Win32 tratHBO au secours svp

j'ai fait un scan avec avast,(pas en mode sans échec), il m'a trouvé et mis en quarantaine plusieurs fichier, mais ça continue toujours (il détecte encore win32...)
je vais essayer un scan en mode sans échec

j'ai également spybot et ad-aware, qui n'ont pas non plus résolu le problème

ok, merci, je vais essayer (apparemment je ne peux même plus télécharger quoi que ce soit ; sinon je le téléchargerait du pc de mon fils et le mettrait sur le mien avec clé USB )

et pi on verra ...

see you soon

bon, ça y est , j'ai pu scanner (en mode sans echec) - (par contre qu'est-ce que ça raaaaaaaaaame !!)

voila le fruit de ce scann :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:00:18, on 01/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Orange\Systray\SystrayApp.exe
C:\Program Files\Orange\Launcher\Launcher.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
C:\Program Files\QuickTime\qttask.exe
C:\Apps\ActivBoard\MMKeybd.exe
C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Program Files\Microsoft Hardware\Mouse\point32.exe
C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
C:\Program Files\Samsung\Samsung Media Studio\SamsungMediaStudioAgent.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\Documents and Settings\Lagadec\Application Data\Anuman Interactive\AnumanLive\AnumanLive.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\OLYMPUS\OLYMPUS Master\Monitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\FotoStation Easy\FotoStation Easy AutoLaunch.exe
C:\Program Files\Nikon\NkView5\NkvMon.exe
C:\Program Files\Orange\Deskboard\deskboard.exe
C:\Program Files\Orange\connectivity\connectivitymanager.exe
C:\Program Files\Orange\connectivity\CoreCom\CoreCom.exe
C:\Documents and Settings\Lagadec\Bureau\HijackThis.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = https://support.microsoft.com/en-US/topic/internet-explorer-downloads-d49e1f0d-571c-9a7b-d97e-be248806ca70
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\Orange\SearchURLHook\SearchPageURL.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1.OLD\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {95DA25FE-EEB6-45B1-95D4-DF7D37E76AC2} - C:\WINDOWS\system32\rqRJApMg.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar6.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\3.0.1225.9868\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll (file missing)
O2 - BHO: (no name) - {D2376FB3-3D0D-414D-83AA-3AD6AD6B111F} - C:\WINDOWS\system32\urqQgfCu.dll
O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar6.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ORAHSSSessionManager] C:\Program Files\Orange\SessionManager\SessionManager.exe
O4 - HKLM\..\Run: [SystrayORAHSS] "C:\Program Files\Orange\Systray\SystrayApp.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Documents and Settings\Morgane\Mes documents\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [auwcvzby] c:\windows\system32\auwcvzby.exe auwcvzby
O4 - HKLM\..\Run: [OM_Monitor] C:\Program Files\OLYMPUS\OLYMPUS Master\FirstStart.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ACTIVBOARD] C:\Apps\ActivBoard\MMKeybd.exe
O4 - HKLM\..\Run: [mmtask] "C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe"
O4 - HKLM\..\Run: [MMTray] "C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe"
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [YeppStudioAgent] C:\Program Files\Samsung\Samsung Media Studio\SamsungMediaStudioAgent.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [AnumanLive] C:\Documents and Settings\Lagadec\Application Data\Anuman Interactive\AnumanLive\AnumanLive.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [OM_Monitor] C:\Program Files\OLYMPUS\OLYMPUS Master\Monitor.exe
O4 - HKCU\..\Run: [Update Service] C:\PROGRA~1\FICHIE~1\TEKNUM~1\update.exe /startup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\Money Express.exe"
O4 - HKUS\S-1-5-21-2025429265-2000478354-725345543-1004\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c (User '?')
O4 - HKUS\S-1-5-21-2025429265-2000478354-725345543-1004\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" (User '?')
O4 - HKUS\S-1-5-21-2025429265-2000478354-725345543-1004\..\Run: [AnumanLive] C:\Documents and Settings\Lagadec\Application Data\Anuman Interactive\AnumanLive\AnumanLive.exe (User '?')
O4 - HKUS\S-1-5-21-2025429265-2000478354-725345543-1004\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (User '?')
O4 - HKUS\S-1-5-21-2025429265-2000478354-725345543-1004\..\Run: [OM_Monitor] C:\Program Files\OLYMPUS\OLYMPUS Master\Monitor.exe (User '?')
O4 - HKUS\S-1-5-21-2025429265-2000478354-725345543-1004\..\Run: [Update Service] C:\PROGRA~1\FICHIE~1\TEKNUM~1\update.exe /startup (User '?')
O4 - HKUS\S-1-5-21-2025429265-2000478354-725345543-1004\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-21-2025429265-2000478354-725345543-1004\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\Money Express.exe" (User '?')
O4 - HKUS\S-1-5-18\..\Run: [Nokia.PCSync] C:\Documents and Settings\Morgane\Mes documents\Nokia PC Suite 6\PcSync2.exe /NoDialog (User '?')
O4 - HKUS\.DEFAULT\..\Run: [Nokia.PCSync] C:\Documents and Settings\Morgane\Mes documents\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: FotoStation Easy AutoLaunch.lnk = ?
O4 - Global Startup: NkvMon.exe.lnk = C:\Program Files\Nikon\NkView5\NkvMon.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=https://www.orange.fr/portail
O15 - Trusted Zone: https://www.orange.fr/portail
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {084DAC27-6FA3-4F55-9005-033F2F102F5C} (ITPPDiagIE Class) - http://images.goa.com/v3/InstallGoaIT/Itpp/V2,0,1,6/npwwg.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {86EEF11E-FF16-48CE-B1A2-474B663041A9} - http://11731.kit.carpediem.fr/FanParis.exe
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {FD40EC41-D860-4579-8BA4-52671A45C71C} (AxHtChat Class) - http://images.goa.com/v3/InstallGoaIT/ChatAx/V4,0,5,4/npaxchat.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: urqQgfCu - C:\WINDOWS\SYSTEM32\urqQgfCu.dll
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

