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\UberIcon\License-Full.html
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\UberIcon\License.html
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\UberIcon\License_files\deed.gif
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\UberIcon\License_files\deed_002.gif
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\UberIcon\License_files\deed_003.gif
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\UberIcon\License_files\deeds.css
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\UberIcon\License_files\logo_code.gif
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\UberIcon\License_files\logo_deed.gif
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\UberIcon\License_files\popup.gif
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\UberIcon\Plugins\FlatOut\fx.dll
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\UberIcon\Plugins\iBounce\fx.dll
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\UberIcon\Plugins\iBounce\iBounce.exp
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\UberIcon\Plugins\iBounce\iBounce.lib
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\UberIcon\Plugins\iBounce\Source\iBounce.cpp
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\UberIcon\Plugins\iBounce\Source\iBounce.ncb
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\UberIcon\Plugins\iBounce\Source\iBounce.sln
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\UberIcon\Plugins\iBounce\Source\iBounce.suo
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\UberIcon\Plugins\iBounce\Source\iBounce.vcproj
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\UberIcon\Plugins\iBounce\Source\stdafx.cpp
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\UberIcon\Plugins\iBounce\Source\stdafx.h
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\UberIcon\Plugins\iZoom\fx.dll
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\UberIcon\Plugins\iZoom\iZoom.exp
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\UberIcon\Plugins\iZoom\iZoom.lib
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\UberIcon\Plugins\iZoom\Source\iZoom.cpp
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\UberIcon\Plugins\iZoom\Source\iZoom.ncb
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\UberIcon\Plugins\iZoom\Source\iZoom.sln
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\UberIcon\Plugins\iZoom\Source\iZoom.suo
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\UberIcon\Plugins\iZoom\Source\iZoom.vcproj
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\UberIcon\Plugins\iZoom\Source\stdafx.cpp
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\UberIcon\Plugins\iZoom\Source\stdafx.h
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\UberIcon\UberAPI\exports.def
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\UberIcon\UberAPI\UberAPI.h
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\UberIcon\UberIcon Manager.exe
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\UberIcon\UberIcon.dll
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\UberIcon\Uninst.exe
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\UberIcon\Uninst.log
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\YzShadow\Languages\English.lang
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\YzShadow\Languages\Japanese.lang
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\YzShadow\Readme_en.txt
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\YzShadow\Readme_jp.txt
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\YzShadow\YzShadow.dll
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\YzShadow\YzShadow.exe
C:\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\YzShadow\YzShadow.ini
C:\Program Files\Pc Game Pes Pro Evolution Soccer 2008 Multilanguage (It,Es,En,Fr,De) By Basileuon.rar
C:\Program Files\PES_PRO_EVOLUTION_SOCCER_2008_MULTILANGUAGE_(IT,ES,EN,FR,DE)_by_basileuon.nrg
C:\Program Files\RocketDock
C:\Program Files\Thumbs.db
C:\Program Files\UberIcon
C:\Program Files\YzShadow
C:\VundoFix Backups
C:\VundoFix Backups\edeeg.ini.bad
C:\VundoFix Backups\edeeg.ini2.bad
C:\VundoFix Backups\geede.dll.bad
C:\VundoFix Backups\ghhkj.ini.bad
C:\VundoFix Backups\ghhkj.ini2.bad
C:\VundoFix Backups\ihkmp.ini.bad
C:\VundoFix Backups\ihkmp.ini2.bad
C:\VundoFix Backups\jkhhg.dll.bad
C:\VundoFix Backups\pmkhi.dll.bad
C:\VundoFix Backups\pmnligh.dll.bad
C:\WINDOWS\BricoPackUninst.cmd
C:\WINDOWS\pskt.ini

.
((((((((((((((((((((((((((((( Fichiers créés 2008-02-02 to 2008-03-02 ))))))))))))))))))))))))))))))))))))
.

2008-03-02 01:26 . 2008-03-02 01:29 485 --a------ C:\WINDOWS\wininit.ini
2008-03-02 01:01 . 2008-03-02 01:01 <REP> d-------- C:\Program Files\Spybot - Search & Destroy
2008-03-02 01:01 . 2008-03-02 01:36 <REP> d-------- C:\Documents and Settings\All Users.WINDOWS\Application Data\Spybot - Search & Destroy
2008-03-02 00:20 . <REP> C:\Documents and Settings\Famille BriÞre\Local Settings
2008-03-02 00:20 . <REP> C:\Documents and Settings\Famille BriÞre\Local Settings
2008-03-02 00:20 . <REP> C:\Documents and Settings\Fam. BriÞre\Local Settings
2008-03-01 21:19 . 2008-03-01 21:19 <REP> d-------- C:\Program Files\Trend Micro
2008-02-26 22:41 . 2008-02-26 22:41 63,871 --a------ C:\WINDOWS\BMdfa7fce4.xml

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-02 00:52 --------- d-----w C:\Program Files\eMule
2008-03-01 21:52 --------- d-----w C:\Program Files\Fichiers communs\Wise Installation Wizard
2008-02-25 20:40 2,138,112 ----a-w C:\WINDOWS\system32\ntoskrnl.exe
2008-02-20 15:47 --------- d-----w C:\Program Files\Mozilla Thunderbird
2008-02-17 15:30 --------- d-----w C:\Program Files\WWP
2008-02-14 20:26 --------- d-----w C:\Program Files\Pingus
2008-02-13 12:15 --------- d-----w C:\Program Files\SuperTux 0.3.0
2008-01-25 14:23 --------- d-----w C:\Program Files\MP3Gain
2008-01-22 17:45 --------- d-----w C:\Program Files\iTunes
2008-01-22 17:44 --------- d-----w C:\Program Files\iPod
2008-01-22 17:40 --------- d-----w C:\Program Files\QuickTime
2008-01-07 15:01 --------- d-----w C:\Program Files\Paradox Interactive
2008-01-06 12:44 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-01-06 12:44 --------- d-----w C:\Program Files\Vivendi Universal Games
2008-01-05 12:37 --------- d-----w C:\Program Files\Wormux
2008-01-04 11:11 --------- d-----w C:\Program Files\Sauerbraten
2008-01-03 15:45 --------- d-----w C:\Program Files\Pointstone
2008-01-03 13:18 --------- d-----w C:\Program Files\Fichiers communs\Pointstone
2008-01-02 21:31 --------- d-----w C:\Program Files\Cube
2008-01-02 18:29 --------- d-----w C:\Program Files\3DBELOTE
2007-12-16 13:08 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
.

