WiFi & fichiers *.exe inactifs ... virus ?

Bonsoir DIID,

1) concernant le mode sans echec, je ne peux pas. En effet, comme spécifié dans mon message ( un peu long je l'avoue, ok ... ) je cite : " Ils préconisent de lancer un scan en mode sans échec. je m'exécute et ... impossibilité de démarrer en mode sans échec, j'obtiens une fenêtre DOS avec la ligne :
multi(0)disk(0)rdisk(0)partition(1)\winnt\system32\ntoskrnl.exe
En mode sans échec avec prise en charge réseau : idem, un message DOS, puis un écran bleu, puis un rebbot automatique. Même phénomène avec l'option Invite de commande en mode sans echec. "

2) concernant Hijackthis, imposible de l'utiliser. En effet, je peux l'installer mais pas le lancer, j'obtiens la même erreur qu'avec de nombreux softs : appli win32 non valide.

***

je vais tenter de télécharger, installer, exécuter l'autre soft dont tu me parles, en espérant ne pas avoir un ... appli win32 non valide ...

Merci pour ton temps passé sur ce pb.
François

en lancant Combofix à partir du HD j'obtiens - bien évidemment - : Combofix n'est pas une appli win32 valide.
J'essai de l'exécuter à partir d'une clé USB U3 et je te tiens au jus.

Pous info, je viens de remarquer le même phénomène qu'avec Hijackthis.exe ( que j'avais renommé en scanner .exe pour tromper l'ennemi ) : dans l'explorateur, l'icone du logiciel clignote et change d'aspect ( alternativement son icone normale avec l'icone petit rectangle blanc entouré d'un liseré bleu, bref l'icone classique pour les fichiers .exe qui n'ont pas d'icone particuliere. Egalement les répertoire dans lesquels sont situés ces fichiers clignotent, le symbole "+" devant le répertoire jaune disparait, puis réapparait, et ainsi de suite.

J'imagine qu'il y a une saloperie qui scanne les fichiers exe ...

Dommage que je ne puisse pas poster des snap shots pour etre plus explicite ...

Bref, je poursuis.

@+

suite :

en mettant combofix sur clé USB, il se met aussi à clignotter ...
en tentant de le lancer à partir d'une fenetre DOS, rien à faire, ... appli win32 non valide ...

je reboot ...

DIID,

désolé, je n'ai aps vu ton mail pour cause de reboot scannage, mais voici de nouveaux éléments qui tu auras au réveil car tu dois à présent dormir du sommeil du juste.

Premièrement, concernant ton mail, voici les tâches effectuées :

Sinon : Vire les fichiers temp de :
- C:\TEMP --> OK
- C:\WINDOWS\TEMP --> OK
- C:\Documents And Settings\Session de l'utilisateur\Local Settings\Temp(orary internet files) --> OK
- Puis vider la Corbeille <-- de temps en temps :D --> OK
- Démarrer> Exécuter> taper : CleanMgr et valider pour les supprimer. --> OK

A présent, je constate ironiquement que l'on converge même les mêmes pistes, je m'explique : lors de mon reboot, windows a du fermer un prog hdlrrr.exe, ce qui m'a interpellé. J'ai stoppé le reboot, suis allé voir dans les process : RIEN.
Je lance une recherche dans l'explorateur : RIEN
Tiens tiens, vraiment bizarre. je tape dans google hdlrrr.exe et ... bingo! à priori un virus.

En googlisant, j'installe Pocket killbox ( qui au passage m'aura permis de virer un fichier fun.xls.exe qui trainait sur une clé USB depuis des mois et que je n'arrivais pas à virer, malgré les conseils trouvés sur let net ... ) ainsi que le soft ... ELIBAGLA ! je n'ai donc pas vu ton mail car occuper à scanner, erradiquer, rebooter...

voici donc mes 2 derniers fichiers de log de ELIBAGLA :

Tue Mar 18 02:19:53 2008
EliBagle v11.16 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINNT\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINNT\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINNT\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINNT\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.