Ok, j'envoie ça sur l'autre pc et je fais les manip'

@+

bon, voilà le résultat du scan de navilog :

Search Navipromo version 3.5.5 commencé le 01/05/2008 à 23:54:05,39

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1
Session actuelle : "Lagadec"

Mise à jour le 29.04.2008 à 20h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.11
Système de fichiers : NTFS

Executé en mode normal

*** Recherche Programmes installés ***

MailSkinner

*** Recherche dossiers dans "C:\WINDOWS" ***

C:\WINDOWS\msskinner trouvé !

*** Recherche dossiers dans "C:\Program Files" ***

C:\Program Files\MailSkinner trouvé !

*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***


*** Recherche dossiers dans "c:\docume~1\alluse~1\menudÉ~1\progra~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\Lagadec\applic~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\applic~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\MATHIEU\applic~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\PROPRI~1\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\Lagadec\locals~1\applic~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\MATHIEU\locals~1\applic~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\PROPRI~1\locals~1\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\Lagadec\menudm~1\progra~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\menudm~1\progra~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\MATHIEU\menudm~1\progra~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\Nathan\menudm~1\progra~1" ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun Fichier trouvé


*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\WINDOWS\system32" *

* Recherche dans "C:\Documents and Settings\Lagadec\locals~1\applic~1" *

* Recherche dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *

* Recherche dans "C:\DOCUME~1\MATHIEU\locals~1\applic~1" *

* Recherche dans "C:\DOCUME~1\PROPRI~1\locals~1\applic~1" *



*** Recherche fichiers ***


C:\WINDOWS\Downloaded Program Files\dhtmlaccess.inf trouvé !
C:\WINDOWS\pack.epk trouvé !
C:\WINDOWS\system32\nvs2.inf trouvé !

*** Recherche clés spécifiques dans le Registre ***

HKEY_CURRENT_USER\Software\Lanconfig trouvé !

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans "C:\WINDOWS\system32" :

auwcvzby.dat trouvé !
auwcvzby_nav.dat trouvé !
auwcvzby_navps.dat trouvé !
hyglwoe.dat trouvé !
hyglwoe_nav.dat trouvé !
hyglwoe_navps.dat trouvé !

* Dans "C:\Documents and Settings\Lagadec\locals~1\applic~1" :


* Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" :


* Dans "C:\DOCUME~1\MATHIEU\locals~1\applic~1" :


* Dans "C:\DOCUME~1\PROPRI~1\locals~1\applic~1" :


3)Recherche Certificats :

Certificat Egroup trouvé !
Certificat Electronic-Group absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche fichiers connus :

C:\WINDOWS\system32\gMpAJRqr.ini2 trouvé ! infection Vundo possible non traitée par cet outil !


*** Analyse terminée le 02/05/2008 à 0:28:26,79 ***


J'ai ensuite tenté de décomprésser clean.zip, j'ai eu la liste, cliqué sur clean, mais il me met "il manque des fichiers"
j'ai dans le fichier clean.zip :

tar.exe
remove.reg
pskill.exe
LFiles.exe
gzip.exe
delsiri.cmd
delr.cmd
del3.cmd
del2.cmd
clean.cmd
cherche.cmd


correct ?

@+

bon, j'ai réussi à scanner avec clean.
il me renvoie sur une page (IE) pour envoyer le fichier créé (upload_moi_SNCH75000508.tar.gz) (fichier zippé), je l'ai sélectionné, mais malgré plusieurs tentatives, il n'a pas été transmis.
j'ai tenté d'ouvrir le fichier en question (upload_moi_SNCH75000508.tar.gz) il me présente :

MRT.exe
ldkymjhk.dll
fidaphiy.dll
dyujevuk.dll
aswBoot.exe

keske je dois faire ?

merci
@+

bonjour, ça y est me revoilou

alors, j'ai trouvé le rapport clean ; ci-dessous copie

02/05/2008 a 0:47:32,10

*** Recherche des fichiers dans C:

*** Recherche des fichiers dans C:\WINDOWS\
C:\WINDOWS\pp.exe FOUND

*** Recherche des fichiers dans C:\WINDOWS\system32
C:\WINDOWS\Temp\setup.exe FOUND

*** Recherche des fichiers dans C:\Program Files
"C:\Program Files\Adverts\" FOUND
"C:\Program Files\mailskinner\" FOUND


je relance navilog et poste le rapport
Merci

@+

voilà le rapport navilog :

Clean Navipromo version 3.5.5 commencé le 02/05/2008 à 18:44:50,70

Outil exécuté depuis C:\Program Files\navilog1
Session actuelle : "Lagadec"

Mise à jour le 29.04.2008 à 20h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.11
Système de fichiers : NTFS

Mode suppression automatique
avec prise en charge résultats Catchme et GNS



*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)


*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans "C:\WINDOWS\System32" *


* Suppression dans "C:\Documents and Settings\Lagadec\locals~1\applic~1" *


* Suppression dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *


* Suppression dans "C:\DOCUME~1\MATHIEU\locals~1\applic~1" *


* Suppression dans "C:\DOCUME~1\PROPRI~1\locals~1\applic~1" *



*** Suppression dossiers dans "C:\WINDOWS" ***

C:\WINDOWS\msskinner ...suppression...
C:\WINDOWS\msskinner supprimé !