------- Sigcheck -------

1bd6c2f707a275cb7c16fd99fe0f31ca C:\WINDOWS\system32\svchost.exe
----a-w 14,336 2004-08-03 22:55:02 C:\WINDOWS\system32\svchost.exe
-c--a-w 14,336 2004-08-03 22:55:02 C:\WINDOWS\system32\dllcache\svchost.exe

89bb24d6a541f2fdc85099dff594a5d7 C:\WINDOWS\system32\user32.dll
----a-w 578,048 2005-03-02 18:20:32 C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\user32.dll
----a-w 579,072 2007-03-08 15:50:30 C:\WINDOWS\$hf_mig$\KB925902\SP2QFE\user32.dll
-c----w 572,416 2004-08-03 22:54:44 C:\WINDOWS\$NtUninstallKB890859$\user32.dll
-c----w 578,048 2005-03-02 18:10:36 C:\WINDOWS\$NtUninstallKB925902$\user32.dll
----a-w 572,928 2007-03-08 15:37:50 C:\WINDOWS\system32\user32.dll
-c--a-w 572,928 2007-03-08 15:37:50 C:\WINDOWS\system32\dllcache\user32.dll

bc41f51a39d3b255805fdb759b7814ae C:\WINDOWS\system32\ws2_32.dll
----a-w 82,944 2004-08-03 22:54:48 C:\WINDOWS\system32\ws2_32.dll
-c--a-w 82,944 2004-08-03 22:54:48 C:\WINDOWS\system32\dllcache\ws2_32.dll

1dbf125862891817f374f407626967f4 C:\WINDOWS\system32\drivers\tcpip.sys
----a-w 360,576 2006-04-20 12:18:35 C:\WINDOWS\$hf_mig$\KB917953\SP2QFE\tcpip.sys
-c----w 359,040 2004-08-03 21:14:42 C:\WINDOWS\$NtUninstallKB917953$\tcpip.sys
-c--a-w 359,808 2006-04-20 11:51:50 C:\WINDOWS\system32\dllcache\tcpip.sys
----a-w 359,808 2006-04-20 11:51:50 C:\WINDOWS\system32\drivers\tcpip.sys

d2de785aeab0bb8ca4c14a8a199dbe4e C:\WINDOWS\system32\winlogon.exe
----a-w 506,368 2004-08-03 22:55:02 C:\WINDOWS\system32\winlogon.exe
-c--a-w 506,368 2004-08-03 22:55:02 C:\WINDOWS\system32\dllcache\winlogon.exe

558635d3af1c7546d26067d5d9b6959e C:\WINDOWS\system32\drivers\ndis.sys
-c--a-w 182,912 2004-08-03 21:14:30 C:\WINDOWS\system32\dllcache\ndis.sys
----a-w 182,912 2004-08-03 21:14:30 C:\WINDOWS\system32\drivers\ndis.sys

4448006b6bc60e6c027932cfc38d6855 C:\WINDOWS\system32\drivers\ip6fw.sys
-c--a-w 29,056 2004-08-03 21:00:08 C:\WINDOWS\system32\dllcache\ip6fw.sys
----a-w 29,056 2004-08-03 21:00:08 C:\WINDOWS\system32\drivers\ip6fw.sys
c3f264bfcc33d4e09ca242df5fd06356 C:\WINDOWS\explorer.exe
----a-w 3,801,600 2007-06-13 13:22:28 C:\WINDOWS\explorer.exe
----a-w 1,037,312 2007-06-13 13:10:53 C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe
-c----w 3,800,576 2004-08-03 22:54:50 C:\WINDOWS\$NtUninstallKB938828$\explorer.exe
-c--a-w 3,801,600 2007-06-13 13:22:28 C:\WINDOWS\system32\dllcache\explorer.exe
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:54 15360]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-10-13 17:24 1694208]
"eMuleAutoStart"="C:\Program Files\eMule\emule.exe" [2007-05-13 15:57 5308416]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-08-28 00:29 8466432]
"nwiz"="nwiz.exe" [2007-08-28 00:29 1626112 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-08-28 00:29 81920]
"P17Helper"="P17.dll" [2005-05-03 19:38 64512 C:\WINDOWS\system32\P17.dll]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2007-12-20 21:08 579072]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-03 23:54 15360]
"AVG7_Run"="C:\PROGRA~1\Grisoft\AVG7\avgw.exe" [2007-11-19 22:23 219136]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=MsgPlusLoader.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\eMule\\emule.exe"=
"C:\\Program Files\\Grisoft\\AVG7\\avginet.exe"=
"C:\\Program Files\\Grisoft\\AVG7\\avgamsvr.exe"=
"C:\\Program Files\\Grisoft\\AVG7\\avgcc.exe"=
"C:\\Program Files\\Grisoft\\AVG7\\avgemc.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"C:\\Program Files\\KONAMI\\Pro Evolution Soccer 2008\\PES2008.exe"=
"C:\\Program Files\\iTunes\\iTunes.exe"=
"C:\\Program Files\\Cyanide\\Pro Cycling Manager 2007\\PCM.exe"=

R0 pe3akt6c;Cycling Manager 2007 Environment Driver (pe3akt6c);C:\WINDOWS\system32\drivers\pe3akt6c.sys [2007-06-08 18:29]
R0 pf2akt6c;Cycling Manager 2007 File System Driver (pf2akt6c);C:\WINDOWS\system32\drivers\pf2akt6c.sys [2007-06-08 18:28]
R0 ps6akt6c;Cycling Manager 2007 Synchronization Driver (ps6akt6c);C:\WINDOWS\system32\drivers\ps6akt6c.sys [2007-06-08 18:28]
R0 ps7akt6c;Cycling Manager 2007 Synchronization Driver (ps7akt6c);C:\WINDOWS\system32\drivers\ps7akt6c.sys [2007-09-28 11:05]
S2 pr2akt6c;Cycling Manager 2007 Drivers Auto Removal (pr2akt6c);C:\WINDOWS\system32\pr2akt6c.exe svc []
S3 Fadpu16E;Fadpu16E;C:\DOCUME~1\FAMILL~1\LOCALS~1\Temp\Fadpu16E.sys []
S3 SetupNTGLM7X;SetupNTGLM7X;E:\NTGLM7X.sys []
S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 23:08]

.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2007-11-19 21:10:07 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-02 01:51:33
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

folder error: C:\Documents and Settings\Famille BriÞre\Application Data
**************************************************************************
.
--------------------- DLLs a chargé sous des processus courants ---------------------

PROCESS: C:\WINDOWS\explorer.exe [6.00.2900.3156]
-> C:\Program Files\LClock\LC.dll
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\Rundll32.exe
C:\Program Files\LClock\LClock.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-03-02 1:55:08 - machine was rebooted
ComboFix-quarantined-files.txt 2008-03-02 00:54:16
ComboFix2.txt 2008-03-01 23:20:49
.
2007-11-22 10:39:17 --- E O F ---