Tue Mar 18 02:30:11 2008
EliBagle v11.16 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\!KillBox\POINT32.EXE --> Eliminado Bagle.dldr
C:\Local\ADVANCED WEDDING ORGANIZER 1.EXE --> Eliminado Bagle.dldr
C:\Local\FORSERO_DATA\Downloads\ADVANCED WEDDING ORGANIZER 1.ZIP --> Eliminado Bagle.dldr
C:\RECYCLER\S-1-5-21-854245398-789336058-682003330-1194\DC4.EXE --> Eliminado Bagle.dldr
C:\WINNT\system32\MDELK.EXE --> Acceso Denegado, Bagle (Reiniciar para completar la Limpieza)

Nº Total de Directorios: 6015
Nº Total de Ficheros: 64280
Nº de Ficheros Analizados: 10832
Nº de Ficheros Infectados: 5
Nº de Ficheros Limpiados: 5

Tue Mar 18 02:47:35 2008
EliBagle v11.16 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):

Tue Mar 18 02:47:44 2008
EliBagle v11.16 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\!KillBox\HLDRRR.EXE --> Eliminado Bagle.dldr
C:\!KillBox\MDELK.EXE --> Eliminado Bagle
C:\!KillBox\SROSA.SYS --> Eliminado Bagle (rootkit)
C:\!KillBox\WINTEMS.EXE --> Eliminado Bagle
C:\WINNT\system32\drivers\down\160080.EXE --> Eliminado Bagle
C:\WINNT\system32\drivers\down\3366440.EXE --> Eliminado Bagle
C:\WINNT\system32\drivers\down\44546023.EXE --> Eliminado Bagle
C:\WINNT\system32\drivers\down\745290561.EXE --> Eliminado Bagle
C:\WINNT\system32\drivers\down\872744.EXE --> Eliminado Bagle

Nº Total de Directorios: 6024
Nº Total de Ficheros: 64415
Nº de Ficheros Analizados: 10850
Nº de Ficheros Infectados: 9
Nº de Ficheros Limpiados: 9

A présent les fichiers .exe comme HijackThis ou Combofix.exe ne clignotent plus ( donc ne sont plus appelés par un process ... ) Cependant, je ne peux pas exécuter ces prog ainsi que spybot ou AVG, toujours la même histoire : appli win32 non valide.

Mon virus semblant néanmoins être éradiqué ( même si maintenant il va falloir s'atteler aux dégats ) je reboot afin de :

1) constater si j'ai ou pas accès au mode sans echec
2) lancer un dernier ELIBAGLA ainsi qu'un scan complet via Ad-ware pendant que j'irai roupiller ...

@+ et merci pour ton aide, sincèrement !
F.

Suite :

bonne nouvelle : j'ai récupéré le mode sans echec, y.c avec prise en charge du réseau. Y'a donc du mieux !
Point négatifs : idem concernant certains de mes fichiers *.exe installés AVANT que le virus se déclare : appli win32 non valide.

C'est donc parti pour un scan via ad-ware. ( je ne peux pas non plus désinstaller/ reinstaller mes anti virus/ spyware car lorque je lance les prog de désistal, même cirque ... ---> appli win32 non valide.

@ demain.
François

Bonjour DIID,

je viens de prendre connaissance de ton dernier message et t'en remercie. Je vais le mettre en oeuvre dès que je rentre chez moi. Je réponds là à ton avant dernier message d'hier 10h34 avec tous les reports demandés.

Je fais un copier/coller de ton message pour plus de clarté. Mes remarqueset Reports en gras précédés de ">>".

A bientôt
François

***

Bonjour François,
Bine joué !
Bon on va le remettre sur pattes ton PC.

;)

Bon ton infection est due très souvent à des cracks. Il faut que tu supprimes les programmes crackés que tu as car sinon on va tourner en rond....
Relance le moins possible ton PC (chaque reboot => favorise l'infection)
Je m'explique : à chaque fois que tu lances le programme cracké en question l'infection revient. Alors si ce programme se lance automatiquement au démarrage windows, à chaque fois que tu relances ton PC la crasse réapparait.