*** Suppression dossiers dans "C:\Program Files" ***

C:\Program Files\Mailskinner ...suppression...
C:\Program Files\Mailskinner supprimé !


*** Suppression dossiers dans "c:\docume~1\alluse~1\applic~1" ***


*** Suppression dossiers dans "c:\docume~1\alluse~1\menudÉ~1\progra~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\Lagadec\applic~1" ***


*** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1\applic~1" ***


*** Suppression dossiers dans "C:\DOCUME~1\MATHIEU\applic~1" ***


*** Suppression dossiers dans "C:\DOCUME~1\PROPRI~1\applic~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\Lagadec\locals~1\applic~1" ***


*** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" ***


*** Suppression dossiers dans "C:\DOCUME~1\MATHIEU\locals~1\applic~1" ***


*** Suppression dossiers dans "C:\DOCUME~1\PROPRI~1\locals~1\applic~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\Lagadec\menudm~1\progra~1" ***


*** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1\menudm~1\progra~1" ***


*** Suppression dossiers dans "C:\DOCUME~1\MATHIEU\menudm~1\progra~1" ***


*** Suppression dossiers dans "C:\DOCUME~1\Nathan\menudm~1\progra~1" ***



*** Suppression fichiers ***

C:\WINDOWS\Downloaded Program Files\dhtmlaccess.inf supprimé !
C:\WINDOWS\pack.epk supprimé !
C:\WINDOWS\system32\nvs2.inf supprimé !

*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Lagadec\locals~1\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

2)Recherche, création sauvegardes et suppression Heuristique :


* Dans "C:\WINDOWS\system32" *

auwcvzby.dat trouvé !
Copie auwcvzby.dat réalisée avec succès !
auwcvzby.dat supprimé !

hyglwoe.dat trouvé !
Copie hyglwoe.dat réalisée avec succès !
hyglwoe.dat supprimé !

auwcvzby_nav.dat trouvé !
Copie auwcvzby_nav.dat réalisée avec succès !
auwcvzby_nav.dat supprimé !

hyglwoe_nav.dat trouvé !
Copie hyglwoe_nav.dat réalisée avec succès !
hyglwoe_nav.dat supprimé !

auwcvzby_navps.dat trouvé !
Copie auwcvzby_navps.dat réalisée avec succès !
auwcvzby_navps.dat supprimé !

hyglwoe_navps.dat trouvé !
Copie hyglwoe_navps.dat réalisée avec succès !
hyglwoe_navps.dat supprimé !


* Dans "C:\Documents and Settings\Lagadec\locals~1\applic~1" *


* Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *


* Dans "C:\DOCUME~1\MATHIEU\locals~1\applic~1" *


* Dans "C:\DOCUME~1\PROPRI~1\locals~1\applic~1" *


*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok


*** Certificats ***

Certificat Egroup supprimé !
Certificat Electronic-Group absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltdt absent !

*** Nettoyage terminé le 02/05/2008 à 18:59:00,48 ***

je lance clean.zip (option 2) en mode sans echec
@+

bon, ça y est j'ai réussi : 1- à me mettre en mode sans échec - 2- a lancer le scan (j'avoue que j'ai eu quelques soucis avec le mode "sans échec", une fois ça plantait, une fois ça bloquait .... enfin bref, voili voili voilou le résultat :

par contre, j'ai 2 fichiers clean sous C: (en date du 02/05/2008), à quelques minutes d'intervalle
je ne sais lequel sera nécessaire, aussi j'envoie les deux en copie par ordre d'heure



FICHIER SOUS C: 18H59 :

Clean Navipromo version 3.5.5 commencé le 02/05/2008 à 18:44:50,70

Outil exécuté depuis C:\Program Files\navilog1
Session actuelle : "Lagadec"

Mise à jour le 29.04.2008 à 20h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.11
Système de fichiers : NTFS

Mode suppression automatique
avec prise en charge résultats Catchme et GNS



*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)


*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans "C:\WINDOWS\System32" *


* Suppression dans "C:\Documents and Settings\Lagadec\locals~1\applic~1" *


* Suppression dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *


* Suppression dans "C:\DOCUME~1\MATHIEU\locals~1\applic~1" *


* Suppression dans "C:\DOCUME~1\PROPRI~1\locals~1\applic~1" *



*** Suppression dossiers dans "C:\WINDOWS" ***

C:\WINDOWS\msskinner ...suppression...
C:\WINDOWS\msskinner supprimé !


*** Suppression dossiers dans "C:\Program Files" ***

C:\Program Files\Mailskinner ...suppression...
C:\Program Files\Mailskinner supprimé !