clems · Answer

bon pour la suite : 8) la case « Désactiver la restauration » s'est décoché automatiquement après avoir redémarré mon Pc la suite j'ai pas trop compris ce que tu me demander ( la fatigue ..) j'ai redémarré en mode sans échec et g relancé combofix il a tout fait tout seul pas besoin de taper "1" ni de "oui "ou "non" . voici le rapport : ComboFix 08-03-01.3 - Famille Brière 2008-03-02 2:20:33.4 - NTFSx86 MINIMAL Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.829 [GMT 1:00] Endroit: C:\Documents and Settings\Famille Brière\Bureau\ComboFix.exe [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color] . ((((((((((((((((((((((((((((( Fichiers créés 2008-02-02 to 2008-03-02 )))))))))))))))))))))))))))))))))))) . 2008-03-02 01:26 . 2008-03-02 01:29 485 --a------ C:\WINDOWS\wininit.ini 2008-03-02 01:01 . 2008-03-02 01:01 d-------- C:\Program Files\Spybot - Search & Destroy 2008-03-02 01:01 . 2008-03-02 01:36 d-------- C:\Documents and Settings\All Users.WINDOWS\Application Data\Spybot - Search & Destroy 2008-03-01 21:19 . 2008-03-01 21:19 d-------- C:\Program Files\Trend Micro 2008-02-26 22:41 . 2008-02-26 22:41 63,871 --a------ C:\WINDOWS\BMdfa7fce4.xml . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-03-02 01:01 --------- d-----w C:\Program Files\eMule 2008-03-01 21:55 --------- d-----w C:\Documents and Settings\Fam. Brière\Application Data\Lavasoft 2008-03-01 21:52 --------- d-----w C:\Program Files\Fichiers communs\Wise Installation Wizard 2008-02-29 17:35 --------- d-----w C:\Documents and Settings\Famille Brière\Application Data\Pro Cycling Manager 2007 2008-02-27 15:59 --------- d-----w C:\Documents and Settings\Famille Brière\Application Data\AVG7 2008-02-25 20:40 2,138,112 ----a-w C:\WINDOWS\system32\ntoskrnl.exe 2008-02-20 15:47 --------- d-----w C:\Program Files\Mozilla Thunderbird 2008-02-17 15:30 --------- d-----w C:\Program Files\WWP 2008-02-14 20:26 --------- d-----w C:\Program Files\Pingus 2008-02-13 12:15 --------- d-----w C:\Program Files\SuperTux 0.3.0 2008-01-25 14:23 --------- d-----w C:\Program Files\MP3Gain 2008-01-22 17:45 --------- d-----w C:\Program Files\iTunes 2008-01-22 17:44 --------- d-----w C:\Program Files\iPod 2008-01-22 17:40 --------- d-----w C:\Program Files\QuickTime 2008-01-07 15:01 --------- d-----w C:\Program Files\Paradox Interactive 2008-01-06 12:44 --------- d--h--w C:\Program Files\InstallShield Installation Information 2008-01-06 12:44 --------- d-----w C:\Program Files\Vivendi Universal Games 2008-01-05 12:38 --------- d-----w C:\Documents and Settings\Famille Brière\Application Data\Wormux 2008-01-05 12:37 --------- d-----w C:\Program Files\Wormux 2008-01-04 11:11 --------- d-----w C:\Program Files\Sauerbraten 2008-01-03 15:45 --------- d-----w C:\Program Files\Pointstone 2008-01-03 13:18 --------- d-----w C:\Program Files\Fichiers communs\Pointstone 2008-01-02 21:32 --------- d-----w C:\Documents and Settings\Famille Brière\Application Data\Pingus 2008-01-02 21:31 --------- d-----w C:\Program Files\Cube 2008-01-02 18:29 --------- d-----w C:\Program Files\3DBELOTE 2007-12-16 13:08 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll 2006-11-17 18:23 35,080 ----a-w C:\Documents and Settings\Fam. Brière\Application Data\GDIPFONTCACHEV1.DAT . ------- Sigcheck ------- 1bd6c2f707a275cb7c16fd99fe0f31ca C:\WINDOWS\system32\svchost.exe ----a-w 14,336 2004-08-03 22:55:02 C:\WINDOWS\system32\svchost.exe -c--a-w 14,336 2004-08-03 22:55:02 C:\WINDOWS\system32\dllcache\svchost.exe 89bb24d6a541f2fdc85099dff594a5d7 C:\WINDOWS\system32\user32.dll ----a-w 578,048 2005-03-02 18:20:32 C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\user32.dll ----a-w 579,072 2007-03-08 15:50:30 C:\WINDOWS\$hf_mig$\KB925902\SP2QFE\user32.dll -c----w 572,416 2004-08-03 22:54:44 C:\WINDOWS\$NtUninstallKB890859$\user32.dll -c----w 578,048 2005-03-02 18:10:36 C:\WINDOWS\$NtUninstallKB925902$\user32.dll ----a-w 572,928 2007-03-08 15:37:50 C:\WINDOWS\system32\user32.dll -c--a-w 572,928 2007-03-08 15:37:50 C:\WINDOWS\system32\dllcache\user32.dll bc41f51a39d3b255805fdb759b7814ae C:\WINDOWS\system32\ws2_32.dll ----a-w 82,944 2004-08-03 22:54:48 C:\WINDOWS\system32\ws2_32.dll -c--a-w 82,944 2004-08-03 22:54:48 C:\WINDOWS\system32\dllcache\ws2_32.dll 1dbf125862891817f374f407626967f4 C:\WINDOWS\system32\drivers\tcpip.sys ----a-w 360,576 2006-04-20 12:18:35 C:\WINDOWS\$hf_mig$\KB917953\SP2QFE\tcpip.sys -c----w 359,040 2004-08-03 21:14:42 C:\WINDOWS\$NtUninstallKB917953$\tcpip.sys -c--a-w 359,808 2006-04-20 11:51:50 C:\WINDOWS\system32\dllcache\tcpip.sys ----a-w 359,808 2006-04-20 11:51:50 C:\WINDOWS\system32\drivers\tcpip.sys d2de785aeab0bb8ca4c14a8a199dbe4e C:\WINDOWS\system32\winlogon.exe ----a-w 506,368 2004-08-03 22:55:02 C:\WINDOWS\system32\winlogon.exe -c--a-w 506,368 2004-08-03 22:55:02 C:\WINDOWS\system32\dllcache\winlogon.exe 558635d3af1c7546d26067d5d9b6959e C:\WINDOWS\system32\drivers\ndis.sys -c--a-w 182,912 2004-08-03 21:14:30 C:\WINDOWS\system32\dllcache\ndis.sys ----a-w 182,912 2004-08-03 21:14:30 C:\WINDOWS\system32\drivers\ndis.sys 4448006b6bc60e6c027932cfc38d6855 C:\WINDOWS\system32\drivers\ip6fw.sys -c--a-w 29,056 2004-08-03 21:00:08 C:\WINDOWS\system32\dllcache\ip6fw.sys ----a-w 29,056 2004-08-03 21:00:08 C:\WINDOWS\system32\drivers\ip6fw.sys c3f264bfcc33d4e09ca242df5fd06356 C:\WINDOWS\explorer.exe ----a-w 3,801,600 2007-06-13 13:22:28 C:\WINDOWS\explorer.exe ----a-w 1,037,312 2007-06-13 13:10:53 C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe -c----w 3,800,576 2004-08-03 22:54:50 C:\WINDOWS\$NtUninstallKB938828$\explorer.exe -c--a-w 3,801,600 2007-06-13 13:22:28 C:\WINDOWS\system32\dllcache\explorer.exe . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:54 15360] "MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-10-13 17:24 1694208] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-08-28 00:29 8466432] "nwiz"="nwiz.exe" [2007-08-28 00:29 1626112 C:\WINDOWS\system32\nwiz.exe] "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-08-28 00:29 81920] "P17Helper"="P17.dll" [2005-05-03 19:38 64512 C:\WINDOWS\system32\P17.dll] "AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2007-12-20 21:08 579072] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-03 23:54 15360] "AVG7_Run"="C:\PROGRA~1\Grisoft\AVG7\avgw.exe" [2007-11-19 22:23 219136] C:\Documents and Settings\Famille BriŠre\Menu D‚marrer\Programmes\D‚marrage\ LClock.lnk - C:\Program Files\LClock\LClock.exe [2004-09-19 19:27:44 65536] RocketDock.lnk - C:\QooBox\Quarantine\C\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\RocketDock\RocketDock.exe.vir [2006-02-02 09:57:30 389120] UberIcon.lnk - C:\QooBox\Quarantine\C\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\UberIcon\UberIcon Manager.exe.vir [2005-08-12 20:52:34 180224] YzShadow.lnk - C:\QooBox\Quarantine\C\_OTMoveIt\MovedFiles\[u]0[/u]3012008_233453\Program Files\YzShadow\YzShadow.exe.vir [2002-09-30 21:09:06 151552] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"=MsgPlusLoader.dll [HKEY_LOCAL_MACHINE\software\microsoft\security center] "UpdatesDisableNotify"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "C:\Program Files\eMule\emule.exe"= "C:\Program Files\Grisoft\AVG7\avginet.exe"= "C:\Program Files\Grisoft\AVG7\avgamsvr.exe"= "C:\Program Files\Grisoft\AVG7\avgcc.exe"= "C:\Program Files\Grisoft\AVG7\avgemc.exe"= "C:\Program Files\Messenger\msmsgs.exe"= "C:\Program Files\MSN Messenger\msnmsgr.exe"= "C:\Program Files\KONAMI\Pro Evolution Soccer 2008\PES2008.exe"= "C:\Program Files\iTunes\iTunes.exe"= "C:\Program Files\Cyanide\Pro Cycling Manager 2007\PCM.exe"= R0 pe3akt6c;Cycling Manager 2007 Environment Driver (pe3akt6c);C:\WINDOWS\system32\drivers\pe3akt6c.sys [2007-06-08 18:29] R0 pf2akt6c;Cycling Manager 2007 File System Driver (pf2akt6c);C:\WINDOWS\system32\drivers\pf2akt6c.sys [2007-06-08 18:28] R0 ps6akt6c;Cycling Manager 2007 Synchronization Driver (ps6akt6c);C:\WINDOWS\system32\drivers\ps6akt6c.sys [2007-06-08 18:28] R0 ps7akt6c;Cycling Manager 2007 Synchronization Driver (ps7akt6c);C:\WINDOWS\system32\drivers\ps7akt6c.sys [2007-09-28 11:05] S2 pr2akt6c;Cycling Manager 2007 Drivers Auto Removal (pr2akt6c);C:\WINDOWS\system32\pr2akt6c.exe svc [] S3 Fadpu16E;Fadpu16E;C:\DOCUME~1\FAMILL~1\LOCALS~1\Temp\Fadpu16E.sys [] S3 SetupNTGLM7X;SetupNTGLM7X;E:\NTGLM7X.sys [] S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 23:08] . Contenu du dossier 'Scheduled Tasks/Tâches planifiées' "2007-11-19 21:10:07 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job" - C:\Program Files\Apple Software Update\SoftwareUpdate.exe . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-03-02 02:24:02 Windows 5.1.2600 Service Pack 2 NTFS Balayage processus cachés ... Balayage caché autostart entries ... Balayage des fichiers cachés ... Scan terminé avec succès Les fichiers cachés: 0 ************************************************************************** . Temps d'accomplissement: 2008-03-02 2:24:47 ComboFix-quarantined-files.txt 2008-03-02 01:24:44 ComboFix2.txt 2008-03-02 01:11:58 ComboFix3.txt 2008-03-02 00:55:09 ComboFix4.txt 2008-03-01 23:20:49 . 2007-11-22 10:39:17 --- E O F ---