> Lance Alibagla en MSE :
- Assure toi que Unidad affiche C:\ et que la case Eliminar Ficheros Automaticamente est bien cochée.
- Lance le scan.
- Poste le contenu du fichier infoSat.txt qui se trouve dans C:/ stp.
Repère cette l'orération 3 ou 4 de suite (jusqu'à ce qu'il ne trouve plus rien) et sans rebooter (poste les rapports stp)



>> Voici les rapports cumulés d’ELIBAGLA :

( conclusion : ELIBAGLA ne trouve plus rien à présent )





Tue Mar 18 02:19:53 2008

EliBagle v11.16 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINNT\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINNT\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle

C:\WINNT\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

C:\WINNT\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.

Restaurada Clave: "SafeBoot\Minimal y Network"

Reinicie para Completar la Limpieza.



Tue Mar 18 02:30:11 2008

EliBagle v11.16 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\!KillBox\POINT32.EXE --> Eliminado Bagle.dldr

C:\Local\ADVANCED WEDDING ORGANIZER 1.EXE --> Eliminado Bagle.dldr

C:\Local\FORSERO_DATA\Downloads\ADVANCED WEDDING ORGANIZER 1.ZIP --> Eliminado Bagle.dldr

C:\RECYCLER\S-1-5-21-854245398-789336058-682003330-1194\DC4.EXE --> Eliminado Bagle.dldr

C:\WINNT\system32\MDELK.EXE --> Acceso Denegado, Bagle (Reiniciar para completar la Limpieza)



Nº Total de Directorios: 6015

Nº Total de Ficheros: 64280

Nº de Ficheros Analizados: 10832

Nº de Ficheros Infectados: 5

Nº de Ficheros Limpiados: 5



Tue Mar 18 02:47:35 2008

EliBagle v11.16 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):



Tue Mar 18 02:47:44 2008

EliBagle v11.16 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\!KillBox\HLDRRR.EXE --> Eliminado Bagle.dldr

C:\!KillBox\MDELK.EXE --> Eliminado Bagle

C:\!KillBox\SROSA.SYS --> Eliminado Bagle (rootkit)

C:\!KillBox\WINTEMS.EXE --> Eliminado Bagle

C:\WINNT\system32\drivers\down\160080.EXE --> Eliminado Bagle

C:\WINNT\system32\drivers\down\3366440.EXE --> Eliminado Bagle

C:\WINNT\system32\drivers\down\44546023.EXE --> Eliminado Bagle

C:\WINNT\system32\drivers\down\745290561.EXE --> Eliminado Bagle

C:\WINNT\system32\drivers\down\872744.EXE --> Eliminado Bagle



Nº Total de Directorios: 6024

Nº Total de Ficheros: 64415

Nº de Ficheros Analizados: 10850

Nº de Ficheros Infectados: 9

Nº de Ficheros Limpiados: 9



Tue Mar 18 03:12:44 2008

EliBagle v11.16 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):



Tue Mar 18 03:13:16 2008

EliBagle v11.16 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad F:\



Nº Total de Directorios: 0

Nº Total de Ficheros: 0

Nº de Ficheros Analizados: 0

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Tue Mar 18 03:20:31 2008

EliBagle v11.16 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad F:\



Nº Total de Directorios: 0

Nº Total de Ficheros: 0

Nº de Ficheros Analizados: 0

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Tue Mar 18 03:20:36 2008

EliBagle v11.16 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\



Nº Total de Directorios: 218

Nº Total de Ficheros: 3085

Nº de Ficheros Analizados: 170

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Tue Mar 18 04:10:04 2008

EliBagle v11.16 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):



Tue Mar 18 04:10:18 2008

EliBagle v11.16 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad G:\



Nº Total de Directorios: 9

Nº Total de Ficheros: 239

Nº de Ficheros Analizados: 6

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Tue Mar 18 04:10:26 2008

EliBagle v11.16 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad F:\

F:\FORSERO_DATA\Downloads\ADVANCED WEDDING ORGANIZER 1.ZIP --> Eliminado Bagle.dldr