*** Suppression dossiers dans "c:\docume~1\alluse~1\applic~1" ***


*** Suppression dossiers dans "c:\docume~1\alluse~1\menudÉ~1\progra~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\Lagadec\applic~1" ***


*** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1\applic~1" ***


*** Suppression dossiers dans "C:\DOCUME~1\MATHIEU\applic~1" ***


*** Suppression dossiers dans "C:\DOCUME~1\PROPRI~1\applic~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\Lagadec\locals~1\applic~1" ***


*** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" ***


*** Suppression dossiers dans "C:\DOCUME~1\MATHIEU\locals~1\applic~1" ***


*** Suppression dossiers dans "C:\DOCUME~1\PROPRI~1\locals~1\applic~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\Lagadec\menudm~1\progra~1" ***


*** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1\menudm~1\progra~1" ***


*** Suppression dossiers dans "C:\DOCUME~1\MATHIEU\menudm~1\progra~1" ***


*** Suppression dossiers dans "C:\DOCUME~1\Nathan\menudm~1\progra~1" ***



*** Suppression fichiers ***

C:\WINDOWS\Downloaded Program Files\dhtmlaccess.inf supprimé !
C:\WINDOWS\pack.epk supprimé !
C:\WINDOWS\system32\nvs2.inf supprimé !

*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Lagadec\locals~1\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

2)Recherche, création sauvegardes et suppression Heuristique :


* Dans "C:\WINDOWS\system32" *

auwcvzby.dat trouvé !
Copie auwcvzby.dat réalisée avec succès !
auwcvzby.dat supprimé !

hyglwoe.dat trouvé !
Copie hyglwoe.dat réalisée avec succès !
hyglwoe.dat supprimé !

auwcvzby_nav.dat trouvé !
Copie auwcvzby_nav.dat réalisée avec succès !
auwcvzby_nav.dat supprimé !

hyglwoe_nav.dat trouvé !
Copie hyglwoe_nav.dat réalisée avec succès !
hyglwoe_nav.dat supprimé !

auwcvzby_navps.dat trouvé !
Copie auwcvzby_navps.dat réalisée avec succès !
auwcvzby_navps.dat supprimé !

hyglwoe_navps.dat trouvé !
Copie hyglwoe_navps.dat réalisée avec succès !
hyglwoe_navps.dat supprimé !


* Dans "C:\Documents and Settings\Lagadec\locals~1\applic~1" *


* Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *


* Dans "C:\DOCUME~1\MATHIEU\locals~1\applic~1" *


* Dans "C:\DOCUME~1\PROPRI~1\locals~1\applic~1" *


*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok


*** Certificats ***

Certificat Egroup supprimé !
Certificat Electronic-Group absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltdt absent !

*** Nettoyage terminé le 02/05/2008 à 18:59:00,48 ***





LE DEUXIEME , fichier sous C: 19H49

Script execute en mode sans echec
Rapport clean par Malekal_morte - http://www.malekal.com
Script execute en mode sans echec 02/05/2008 a 19:48:51,71

Microsoft Windows XP [version 5.1.2600]

*** Suppression des fichiers dans C:

*** Suppression des fichiers dans C:\WINDOWS\
tentative de suppression de C:\WINDOWS\pp.exe

*** Suppression des fichiers dans C:\WINDOWS\system32

*** Suppression des fichiers dans C:\Program Files
tentative de suppression de "C:\Program Files\Adverts\"

*** Suppression des clefs du registre effectuee..


(alors docteur, qu'est-ce qu'il se passe ?)


@+

bonjour,
bon voilà le rapport malwarebytes
et à suivre le rapport hijack que j'ai fait à suivre (en mode sans échec) comme convenu :

Malwarebytes' Anti-Malware 1.11
Version de la base de données: 599

Type de recherche: Examen complet (C:\|)
Eléments examinés: 250251
Temps écoulé: 3 hour(s), 52 minute(s), 6 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 11
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 7

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\WINDOWS\system32\rqRJApMg.dll (Trojan.Vundo) -> No action taken.

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{f1c9b175-56d1-4d10-a878-2472854ff42d} (Trojan.Vundo) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{f1c9b175-56d1-4d10-a878-2472854ff42d} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\affltid (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\rdfa (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affltid (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\rqrjapmg -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\rqrjapmg -> No action taken.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\dyujevuk.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\kuvejuyd.ini (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\rqRJApMg.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\gMpAJRqr.ini (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\gMpAJRqr.ini2 (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\pac.txt (Malware.Trace) -> No action taken.
C:\Documents and Settings\MATHIEU\Local Settings\Temp\cd1B.tmp (Heuristics.Malware) -> No action taken.