afideg · Answer

Bonjour Pas de problème. En clair, j'avais écrit en NOTE, ceci: « (NOTE: Si échec de la suppression, il faut lancer en MSE ....). Et comme il n'y a pas eu d'échec lors de la suppression par ComboFix, il n'y avait pas lieu de passer en MSE pour relancer CF. Pas de problème avec ça. Mais je vois encore ce fichier BMdfa7fce4.xml qui est généré en C:\WINDOWS\BMdfa7fce4.xml J'ai dû commettre une erreur à la retranscription du CFSript. Nous allons y remédier, comme ceci: 1°- Assure toi d'avoir accès aux dossiers/fichiers cachés : Soit en faisant : Ouvrir un dossier, n'importe lequel. Aller dans "Outils" >"Options des dossiers" > "Affichage" Soit en faisant « Démarrer »/ »PanneauConfiguration/OptionsDossiers /onglet « Affichage » et là : cocher la case devant les lignes: - afficher les fichiers et dossier cachés - afficher contenu dossier système décocher la case devant les lignes: - masquer les extensions des fichiers dont le type est connu - masquer les fichiers protégés du système d'exploitation Tu vas recevoir un message qui te dit que cela peut endommager le système, n'en tiens pas compte. Puis cliquer APPLIQUER à TOUS les Dossiers > [OK] Si tu n'es pas à l'aise dans la navigation des dossiers, je t'invite à suivre ce tutorial : < http://www.malekal.com/rechercher_fichiers.php > 2°- Donc, via "Poste de travail" > disque local C:\ , tu recherches ce fichier BMdfa7fce4.xml qui est généré en C:\WINDOWS\BMdfa7fce4.xml et tu le supprimes (clic-droit > supprimer). 3°- Ensuite vas là :< https://www.virustotal.com/gui/ > ou là: < http://www.virustotal.com/en/indexf.html > •- sur la page qui s'affiche tu cliques sur "Parcourir" •- ensuite sur la nouvelle page qui s'affiche, tu suis le chemin des fichiers en gras ci-après dans la liste ( que Virustotal va analyser un par un, à ta demande; puisque tu devras recommencer la procédure "parcourir", fichier par fichier ) ) •- c'est-à-dire : C:\WINDOWS\wininit.ini C:\WINDOWS\system32 toskrnl.exe C:\WINDOWS\system32\CmdLineExt.dll C:\Documents and Settings\Fam. Brière\Application Data\GDIPFONTCACHEV1.DAT •- quand tu as trouvé le premier fichier wininit.ini, tu fais "ouvrir" ( sur cette dernière page affichée) •- le fichier wininit.ini se retrouve alors ainsi dans la fenêtre de Virustotal, pour l'analyse •- là, tu cliques sur "send file" = « Envoyer » ( de la page de Virustotal ) •- et tu attends le résultat (il faut parfois patienter) •- dans l'encadré: "Situation actuelle: terminé" ==> cliquer sur "Formaté" •- Une nouvelle fenêtre de votre navigateur apparaîtra... •- Dans la nouvelle fenêtre, cliquer sur cette image : < http://img215.imageshack.us/img215/6039/virustotalpourcopierip3.jpg > •- Faire un clic-droit sur la page, et choisir => "Sélectionner tout" > puis encore clic-droit => "Copier" > et enfin , clic-droit => Coller le(s) résultat(s) dans le WordPad ou Bloc-Notes. DONC, tu refais la manipulation fichier par fichier dont tu colles le rapport à chaque fois, à la suite dans WordPad. 4°- Télécharger OAD (Outil d'Aide au Diagnostic) < http://sosvirus.changelog.fr/OAD.exe > •-Enregistre-le sur ton bureau •- Lancer « OAD.exe » en faisant un double-clic sur le fichier < http://sosvirus.changelog.fr/OAD/1.bmp > , puis « Exécuter » ==> une page bleue s’affiche. •- Saisir la valeur recherchée ( = nom de fichier à rechercher ); copier/coller de: Burn4Free ==> une nouvelle page bleue s’affiche. - Type de recherche : gras>taper 6 (sélectionner l'option 6) puis valide [entrée]< http://sosvirus.changelog.fr/OAD/4.bmp > •- OAD va maintenant rechercher le fichier. Laisse-le travailler jusqu'à ce qu'il en ait terminé. Suivant la taille des disques durs, cette recherche peut prendre plusieurs minutes. Patienter. •- Le rapport de recherche s'affichera automatiquement dès qu'il en aura terminé. •- Faire un copier/coller de ce rapport dans ton prochain post. •-Note: Certains Antivirus (comme Panda) peuvent émettre une alerte lors de "téléchargement / utilisation". Faire la même chose avec BMdfa7fce4.xml 5°- J'aimerais une analyse complète de ton PC avec éventuellement clé USB branchée; et ce à partir de ton "Grisoft Internet Security Suite" ==> tu mets en quarantaine tout ce qu'il trouve. 6°- Je lis O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll Vérifie si ta version est à jour ==> Download the latest version of Adobe Reader https://get2.adobe.com/reader/otherversions/ Il te faut la version Adobe Reader 8.1.2 7°- Je lis O17 - HKLM\System\CCS\Services\Tcpip\..\{8AF8F771-D9B7-45D4-9170-702EB34BB7E3}: NameServer = 192.168.0.250 As-tu bien un routeur OLITEC ADSL ? Pour info: "Configuration Routeur OLITEC ADSL" ==> < http://lugdunum2k.free.fr/olitec.html > Bon dimanche Je ne disposerai pas de tellement de temps aujourd'hui. Comment se comporte le PC ? Al