F:\FORSERO_DATA\Downloads\POINT32.EXE --> Eliminado Bagle.dldr



Nº Total de Directorios: 273

Nº Total de Ficheros: 21966

Nº de Ficheros Analizados: 158

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2



Tue Mar 18 04:34:24 2008

EliBagle v11.16 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):



Tue Mar 18 04:34:32 2008

EliBagle v11.16 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 5882

Nº Total de Ficheros: 63689

Nº de Ficheros Analizados: 10844

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Tue Mar 18 17:32:06 2008

EliBagle v11.16 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):



Tue Mar 18 17:32:10 2008

EliBagle v11.16 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 5446

Nº Total de Ficheros: 60206

Nº de Ficheros Analizados: 10629

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Tue Mar 18 22:49:11 2008

EliBagle v11.16 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):



Tue Mar 18 22:49:18 2008

EliBagle v11.16 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 5468

Nº Total de Ficheros: 60471

Nº de Ficheros Analizados: 10657

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Ne reboot pas stp ! (toujours le moins possible)

> Supprime ta version actuelle d'AVG (elle doit être endommagée) et fais ceci stp :
> Les logiciels suivants (AVG et Ccleaner) te seront utiles par la suite - ils sont à conserver...

En mode sans échec avec prise en charge du réseau : (si tu as des problèmes avec certaines étapes alors passe à la suite).
> Télécharge et installe sur ton PC AVG anti-spyware (si tu as déjà les programmes alors fais juste les mises à jour) : http://www.commentcamarche.net/telecharger/telecharger 218 avg anti spyware, fais les mises à jour puis ferme le programme.

> Télécharge et installe Ccleaner : https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html fais les mises à jour puis ferme le programme.
Si besoin est tu trouveras des Tutoriaux ici :
https://kerio.probb.fr/t242-tuto-ccleaner-v-2 , https://www.malekal.com/tutoriel-ccleaner/ et [http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner

> Télécharge Cleaner : http://www.malekal.com/download/clean.zip (différent de Ccleaner),

> Télécharge SDFix sur ton bureau
- Double clique sur l'archive SDFix qui à été créé sur le Bureau et installe le programme (l'installation va créer un dossier (à la racine du disque dur par défaut) nommé SDFix). Ferme ensuite le programme.

> Lance AVG,
- Clique sur le menu Analyse (de la barre d'outils). Clique après sur l'onglet Paramètres, puis <Dans Comment réagir?> clique sur <Actions recommandées> et choisi <Supprimer>.
- Vérifie que toutes les cases sont cochées dans <Comment faire l'analyse ?> et dans <Programmes potentiellement dangereux> et vérifie que le bouton-radio <Générer un rapport après chaque analyse> soit aussi coché.
- Vas dans l'onglet 'Analyse', puis clique <Analyse complète du système>.
Remarque : Une fois l'analyse terminée, il faut faire un clique droit sur un fichier infecté et demander à "AVG Anti-Spyware 7.5" de le supprimer.
Puis clique sur "Appliquer toutes les actions" afin de tout supprimer automatiquement.
- Clique sur "Enregistrer le rapport" puis enregistre le sur ton bureau.
- Fais un copier/coller du rapport généré dans ton prochain poste.



>> Remarque : J’ai bien paramétré ce soft comme il fallait et l’ai lancé. Sauf que … bien que <Générer un rapport après chaque analyse> ait été coché. ( j’ai fais des snapshots des écrans si tu le souhaites ), j’ai eu la surprise de constater qu’après le scan il n’ a avait rien comme rapport !!! Je pense donc qu’il fallait rebooter le PC entre l’installation du soft et le scan (?) afin que l’installation soit complète, malgré ce que tu m’a dis contre les virus qui se propagent lors des reboots successifs. Bref, j’ai donc rebooté le PC, relancé le scan, et là, il m’ a généré le rapport.