et donc, rapport hijack :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:44:30, on 03/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Documents and Settings\Lagadec\Bureau\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = https://support.microsoft.com/en-US/topic/internet-explorer-downloads-d49e1f0d-571c-9a7b-d97e-be248806ca70
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\Orange\SearchURLHook\SearchPageURL.dll
O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar6.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ORAHSSSessionManager] C:\Program Files\Orange\SessionManager\SessionManager.exe
O4 - HKLM\..\Run: [SystrayORAHSS] "C:\Program Files\Orange\Systray\SystrayApp.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Documents and Settings\Morgane\Mes documents\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [OM_Monitor] C:\Program Files\OLYMPUS\OLYMPUS Master\FirstStart.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ACTIVBOARD] C:\Apps\ActivBoard\MMKeybd.exe
O4 - HKLM\..\Run: [mmtask] "C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe"
O4 - HKLM\..\Run: [MMTray] "C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe"
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [YeppStudioAgent] C:\Program Files\Samsung\Samsung Media Studio\SamsungMediaStudioAgent.exe
O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [AnumanLive] C:\Documents and Settings\Lagadec\Application Data\Anuman Interactive\AnumanLive\AnumanLive.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [OM_Monitor] C:\Program Files\OLYMPUS\OLYMPUS Master\Monitor.exe
O4 - HKCU\..\Run: [Update Service] C:\PROGRA~1\FICHIE~1\TEKNUM~1\update.exe /startup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\Money Express.exe"
O4 - HKUS\S-1-5-18\..\Run: [Nokia.PCSync] C:\Documents and Settings\Morgane\Mes documents\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Nokia.PCSync] C:\Documents and Settings\Morgane\Mes documents\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: FotoStation Easy AutoLaunch.lnk = ?
O4 - Global Startup: NkvMon.exe.lnk = C:\Program Files\Nikon\NkView5\NkvMon.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=https://www.orange.fr/portail
O15 - Trusted Zone: https://www.orange.fr/portail
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {084DAC27-6FA3-4F55-9005-033F2F102F5C} (ITPPDiagIE Class) - http://images.goa.com/v3/InstallGoaIT/Itpp/V2,0,1,6/npwwg.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {86EEF11E-FF16-48CE-B1A2-474B663041A9} - http://11731.kit.carpediem.fr/FanParis.exe
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {FD40EC41-D860-4579-8BA4-52671A45C71C} (AxHtChat Class) - http://images.goa.com/v3/InstallGoaIT/ChatAx/V4,0,5,4/npaxchat.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Apps\ActivBoard\nhksrv.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

bon, j'ai fait les manip'
j'ai terminé par combofix
il s'est mis en route, à scanné, puis il a redémarré tout seul le système, mais ça fait plus d'un quart d'heure qu'il est sur le démarrage de windows xp (écran noir avec le logo de windows xp avec la barre défilante bleue)

c'est normal ça ??? ça m'inquiète

(je t'envoie ce message d'un autre pc)

rassures moi, c'est normal ????

bon, j'ai redémarré,

RAPPORT VUNDOFIX :

VundoFix V7.0.3

Scan started at 14:06:06 03/05/2008

Listing files found while scanning....

No infected files were found.


Beginning removal...


RAPPORT VIRTUMOND :