clems · Answer

Bonjour ; 
3)voila les rapport de virustotal

Fichier wininit.ini reçu le 2008.03.02 12:09:12 (CET)
Antivirus	Version	Dernière mise à jour	Résultat
AhnLab-V3	2008.2.29.1	2008.02.29	-
AntiVir	7.6.0.73	2008.02.29	-
Authentium	4.93.8	2008.03.01	-
Avast	4.7.1098.0	2008.03.02	-
AVG	7.5.0.516	2008.03.01	-
BitDefender	7.2	2008.03.02	-
CAT-QuickHeal	9.50	2008.03.01	-
ClamAV	0.92.1	2008.03.01	-
DrWeb	4.44.0.09170	2008.03.02	-
eSafe	7.0.15.0	2008.02.28	-
eTrust-Vet	31.3.5574	2008.02.29	-
Ewido	4.0	2008.03.02	-
FileAdvisor	1	2008.03.02	-
Fortinet	3.14.0.0	2008.03.02	-
F-Prot	4.4.2.54	2008.03.01	-
F-Secure	6.70.13260.0	2008.03.01	-
Ikarus	T3.1.1.20	2008.03.02	-
Kaspersky	7.0.0.125	2008.03.02	-
McAfee	5242	2008.02.29	-
Microsoft	1.3301	2008.03.02	-
NOD32v2	2913	2008.03.01	-
Norman	5.80.02	2008.02.29	-
Panda	9.0.0.4	2008.03.01	-
Prevx1	V2	2008.03.02	-
Rising	20.33.62.00	2008.03.02	-
Sophos	4.27.0	2008.03.02	-
Sunbelt	3.0.906.0	2008.02.28	-
Symantec	10	2008.03.02	-
TheHacker	6.2.92.231	2008.03.02	-
VBA32	3.12.6.2	2008.02.27	-
VirusBuster	4.3.26:9	2008.03.02	-
Webwasher-Gateway	6.6.2	2008.03.02	BlockReason.0
Information additionnelle
File size: 485 bytes
MD5: def8371a7996a4843fe3b5341f0f695a
SHA1: d33c830f57828b4af7e6c398274426826e8b68f2
PEiD: -




Fichier ntoskrnl.exe reçu le 2008.03.02 12:21:39 (CET)
Antivirus	Version	Dernière mise à jour	Résultat
AhnLab-V3	2008.2.29.1	2008.02.29	-
AntiVir	7.6.0.73	2008.02.29	-
Authentium	4.93.8	2008.03.01	-
Avast	4.7.1098.0	2008.03.02	-
AVG	7.5.0.516	2008.03.01	-
BitDefender	7.2	2008.03.02	-
CAT-QuickHeal	9.50	2008.03.01	-
ClamAV	0.92.1	2008.03.01	-
DrWeb	4.44.0.09170	2008.03.02	-
eSafe	7.0.15.0	2008.02.28	-
eTrust-Vet	31.3.5574	2008.02.29	-
Ewido	4.0	2008.03.02	-
FileAdvisor	1	2008.03.02	-
Fortinet	3.14.0.0	2008.03.02	-
F-Prot	4.4.2.54	2008.03.01	-
F-Secure	6.70.13260.0	2008.03.01	-
Ikarus	T3.1.1.20	2008.03.02	-
Kaspersky	7.0.0.125	2008.03.02	-
McAfee	5242	2008.02.29	-
Microsoft	1.3301	2008.03.02	-
NOD32v2	2913	2008.03.01	-
Norman	5.80.02	2008.02.29	-
Panda	9.0.0.4	2008.03.01	-
Prevx1	V2	2008.03.02	-
Rising	20.33.62.00	2008.03.02	-
Sophos	4.27.0	2008.03.02	-
Sunbelt	3.0.906.0	2008.02.28	-
Symantec	10	2008.03.02	-
TheHacker	6.2.92.231	2008.03.02	-
VBA32	3.12.6.2	2008.02.27	-
VirusBuster	4.3.26:9	2008.03.02	-
Webwasher-Gateway	6.6.2	2008.03.02	BlockReason.0
Information additionnelle
File size: 2138112 bytes
MD5: c7a39c47c064ae50417a944b60f37b6a
SHA1: d6b83c679f6e761477c51dd10f6df2e5f2afdc9e
PEiD: -