Note : j’avais téléchargé sur le site de Grisoft tous les fichiers bin afin de faire l’update en off line puisque je n’ai pas accès au net.

Hors impossible de trouver dans l’orborescence de AVG un qqconque répertoire avec des fichiers bin. Et lorsque tu fais une update d’AVG, il n’y a pas une box te demandant de saisir le path de tes fichiers bin. On peut forcer la mise à jour manuellement, mais elle se fait automatiquement on line …



Rapport :



---------------------------------------------------------

AVG Anti-Spyware 7.5.1.43 - Rapport d'analyse

---------------------------------------------------------



+ Créé à: 06:04:41 19/03/2008



+ Résultat de l'analyse:







Rien à signaler.





Fin du rapport

> Lance Ccleaner,
- Choisi l’onglet "Options" puis clique sur "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures" (tout doit être supprimé).
- Dans l'onglet "Nettoyeur" clique sur "Analyse".
- Une fois l'analyse terminée, clique sur "Lancer le Nettoyage".
- Dans l'onglet "registre" => Recherches des erreurs => Réparer les erreurs sélectionnées => enregistre une sauvegarde => corriger toutes erreurs sélectionnées => ok => fermer.
N.B : Si Ccleaner te propose d'enregistrer une sauvegarde, reponds oui et enregistre sous 'Bureau'
Recommence jusqu’à ce qu’il ne trouve plus rien (cela varie en général entre 1 et 4 fois).

> Pour Clean (encore en mode sans échec) :
- Double-clic sur clean.cmd
- Une fenêtre va apparaître, choisis l'option 2, suis les consignes et poste le rapport clean (Le rapport clean se trouve ici : C:\rapport_clean.txt)
NB : Si besoin, clean : http://mickael.barroux.free.fr/securite/clean.php



>> Mon avis sur ce soft : début mauvaise opinion : il m’a smeblé un peu codé à la va vite avec les pieds, le prompt présente 3 options numérotées 1, 2 et Q, mais à la saisie on peut faire 1,2,3 et Q. et le choix 3 est inactif…

Le soft m’a lancé l’invité « Nettoyage de l’ordinateur, collecte des données puis s’est bloqué. J’ai du tuer le soft et le relancer. Du coup j’ai fais dans l’ordre choix 1 puis choix 2 et cela a bien focntionné.



Ci-dessous mes 3 rapports :



Rapport option 2



Script executed in Safe Mode

Rapport clean par Malekal_morte - http://www.malekal.com

Script executed in Safe Mode 19/03/2008 a 2:22:34,24



Microsoft Windows XP [version 5.1.2600]



*** Suppression C:



*** Suppression C:\WINNT\



*** Suppression C:\WINNT\system32



*** Suppression C:\Program Files



*** Deletion of the registry keys successful..

*** End of the report !



Rapport option 1 :



19/03/2008 a 2:20:08,74



*** Recherche C:



*** Recherche C:\WINNT\



*** Recherche C:\WINNT\system32



*** Recherche C:\Program Files

*** End of the report !



Rapport final :



Script executed in Safe Mode

Rapport clean par Malekal_morte - http://www.malekal.com

Script executed in Safe Mode 19/03/2008 a 5:01:37,06



Microsoft Windows XP [version 5.1.2600]



*** Suppression C:



*** Suppression C:\WINNT\



*** Suppression C:\WINNT\system32



*** Suppression C:\Program Files



*** Deletion of the registry keys successful..

*** End of the report !


> Pour SDFix (toujours en mode sans échec) :
- Vas dans c:/SDFix et double-clique sur RunThis.bat
- Appuie sur < Y > puis < Entrée >....Le nettoyage commance....patience...
- Le programme va te demander de relancer le PC, frappe une touche...
- Le nettoyage se termine...un rapport apparait...
-Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse



>> Mon avis sur ce soft : au début mauvaise opinion : il m’a généré un écran bleu suivi d’un reboot. Ensuite cela s’est mieux passé.