[05/03/2008, 14:45:03] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\Lagadec\Bureau\VirtumundoBeGone.exe" )
[05/03/2008, 14:46:11] - Detected System Information:
[05/03/2008, 14:46:11] - Windows Version: 5.1.2600, Service Pack 2
[05/03/2008, 14:46:12] - Current Username: Lagadec (Admin)
[05/03/2008, 14:46:12] - Windows is in NORMAL mode.
[05/03/2008, 14:46:12] - Searching for Browser Helper Objects:
[05/03/2008, 14:46:12] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)
[05/03/2008, 14:46:12] - BHO 2: {53707962-6F74-2D53-2644-206D7942484F} ()
[05/03/2008, 14:46:12] - WARNING: BHO has no default name. Checking for Winlogon reference.
[05/03/2008, 14:46:12] - Checking for HKLM\...\Winlogon\Notify\SDHelper
[05/03/2008, 14:46:12] - Key not found: HKLM\...\Winlogon\Notify\SDHelper, continuing.
[05/03/2008, 14:46:12] - BHO 3: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[05/03/2008, 14:46:12] - BHO 4: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Programme d'aide de l'Assistant de connexion Windows Live)
[05/03/2008, 14:46:12] - BHO 5: {AA58ED58-01DD-4d91-8333-CF10577473F7} (Google Toolbar Helper)
[05/03/2008, 14:46:12] - BHO 6: {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} (Google Toolbar Notifier BHO)
[05/03/2008, 14:46:12] - BHO 7: {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} (Windows Live Toolbar Helper)
[05/03/2008, 14:46:12] - BHO 8: {D2376FB3-3D0D-414D-83AA-3AD6AD6B111F} ()
[05/03/2008, 14:46:12] - WARNING: BHO has no default name. Checking for Winlogon reference.
[05/03/2008, 14:46:12] - Checking for HKLM\...\Winlogon\Notify\urqQgfCu
[05/03/2008, 14:46:12] - Found: HKLM\...\Winlogon\Notify\urqQgfCu - This is probably Virtumundo.
[05/03/2008, 14:46:12] - Assigning {D2376FB3-3D0D-414D-83AA-3AD6AD6B111F} MSEvents Object
[05/03/2008, 14:46:12] - BHO list has been changed! Starting over...
[05/03/2008, 14:46:12] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)
[05/03/2008, 14:46:12] - BHO 2: {53707962-6F74-2D53-2644-206D7942484F} ()
[05/03/2008, 14:46:12] - WARNING: BHO has no default name. Checking for Winlogon reference.
[05/03/2008, 14:46:12] - Checking for HKLM\...\Winlogon\Notify\SDHelper
[05/03/2008, 14:46:13] - Key not found: HKLM\...\Winlogon\Notify\SDHelper, continuing.
[05/03/2008, 14:46:13] - BHO 3: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[05/03/2008, 14:46:13] - BHO 4: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Programme d'aide de l'Assistant de connexion Windows Live)
[05/03/2008, 14:46:13] - BHO 5: {AA58ED58-01DD-4d91-8333-CF10577473F7} (Google Toolbar Helper)
[05/03/2008, 14:46:13] - BHO 6: {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} (Google Toolbar Notifier BHO)
[05/03/2008, 14:46:13] - BHO 7: {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} (Windows Live Toolbar Helper)
[05/03/2008, 14:46:13] - BHO 8: {D2376FB3-3D0D-414D-83AA-3AD6AD6B111F} (MSEvents Object)
[05/03/2008, 14:46:13] - ALERT: Found MSEvents Object!
[05/03/2008, 14:46:13] - BHO 9: {F9616FBC-6716-4F10-B6AB-9FA4E780DDA0} ()
[05/03/2008, 14:46:13] - WARNING: BHO has no default name. Checking for Winlogon reference.
[05/03/2008, 14:46:13] - Checking for HKLM\...\Winlogon\Notify\rqRJApMg
[05/03/2008, 14:46:13] - Key not found: HKLM\...\Winlogon\Notify\rqRJApMg, continuing.
[05/03/2008, 14:46:13] - Finished Searching Browser Helper Objects
[05/03/2008, 14:46:13] - *** Detected MSEvents Object
[05/03/2008, 14:46:13] - Trying to remove MSEvents Object...
[05/03/2008, 14:46:14] - Terminating Process: IEXPLORE.EXE
[05/03/2008, 14:46:15] - Terminating Process: RUNDLL32.EXE
[05/03/2008, 14:46:15] - Disabling Automatic Shell Restart
[05/03/2008, 14:46:15] - Terminating Process: EXPLORER.EXE
[05/03/2008, 14:46:16] - Suspending the NT Session Manager System Service
[05/03/2008, 14:46:16] - Terminating Windows NT Logon/Logoff Manager
[05/03/2008, 14:46:18] - Re-enabling Automatic Shell Restart
[05/03/2008, 14:46:18] - File to disable: C:\WINDOWS\system32\urqQgfCu.dll
[05/03/2008, 14:46:18] - Renaming C:\WINDOWS\system32\urqQgfCu.dll -> C:\WINDOWS\system32\urqQgfCu.dll.vir
[05/03/2008, 14:46:26] - File successfully renamed!
[05/03/2008, 14:46:26] - Removing HKLM\...\Browser Helper Objects\{D2376FB3-3D0D-414D-83AA-3AD6AD6B111F}
[05/03/2008, 14:46:26] - Removing HKCR\CLSID\{D2376FB3-3D0D-414D-83AA-3AD6AD6B111F}
[05/03/2008, 14:46:26] - Adding Kill Bit for ActiveX for GUID: {D2376FB3-3D0D-414D-83AA-3AD6AD6B111F}
[05/03/2008, 14:46:26] - Deleting ATLEvents/MSEvents Registry entries
[05/03/2008, 14:46:26] - Removing HKLM\...\Winlogon\Notify\urqQgfCu
[05/03/2008, 14:46:27] - Searching for Browser Helper Objects:
[05/03/2008, 14:46:27] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)
[05/03/2008, 14:46:27] - BHO 2: {53707962-6F74-2D53-2644-206D7942484F} ()
[05/03/2008, 14:46:27] - WARNING: BHO has no default name. Checking for Winlogon reference.
[05/03/2008, 14:46:27] - Checking for HKLM\...\Winlogon\Notify\SDHelper
[05/03/2008, 14:46:27] - Key not found: HKLM\...\Winlogon\Notify\SDHelper, continuing.
[05/03/2008, 14:46:27] - BHO 3: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[05/03/2008, 14:46:27] - BHO 4: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Programme d'aide de l'Assistant de connexion Windows Live)
[05/03/2008, 14:46:27] - BHO 5: {AA58ED58-01DD-4d91-8333-CF10577473F7} (Google Toolbar Helper)
[05/03/2008, 14:46:27] - BHO 6: {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} (Google Toolbar Notifier BHO)
[05/03/2008, 14:46:27] - BHO 7: {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} (Windows Live Toolbar Helper)
[05/03/2008, 14:46:27] - BHO 8: {F9616FBC-6716-4F10-B6AB-9FA4E780DDA0} ()
[05/03/2008, 14:46:27] - WARNING: BHO has no default name. Checking for Winlogon reference.
[05/03/2008, 14:46:28] - Checking for HKLM\...\Winlogon\Notify\rqRJApMg
[05/03/2008, 14:46:28] - Key not found: HKLM\...\Winlogon\Notify\rqRJApMg, continuing.
[05/03/2008, 14:46:28] - Finished Searching Browser Helper Objects
[05/03/2008, 14:46:28] - Finishing up...
[05/03/2008, 14:46:28] - A restart is needed.
[05/03/2008, 14:46:52] - Attempting to Restart via STOP error (Blue Screen!)

apparemment je n'ai pas de rapport de COMBOFIX

ok, j'ai trouvé ça :


ComboFix 08-05-01.3 - Lagadec 2008-05-03 15:03:10.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.441 [GMT 2:00]
Endroit: C:\Documents and Settings\Lagadec\Bureau\ComboFix.exe
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.



c'est tout

je ne comprends pas "tu l'as passé 3 fois combofix " ? je ne l'ai lancé qu'une fois

sinon j'ai trouvé un autre fichier .txt dans dossier combofix ("pend.txt" )je te colle le contenu :