Fichier CmdLineExt.dll reçu le 2008.03.02 12:28:10 (CET)
Antivirus	Version	Dernière mise à jour	Résultat
AhnLab-V3	2008.2.29.1	2008.02.29	-
AntiVir	7.6.0.73	2008.02.29	-
Authentium	4.93.8	2008.03.01	-
Avast	4.7.1098.0	2008.03.02	-
AVG	7.5.0.516	2008.03.01	-
BitDefender	7.2	2008.03.02	-
CAT-QuickHeal	9.50	2008.03.01	-
ClamAV	None	2008.03.01	-
DrWeb	4.44.0.09170	2008.03.02	-
eSafe	7.0.15.0	2008.02.28	-
eTrust-Vet	31.3.5574	2008.02.29	-
Ewido	4.0	2008.03.02	-
FileAdvisor	1	2008.03.02	-
Fortinet	3.14.0.0	2008.03.02	-
F-Prot	4.4.2.54	2008.03.01	-
F-Secure	6.70.13260.0	2008.03.01	-
Ikarus	T3.1.1.20	2008.03.02	-
Kaspersky	7.0.0.125	2008.03.02	-
McAfee	5242	2008.02.29	-
Microsoft	1.3301	2008.03.02	-
NOD32v2	2913	2008.03.01	-
Norman	5.80.02	2008.02.29	-
Panda	9.0.0.4	2008.03.01	-
Prevx1	V2	2008.03.02	-
Rising	20.33.62.00	2008.03.02	-
Sophos	4.27.0	2008.03.02	-
Sunbelt	3.0.906.0	2008.02.28	-
Symantec	10	2008.03.02	-
TheHacker	6.2.92.231	2008.03.02	-
VBA32	3.12.6.2	2008.02.27	-
VirusBuster	4.3.26:9	2008.03.02	-
Webwasher-Gateway	6.6.2	2008.03.02	BlockReason.0
Information additionnelle
File size: 107888 bytes
MD5: 208170599e72fbb3fa87fe774ee5d821
SHA1: 8ac74fdc53428f4cdc2c608050867cdf1246691d
PEiD: -




Fichier GDIPFONTCACHEV1.DAT reçu le 2008.03.02 12:39:44 (CET)
Antivirus	Version	Dernière mise à jour	Résultat
AhnLab-V3	2008.2.29.1	2008.02.29	-
AntiVir	7.6.0.73	2008.02.29	-
Authentium	4.93.8	2008.03.01	-
Avast	4.7.1098.0	2008.03.02	-
AVG	7.5.0.516	2008.03.01	-
BitDefender	7.2	2008.03.02	-
CAT-QuickHeal	9.50	2008.03.01	-
ClamAV	0.92.1	2008.03.01	-
DrWeb	4.44.0.09170	2008.03.02	-
eSafe	7.0.15.0	2008.02.28	-
eTrust-Vet	31.3.5574	2008.02.29	-
Ewido	4.0	2008.03.02	-
FileAdvisor	1	2008.03.02	-
Fortinet	3.14.0.0	2008.03.02	-
F-Prot	4.4.2.54	2008.03.01	-
F-Secure	6.70.13260.0	2008.03.01	-
Ikarus	T3.1.1.20	2008.03.02	-
Kaspersky	7.0.0.125	2008.03.02	-
McAfee	5242	2008.02.29	-
Microsoft	1.3301	2008.03.02	-
NOD32v2	2913	2008.03.01	-
Norman	5.80.02	2008.02.29	-
Panda	9.0.0.4	2008.03.01	-
Prevx1	V2	2008.03.02	-
Rising	20.33.62.00	2008.03.02	-
Sophos	4.27.0	2008.03.02	-
Sunbelt	3.0.906.0	2008.02.28	-
Symantec	10	2008.03.02	-
TheHacker	6.2.92.231	2008.03.02	-
VBA32	3.12.6.2	2008.02.27	-
VirusBuster	4.3.26:9	2008.03.02	-
Webwasher-Gateway	6.6.2	2008.03.02	BlockReason.0
Information additionnelle
File size: 35080 bytes
MD5: 8c6f35b9e1fe3d7484cb1631c04d32ea
SHA1: d492406940402bb8c1dbcbf5c617127f09f6c6e4
PEiD: -


4) voila le rapport de OAD :
 02/03/2008 ---- 12:33:39,20  

----------------------------------
§§§§§§ [Burn4Free] §§§§§§
----------------------------------
[X] Registre
 
-------------- [  ] rapide
-- Fichier --- [  ] disque systeme
 ------------- [X] complete


********************
     [Registre] 
********************

Aucune entrée détectée

*******************
     [Fichier] 
*******************



*********************
     [Même date] 
*********************

Aucun fichier créé à la même date détecté


Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§ 
----------------------------------




 02/03/2008 ---- 12:38:32,09  

----------------------------------
§§§§§§ [BMdfa7fce4.xml] §§§§§§
----------------------------------
[X] Registre
 
-------------- [  ] rapide
-- Fichier --- [  ] disque systeme
 ------------- [X] complete


********************
     [Registre] 
********************

Aucune entrée détectée

*******************
     [Fichier] 
*******************



*********************
     [Même date] 
*********************

Aucun fichier créé à la même date détecté


Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§ 
----------------------------------


je vais lancé l'analyse de l'antivirus sa va me prendre une bonne heure
sinon j'évite d'utiliser trop l'ordi tant que tout ça ne sera pas réglé mais il a l'air de bien se comporté  et mon antivirus ne détecte plus de virus a répétition c bon signe je pense :-) ! 
bonne journé a +

afideg · Answer

Re,
OK
Merci

Tu ajouteras ceci, SVP :

Télécharge ceci: (by Moe) sur le bureau:  http://sosvirus.changelog.fr/Green_day/Lopxpsetup.exe  

Double-clic sur “Lopxpsetup.exe” pour lancer l'installation 
Clic sur [Exécuter] ; à ce moment, il se crée une nouvelle icône “Lopxp”sur le bureau.
< http://img524.imageshack.us/img524/439/screenshot248jn6.png >
Double-clic sur cette icône  “Lopxp”.
Au menu (page bleue affichée), choisir l'option 1 
Patienter jusqu'à que l'on demande “d'appuyer sur une touche quelconque pour continuer” et appuyer ! 
Un rapport sera alors créé ; à copier/coller en entier sur le forum. 


Merci
Bon appétit
Al.

clems · Answer

RE, 
l'analyse de l'antivirus n'a rien donnée , il n'a rien détecté d'anormal !
je vide la quarantaine des anciens virus et trojan détecté avant ou pas ?

voici la rapport de lopxpsetup :
# Rapport Lopxp fait le 02/03/2008 à 13:44:15
# Exécuté dans : C:\Program Files\Lopxp
# Version 3.08 - Maj du 15/02/2008


========== Listing des dossiers Application Data

+- C:\Documents and Settings\All Users\Application Data

 2005-12-29 à 11:39:38 - Adobe 
 2005-12-29 à 11:40:22 - Adobe Systems
 2005-12-08 à 18:22:25 - Apple Computer
 2006-04-02 à 17:44:36 - Avg7 
 2006-02-23 à 11:11:35 - Grisoft 
 2006-02-27 à 19:59:12 - Messenger Plus!
 2006-01-15 à 20:01:17 - Microsoft 
 2005-04-12 à 17:48:29 - MSN6 
 2005-09-21 à 19:19:48 - QuickTime 
 2006-03-29 à 11:42:32 - Ulead Systems