Rapport :





Rebooting





[b]Checking Files [/b]:



Trojan Files Found:



C:\WINNT\SYSTEM32\RNAPH.DLL - Deleted

C:\WINNT\system32\drivers.exe - Deleted

C:\WINNT\system32\netsvc.exe - Deleted











Removing Temp Files



[b]ADS Check [/b]:







[b]Final Check [/b]:



catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-03-19 03:00:59

Windows 5.1.2600 Service Pack 2 NTFS



scanning hidden processes ...



scanning hidden services & system hive ...



scanning hidden registry entries ...



scanning hidden files ...





scan completed successfully

hidden processes: 0

hidden services: 0

hidden files: 242





[b]Remaining Services [/b]:







Authorized Application Key Export:



[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Program Files\\eMule\\emule.exe"="C:\\Program Files\\eMule\\emule.exe:*:Enabled:eMule"

"C:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"="C:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE:*:Enabled:Microsoft Office OneNote"

"C:\\Program Files\\DAP\\DAP.exe"="C:\\Program Files\\DAP\\DAP.exe:*:Enabled:Download Accelerator Plus (DAP)"

"C:\\Program Files\\Microsoft ActiveSync\\rapimgr.exe"="C:\\Program Files\\Microsoft ActiveSync\\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager"

"C:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe"="C:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager"

"C:\\Program Files\\Microsoft ActiveSync\\WCESMgr.exe"="C:\\Program Files\\Microsoft ActiveSync\\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application"

"C:\\Program Files\\Grisoft\\AVG7\\avginet.exe"="C:\\Program Files\\Grisoft\\AVG7\\avginet.exe:*:Enabled:avginet.exe"

"C:\\Program Files\\Grisoft\\AVG7\\avgamsvr.exe"="C:\\Program Files\\Grisoft\\AVG7\\avgamsvr.exe:*:Enabled:avgamsvr.exe"

"C:\\Program Files\\Grisoft\\AVG7\\avgcc.exe"="C:\\Program Files\\Grisoft\\AVG7\\avgcc.exe:*:Enabled:avgcc.exe"

"C:\\Program Files\\BitTorrent_DNA\\dna.exe"="C:\\Program Files\\BitTorrent_DNA\\dna.exe:*:Enabled:BitTorrent DNA"

"C:\\Program Files\\BitTorrent\\bittorrent.exe"="C:\\Program Files\\BitTorrent\\bittorrent.exe:*:Enabled:BitTorrent"

"C:\\Program Files\\Fujitsu\\Plugfree\\PfChat.exe"="C:\\Program Files\\Fujitsu\\Plugfree\\PfChat.exe:*:Enabled:Plugfree Chat"

"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"

"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

"C:\\Program Files\\ICQ6\\ICQ.exe"="C:\\Program Files\\ICQ6\\ICQ.exe:*:Enabled:ICQ6"

"C:\\Program Files\\Macromedia\\Dreamweaver MX\\Dreamweaver.exe"="C:\\Program Files\\Macromedia\\Dreamweaver MX\\Dreamweaver.exe:*:Disabled:Dreamweaver MX"

"C:\\Program Files\\Skype\\Phone\\Skype.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe:*:Enabled:Skype. Take a deep breath "

"C:\\Documents and Settings\\Donn‚es d'applications\\U3\\0C610960D11009E6\\0DE4F643-C398-46ec-9339-2362F2311932\\Exec\\skype.exe"="C:\\Documents and Settings\\Donn‚es d'applications\\U3\\0C610960D11009E6\\0DE4F643-C398-46ec-9339-2362F2311932\\Exec\\skype.exe:*:Enabled:Skype"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Program Files\\Microsoft ActiveSync\\rapimgr.exe"="C:\\Program Files\\Microsoft ActiveSync\\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager"

"C:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe"="C:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager"

"C:\\Program Files\\Microsoft ActiveSync\\WCESMgr.exe"="C:\\Program Files\\Microsoft ActiveSync\\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application"

"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"

"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"



[b]Remaining Files [/b]:





File Backups: - C:\SDFix\backups\backups.zip



[b]Files with Hidden Attributes [/b]:



Thu 19 Aug 2004 1,667,584 ...H. --- "C:\Program Files\Messenger\msmsgs.exe"

Thu 19 Aug 2004 65,024 A.SH. --- "C:\WINNT\system32\asycfilt.dll"

Thu 19 Aug 2004 611,328 A.SH. --- "C:\WINNT\system32\comctl32.dll"

Thu 19 Aug 2004 1,028,096 A.SH. --- "C:\WINNT\system32\mfc42.dll"

Fri 30 Aug 2002 57,344 A.SH. --- "C:\WINNT\system32\mfc42loc.dll"

Thu 19 Aug 2004 413,696 A.SH. --- "C:\WINNT\system32\msvcp60.dll"

Thu 19 Aug 2004 343,040 A.SH. --- "C:\WINNT\system32\msvcrt.dll"

Fri 30 Aug 2002 253,952 A.SH. --- "C:\WINNT\system32\msvcrt20.dll"

Thu 19 Aug 2004 553,472 A.SH. --- "C:\WINNT\system32\oleaut32.dll"

Thu 19 Aug 2004 83,456 A.SH. --- "C:\WINNT\system32\olepro32.dll"

Thu 19 Aug 2004 30,749 A.SH. --- "C:\WINNT\system32\vbajet32.dll"

Tue 16 Oct 2007 4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"

Sun 17 Feb 2008 39,936 ...H. --- "C:\Local\FORSERO_DATA\MEXICO\BUSINESS\~WRL0948.tmp"

Sun 17 Feb 2008 39,936 ...H. --- "C:\Local\FORSERO_DATA\MEXICO\BUSINESS\~WRL1945.tmp"

Tue 12 Feb 2008 38,400 ...H. --- "C:\Local\FORSERO_DATA\MEXICO\BUSINESS\~WRL2749.tmp"



[b]Finished![/b]



> Relance ton PC en mode normal

> Installe et lance Hijackthis : (si tu n'y arrives pas en mode normal alors fais le en MSE)
Puis sélectionne < do a system scan and save a logfile >,

Et envoie moi, par collier/coller, ton log Hijackthis stp,



Le voici ( je nai pas fait de réparation, j’attends ton avis ) :



Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 17:25:35, on 19/03/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0013)

Boot mode: Safe mode with network support



Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\System32\svchost.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\WINNT\Explorer.EXE

C:\WINNT\system32\taskmgr.exe

C:\Documents and Settings\EFOr7353\Données d'applications\U3\0C610960D11009E6\LaunchPad.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy:8080

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)

O2 - BHO: (no name) - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\system32\hkcmd.exe

O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon

O4 - HKLM\..\Run: [POINTER] point32.exe

O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\system32\igfxtray.exe

O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINNT\System32\CTFMON.EXE (User '?')

O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User '?')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINNT\System32\CTFMON.EXE (User '?')

O4 - HKUS\S-1-5-21-854245398-789336058-682003330-1194\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe" (User '?')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINNT\System32\CTFMON.EXE (User '?')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINNT\System32\CTFMON.EXE (User 'Default user')

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O8 - Extra context menu item: &Clean Traces - C:\Program Files\DAP\Privacy Package\dapcleanerie.htm

O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP\dapextie.htm

O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP\dapextie2.htm

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.1_02\bin\npjpi141_02.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.1_02\bin\npjpi141_02.dll

O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll

O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} - http://components.viewpoint.com/...

O16 - DPF: {05D96F71-87C6-11D3-9BE4-00902742D6E0} (QuickPlace Class) -

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: eToken Notification Service (ETOKSRV) - Aladdin Knowledge Systems Ltd. - C:\WINNT\System32\eTSrv.exe

O23 - Service: Google Desktop Manager 5.5.709.30344 (GoogleDesktopManager-093007-112848) - Unknown owner - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe (file missing)

O23 - Service: LVCOMSer - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe

O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe

O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\SrvLnch\SrvLnch.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe (file missing)