.:\\(0!|0\\0)
C:\\WINDOWS\\system32\\(\\|0!|0\\0)
C:\\WINDOWS\\system32\\config\\(\\|0!|0\\0)
C:\\WINDOWS\\system32\\csrss.exe\\(0!|0\\0)
C:\\WINDOWS\\system32\\drivers\\(\\|0!|0\\0)
C:\\WINDOWS\\system32\\hal.dll\\(0!|0\\0)
C:\\WINDOWS\\system32\\lsass.exe\\(0!|0\\0)
C:\\WINDOWS\\system32\\ntdll.dll\\(0!|0\\0)
C:\\WINDOWS\\system32\\services.exe\\(0!|0\\0)
C:\\WINDOWS\\system32\\smss.exe\\(0!|0\\0)
C:\\WINDOWS\\system32\\svchost.exe\\(0!|0\\0)
C:\\WINDOWS\\system32\\userinit.exe\\(0!|0\\0)
C:\\WINDOWS\\system32\\wbem\\(\\|0!|0\\0)
C:\\WINDOWS\\system32\\winlogon.exe\\(0!|0\\0)
C:\\boot.ini\\(0!|0\\0)
C:\\ntdetect.com\\(0!|0\\0)
C:\\ntldr\\(0!|0\\0)
C:\\WINDOWS\\(\\|0!|0\\0)
C:\\WINDOWS\\explorer.exe\\(0!|0\\0)


est-ce que ça t'aide ?
sinon, il y a un sous dossier("test") dans le dossier combofix, mais il est vide

bonjour,
mon, ça a scanné
j'ai eu deux rapports (main.txt et extra.txt)

(par contre à la fin du scan, il ne m'a pas demandé "ok", il a juste ouvert les deux fenêtres des rapports)

ci-dessous :

Deckard's System Scanner v20071014.68
Run by Lagadec on 2008-05-04 12:51:04
Computer is in Normal Mode.
--------------------------------------------------------------------------------

-- System Restore --------------------------------------------------------------

Successfully created a Deckard's System Scanner Restore Point.


-- Last 3 Restore Point(s) --
3: 2008-05-04 10:51:30 UTC - RP3 - Deckard's System Scanner Restore Point
2: 2008-05-03 13:01:18 UTC - RP2 - ComboFix created restore point
1: 2008-05-01 20:49:42 UTC - RP1 - Point de vérification système


Backed up registry hives.
Performed disk cleanup.



-- HijackThis (run as Lagadec.exe) ---------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:53, on 2008-05-04
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Apps\ActivBoard\nhksrv.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Orange\Systray\SystrayApp.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
C:\Program Files\QuickTime\qttask.exe
C:\Apps\ActivBoard\MMKeybd.exe
C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Program Files\Microsoft Hardware\Mouse\point32.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
C:\Program Files\Samsung\Samsung Media Studio\SamsungMediaStudioAgent.exe
C:\Apps\ActivBoard\TrayMon.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\Documents and Settings\Lagadec\Application Data\Anuman Interactive\AnumanLive\AnumanLive.exe
C:\Apps\ActivBoard\OSD.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\OLYMPUS\OLYMPUS Master\Monitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\FotoStation Easy\FotoStation Easy AutoLaunch.exe
C:\Program Files\Nikon\NkView5\NkvMon.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
C:\Documents and Settings\Lagadec\Bureau\dss.exe
C:\DOCUME~1\Lagadec\Bureau\Lagadec.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = https://support.microsoft.com/en-US/topic/internet-explorer-downloads-d49e1f0d-571c-9a7b-d97e-be248806ca70
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\Orange\SearchURLHook\SearchPageURL.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5EB7F18E-C8D0-435D-899C-08EB048293F7} - C:\WINDOWS\system32\rqRJApMg.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar6.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\3.0.1225.9868\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll (file missing)
O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar6.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ORAHSSSessionManager] C:\Program Files\Orange\SessionManager\SessionManager.exe
O4 - HKLM\..\Run: [SystrayORAHSS] "C:\Program Files\Orange\Systray\SystrayApp.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Documents and Settings\Morgane\Mes documents\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [OM_Monitor] C:\Program Files\OLYMPUS\OLYMPUS Master\FirstStart.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ACTIVBOARD] C:\Apps\ActivBoard\MMKeybd.exe
O4 - HKLM\..\Run: [mmtask] "C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe"
O4 - HKLM\..\Run: [MMTray] "C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe"
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [YeppStudioAgent] C:\Program Files\Samsung\Samsung Media Studio\SamsungMediaStudioAgent.exe
O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [AnumanLive] C:\Documents and Settings\Lagadec\Application Data\Anuman Interactive\AnumanLive\AnumanLive.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [OM_Monitor] C:\Program Files\OLYMPUS\OLYMPUS Master\Monitor.exe
O4 - HKCU\..\Run: [Update Service] C:\PROGRA~1\FICHIE~1\TEKNUM~1\update.exe /startup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\Money Express.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-18\..\Run: [Nokia.PCSync] C:\Documents and Settings\Morgane\Mes documents\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Nokia.PCSync] C:\Documents and Settings\Morgane\Mes documents\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: FotoStation Easy AutoLaunch.lnk = ?
O4 - Global Startup: NkvMon.exe.lnk = C:\Program Files\Nikon\NkView5\NkvMon.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=https://www.orange.fr/portail
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {084DAC27-6FA3-4F55-9005-033F2F102F5C} (ITPPDiagIE Class) - http://images.goa.com/v3/InstallGoaIT/Itpp/V2,0,1,6/npwwg.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {86EEF11E-FF16-48CE-B1A2-474B663041A9} - http://11731.kit.carpediem.fr/FanParis.exe
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {FD40EC41-D860-4579-8BA4-52671A45C71C} (AxHtChat Class) - http://images.goa.com/v3/InstallGoaIT/ChatAx/V4,0,5,4/npaxchat.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Apps\ActivBoard\nhksrv.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

oups, j'ai été voir dans C: et ouvert dossier deckart, il y a un autre fichier .txt (moved.txt), je te le joins, je ne sais pas si ça te sert :