+- C:\Documents and Settings\All Users.WINDOWS\Application Data

 2007-11-24 à 14:33:31 - Adobe 
 2007-11-19 à 21:08:23 - Apple 
 2007-11-19 à 21:12:22 - Apple Computer
 2007-11-21 à 18:45:55 - avg7 
 2007-11-19 à 21:23:10 - Grisoft 
 2007-11-21 à 18:13:03 - Messenger Plus!
 2007-11-24 à 12:26:57 - Microsoft 
 2007-11-20 à 21:56:57 - nView_Profiles 
 2008-03-02 à 00:36:20 - Spybot - Search & Destroy
 2007-12-05 à 13:12:49 - Windows Genuine Advantage
 2007-11-21 à 12:06:55 - Yahoo! Companion

+- C:\Documents and Settings\Fam. BriŠre\Application Data

 2006-12-10 à 09:57:25 - Adobe 
 2007-01-10 à 18:03:44 - AdobeUM 
 2006-04-12 à 19:09:55 - Apple Computer
 2006-04-15 à 16:12:40 - ATI 
 2007-03-09 à 22:45:19 - AVG7 
 2006-12-02 à 21:33:35 - BitTorrent 
 2006-09-02 à 21:21:02 - BSplayer 
 2006-09-14 à 19:04:10 - Creative 
 2006-11-13 à 21:13:18 - DeepBurner 
 2007-01-09 à 15:47:40 - DivX 
 2006-05-04 à 08:44:13 - dvdcss 
 2006-05-03 à 09:16:45 - EPSON 
 2006-09-16 à 16:55:26 - Google 
 2006-05-22 à 20:16:48 - Help 
 2006-04-12 à 18:21:21 - Identities 
 2008-03-01 à 21:55:18 - Lavasoft 
 2006-04-16 à 10:16:15 - Leadertech 
 2006-04-12 à 18:42:58 - Macromedia 
 2007-03-01 à 20:40:03 - Microsoft 
 2006-10-17 à 20:27:39 - Mozilla 
 2006-04-12 à 18:39:29 - MSN6 
 2007-03-16 à 22:11:55 - OpenOffice.org2 
 2006-08-14 à 09:55:54 - Opera 
 2006-11-09 à 18:01:54 - Real 
 2006-12-03 à 16:07:57 - Sun 
 2006-10-17 à 20:28:17 - Talkback 
 2006-10-17 à 20:27:37 - Thunderbird 
 2006-08-19 à 11:49:09 - Ulead Systems
 2006-04-15 à 13:37:09 - vlc 

+- C:\Documents and Settings\Fam. BriŠre\Local Settings\Application Data

 2006-08-14 à 09:24:57 - Adobe 
 2006-04-12 à 19:09:55 - Apple Computer
 2006-04-15 à 16:12:35 - ApplicationHistory 
 2006-04-15 à 16:12:40 - ATI 
 2006-11-09 à 17:51:45 - Google 
 2006-05-22 à 20:16:48 - Help 
 2006-04-20 à 16:58:44 - Identities 
 2007-02-12 à 19:12:00 - Microsoft 
 2006-04-12 à 18:27:36 - Mozilla 
 2006-08-12 à 18:44:54 - Oblivion 
 2006-10-17 à 20:27:37 - Thunderbird 

+- C:\Documents and Settings\Famille BriŠre\Application Data

 2007-12-26 à 16:57:31 - Adobe 
 2007-11-28 à 15:41:07 - Apple Computer
 2008-03-02 à 11:52:25 - AVG7 
 2007-11-28 à 15:53:03 - DeepBurner 
 2007-12-03 à 14:57:05 - dvdcss 
 2007-11-19 à 18:41:42 - Identities 
 2007-11-19 à 19:56:53 - Macromedia 
 2007-11-24 à 13:14:21 - Microsoft 
 2007-11-19 à 20:21:13 - Mozilla 
 2008-01-02 à 21:32:49 - Pingus 
 2008-02-29 à 17:35:39 - Pro Cycling Manager 2007
 2007-12-16 à 13:08:39 - SecuROM 
 2007-12-07 à 14:10:33 - Sun 
 2007-11-19 à 20:21:15 - Talkback 
 2007-11-19 à 20:21:12 - Thunderbird 
 2007-11-20 à 18:30:09 - vlc 
 2008-01-05 à 12:38:24 - Wormux 

+- C:\Documents and Settings\Famille BriŠre\Local Settings\Application Data

 2007-11-24 à 14:34:14 - Adobe 
 2007-11-19 à 21:10:05 - Apple 
 2007-11-19 à 21:12:51 - Apple Computer
 2007-11-19 à 22:21:14 - Identities 
 2008-02-20 à 15:56:33 - Microsoft 
 2007-11-19 à 19:52:43 - Mozilla 
 2007-12-03 à 14:09:21 - Oblivion 
 2007-12-09 à 17:57:37 - Stardock 
 2007-11-19 à 20:21:15 - Thunderbird 
 2007-12-09 à 17:44:43 - WMTools Downloaded Files

========== Listing du dossier Program Files

+- C:\Program Files

 2008-01-02 à 18:29:03 - 3DBELOTE 
 2006-08-31 à 15:21:35 - 7-Zip 
 2006-09-02 à 21:30:03 - ABBYY FineReader 6.0 Sprint
 2007-11-24 à 14:32:36 - Adobe 
 2006-05-27 à 15:50:52 - Alcohol Soft
 2007-09-11 à 13:43:18 - Apple Software Update
 2006-05-03 à 09:06:12 - ArcSoft 
 2006-01-05 à 11:54:53 - Astonsoft 
 2005-04-08 à 17:40:57 - ATI Technologies
 2007-07-02 à 16:18:06 - Band-in-a-box 
 2007-10-07 à 15:53:26 - CCleaner 
 2005-11-18 à 17:26:43 - CEDROM-SNi 
 2006-04-12 à 18:11:59 - ComPlus Applications
 2007-11-02 à 12:50:54 - Creative 
 2008-01-02 à 21:31:03 - Cube 
 2007-12-09 à 20:35:35 - CursorXP 
 2007-12-30 à 21:27:04 - Cyanide 
 2007-04-17 à 11:01:20 - dBpowerAMP 
 2007-11-28 à 15:25:21 - DeepBurner 
 2005-04-13 à 18:18:54 - directx 
 2007-10-29 à 20:36:03 - DivX 
 2007-12-05 à 11:28:26 - Drive Rescue
 2007-09-28 à 15:04:12 - Driver Cleaner Pro
 2005-11-18 à 17:33:37 - Duran 
 2007-11-14 à 20:01:06 - Elysée... moi !
 2008-03-02 à 01:01:22 - eMule 
 2006-05-03 à 09:08:55 - epson 
 2008-01-03 à 13:14:39 - Fichiers communs
 2006-04-20 à 17:27:01 - Free Audio Pack
 2007-01-09 à 15:47:03 - Google 
 2007-11-19 à 20:07:02 - Grisoft 
 2007-11-21 à 11:33:34 - Guitar Pro 5
 2007-03-30 à 18:30:27 - Half Life 2
 2007-01-09 à 15:10:21 - HT Video Splitter & Joiner 2.0 Shareware
 2007-12-09 à 21:04:43 - iColorFolder 
 2006-03-08 à 18:51:38 - Illustrate 
 2008-01-06 à 12:44:03 - InstallShield Installation Information
 2005-04-08 à 17:25:02 - Intel 
 2007-12-09 à 21:04:42 - Internet Explorer
 2008-01-22 à 17:44:56 - iPod 
 2008-01-22 à 17:45:16 - iTunes 
 2007-11-24 à 12:29:06 - Java 
 2005-12-29 à 11:32:42 - JVTorrent 
 2007-12-30 à 17:19:03 - KONAMI 
 2007-12-09 à 20:46:05 - LClock 
 2005-11-23 à 14:23:12 - Ligos 
 2005-06-22 à 18:29:12 - LittleFighter2 
 2008-03-02 à 12:44:17 - Lopxp 
 2007-04-21 à 17:16:12 - Matroska Pack
 2007-11-22 à 11:16:31 - Messenger 
 2007-03-23 à 22:33:51 - Messenger Plus! Live
 2007-11-21 à 18:11:41 - MessengerPlus! 3
 2005-04-08 à 15:44:14 - microsoft frontpage
 2005-04-10 à 16:36:12 - Microsoft Money
 2006-10-31 à 14:59:55 - Microsoft Office
 2007-12-09 à 21:04:42 - Movie Maker
 2008-03-02 à 11:05:13 - Mozilla Firefox
 2008-02-20 à 15:47:26 - Mozilla Thunderbird
 2008-01-25 à 14:23:55 - MP3Gain 
 2005-04-08 à 15:41:02 - MSN 
 2005-12-07 à 14:33:07 - MSN Apps
 2005-04-08 à 15:40:49 - MSN Gaming Zone
 2007-11-20 à 19:49:03 - MSN Messenger
 2007-11-14 à 16:45:49 - NetMeeting 
 2006-05-03 à 09:08:27 - NewSoft 
 2007-11-19 à 18:26:30 - Online Services
 2006-05-20 à 13:16:32 - OpenOffice.org 2.0
 2007-12-09 à 21:04:43 - Outlook Express
 2008-01-07 à 15:01:27 - Paradox Interactive
 2005-12-07 à 12:46:49 - PhotoFiltre 
 2008-02-14 à 20:26:01 - Pingus 
 2008-01-03 à 15:45:43 - Pointstone 
 2006-10-18 à 18:18:19 - PowerTracks DirectX Plugins
 2008-01-22 à 17:40:06 - QuickTime 
 2006-05-20 à 08:35:25 - Real 
 2007-12-03 à 11:24:48 - RegCleaner 
 2007-10-09 à 16:56:41 - Rockstar Games
 2008-01-04 à 11:11:44 - Sauerbraten 
 2006-03-09 à 18:42:22 - Scribus 1.3.2
 2005-04-08 à 15:41:02 - Services en ligne
 2007-11-02 à 12:40:37 - SightSpeed 
 2005-12-04 à 15:11:37 - Solone 
 2008-03-02 à 00:01:33 - Spybot - Search & Destroy
 2008-02-13 à 12:15:57 - SuperTux 0.3.0
 2008-03-01 à 20:19:46 - Trend Micro
 2005-04-21 à 18:57:57 - Ulead iPhoto Express
 2006-08-19 à 11:46:53 - Ulead Systems
 2005-04-08 à 16:51:19 - Uninstall Information
 2007-02-12 à 22:30:41 - UxTheme Multipatcher Fr
 2005-04-08 à 17:30:33 - VIA 
 2005-12-16 à 19:54:27 - VideoLAN 
 2007-01-09 à 15:14:47 - VirtualDub 
 2008-01-06 à 12:44:03 - Vivendi Universal Games
 2005-08-23 à 18:42:36 - Warthog 
 2006-10-07 à 11:57:28 - Winamp 
 2007-12-09 à 21:04:43 - Windows Media Player
 2007-11-14 à 16:43:46 - Windows NT
 2007-11-14 à 16:46:26 - WindowsUpdate 
 2007-12-30 à 21:52:09 - Winfog 
 2007-11-19 à 21:11:28 - WinRAR 
 2008-01-05 à 12:37:59 - Wormux 
 2008-02-17 à 15:30:56 - WWP 
 2005-04-08 à 15:44:14 - xerox 
 2007-01-09 à 15:56:59 - Xvid 
 2007-11-19 à 21:34:20 - Yahoo! 

========== Tâches planifiées

AppleSoftwareUpdate.job: C:\Program Files\Apple Software Update\SoftwareUpdate.exe -task

========== Clés registre


========== Bloqueur popups Internet Explorer


==========    Suggestion ( /!\ Nécessite une interprétation.)    ==========


+- Registre : Aucune suggestion.


- Fin du rapport -

afideg · Answer

Re, A)- Il semble bien que ton PC soit nettoyé. Avais-tu supprimé ce fichier BMdfa7fce4.xml? ==> apparemment, oui. Observe ce PC durant une semaine, et reviens si tu as des alertes. B)- Vide la quarantaine de Grisoft AVG. C)- Supprimer les outils utilisés devenus inutiles, ainsi que les quarantaines éventuelles; comme ceci: •- Clique sur "Démarrer" - Clic droit sur le "Poste de Travail" > dans "Propriétés" > onglet "Restauration du système" - Cocher la case "Désactiver la restauration du système" et cliquer sur "Appliquer". •- Télécharger _OTMoveIt sur ton bureau > < http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe > •- Lance OTMoveIt.exe par double-clic [*]Clique sur CleanUp! (le programme va télécharger un fichier texte qui servira à nettoyer les programmes que l'on a téléchargés). NOTE : Normalement, ton Firewall (parefeu) devrait te demander si _OTMoveIt peut accéder à Internet. Autorise-le. [*]Une liste apparaît dans la partie gauche d' _OTMoveIt. [*]Un message apparaît pour confirmer le nettoyage. Confirme Ce programme supprime les outils utilisés ainsi que les quarantaines éventuelles. La manoeuvre nécessitera un reboot (=redémarrage) initié par le programme. •- Clique sur "Démarrer" - Clic droit sur le "Poste de Travail" > dans "Propriétés" > onglet "Restauration du système" - Décocher la case "Désactiver la restauration du système" et cliquer sur "Appliquer". D)- Crée un nouveau point de restauration comme ceci: Procédure pour Windows XP. Citation: -Clic sur « Démarrer » > « Tous les programmes » > « Accessoires » > « Outils système » > « Restauration système » ; on obtient cette page < http://img256.imageshack.us/img256/2643/screenshot060at6.png > -Cocher le bouton ratio en face de « Créer un point de restauration » puis appuyer sur le bouton radio [Suivant] ; une nouvelle page < http://img253.imageshack.us/img253/6400/screenshot061qa6.png > s’affiche. -Dans la lucarne texte de la description, entrer une description de la restauration (taper un descriptif caractéristique de ce point ; par exemple : « Dernière désinfection 02032008 ») et clic sur « Créer ». -Un descriptif s'affiche avec la date et l’heure de cette opération. -Cliquer ensuite sur « démarrage », puis « annuler ». Bonne journée Merci pour ta patience et ta collaboration. Al.

clems · Answer

voila ! mission accomplie ! 
c'est moi qui te remercie pour ton aide précieuse ;-) ! 
bonne journée
salut !

Besoin d'une aide Trojan BHO.DFZ+ d'autres

27 réponses

Votre réponse

Discussions similaires

Newsletters