Directories/Files moved to C:\Deckard\System Scanner\backup

2008-05-03 15:03:16 72 --a------ C:\DOCUME~1\Lagadec\LOCALS~1\Temp\Av-test.txt
2001-04-11 22:29:18 340866 -ra------ C:\DOCUME~1\Lagadec\LOCALS~1\Temp\IEC95.tmp
2001-04-11 22:29:18 340866 -ra------ C:\DOCUME~1\Lagadec\LOCALS~1\Temp\IEC96.tmp
2001-04-11 12:29:16 340866 -ra------ C:\DOCUME~1\Lagadec\LOCALS~1\Temp\IECB.tmp
2008-05-03 13:53:10 147456 --a------ C:\DOCUME~1\Lagadec\LOCALS~1\Temp\j003f03y.exe <Not Verified; Atribune.org; VundoFix>
2008-05-04 12:48:46 1573 --a------ C:\DOCUME~1\Lagadec\LOCALS~1\Temp\jusched.log
2008-05-03 11:56:42 2752583 --a------ C:\DOCUME~1\Lagadec\LOCALS~1\Temp\l60go5xh.exe <Not Verified; Piriform Ltd; CCleaner>
2008-05-03 20:37:06 25600 --a------ C:\DOCUME~1\Lagadec\LOCALS~1\Temp\mqfxqp4i.doc
2008-05-03 12:01:19 2897456 --a------ C:\DOCUME~1\Lagadec\LOCALS~1\Temp\nduqdhj9.exe <Verified; Piriform Ltd; CCleaner>
2002-05-08 18:50:18 45056 --a------ C:\DOCUME~1\Lagadec\LOCALS~1\Temp\nss31.tmp <Not Verified; Microsoft Corporation; Microsoft® Windows® Operating System>
2005-10-13 05:38:10 53248 --a------ C:\DOCUME~1\Lagadec\LOCALS~1\Temp\nss32.tmp <Not Verified; http://www.beyondlogic.org; Command Line Process Utility>
2008-05-03 12:11:23 2897456 --a------ C:\DOCUME~1\Lagadec\LOCALS~1\Temp\plyfaffp.exe <Verified; Piriform Ltd; CCleaner>
2008-05-02 23:39:31 1496 --a------ C:\DOCUME~1\Lagadec\LOCALS~1\Temp\wmplog00.sqm
2008-05-02 23:53:49 1484 --a------ C:\DOCUME~1\Lagadec\LOCALS~1\Temp\wmplog01.sqm
2008-05-02 23:59:59 1360 --a------ C:\DOCUME~1\Lagadec\LOCALS~1\Temp\wmplog02.sqm
2008-05-04 12:43:33 0 d-------- C:\DOCUME~1\Lagadec\LOCALS~1\Temp\WPDNSE
2008-05-03 12:51:07 0 d-------- C:\DOCUME~1\Lagadec\LOCALS~1\Temp\_avast4_
2007-01-20 04:46:42 455600 -ra------ C:\DOCUME~1\Lagadec\LOCALS~1\Temp\_is19.exe <Verified; Macrovision Corporation; InstallShield>
2007-01-20 05:46:42 455600 -ra------ C:\DOCUME~1\Lagadec\LOCALS~1\Temp\_isC.exe <Verified; Macrovision Corporation; InstallShield>
2007-01-20 05:46:42 455600 -ra------ C:\DOCUME~1\Lagadec\LOCALS~1\Temp\_isD.exe <Verified; Macrovision Corporation; InstallShield>
2008-05-03 05:11:24 16384 --a------ C:\DOCUME~1\Lagadec\LOCALS~1\Temp\~DF138D.tmp
2008-05-02 20:02:55 16384 --a------ C:\DOCUME~1\Lagadec\LOCALS~1\Temp\~DF1682.tmp
2008-05-02 20:02:32 131072 --a------ C:\DOCUME~1\Lagadec\LOCALS~1\Temp\~DF1712.tmp
2008-05-03 11:51:54 16384 --a------ C:\DOCUME~1\Lagadec\LOCALS~1\Temp\~DF1C44.tmp
2008-05-03 05:10:59 131072 --a------ C:\DOCUME~1\Lagadec\LOCALS~1\Temp\~DF1C7C.tmp
2008-05-02 19:00:39 131072 --a------ C:\DOCUME~1\Lagadec\LOCALS~1\Temp\~DF2FD7.tmp
2008-05-03 18:08:17 49152 --a------ C:\DOCUME~1\Lagadec\LOCALS~1\Temp\~DF3606.tmp
2008-05-02 19:01:11 16384 --a------ C:\DOCUME~1\Lagadec\LOCALS~1\Temp\~DF3CAC.tmp
2008-05-02 19:32:39 131072 --a------ C:\DOCUME~1\Lagadec\LOCALS~1\Temp\~DF513E.tmp
2008-05-03 11:54:28 49152 --a------ C:\DOCUME~1\Lagadec\LOCALS~1\Temp\~DF6F44.tmp
2008-05-03 12:52:24 131072 --a------ C:\DOCUME~1\Lagadec\LOCALS~1\Temp\~DF8251.tmp
2008-05-02 19:42:34 131072 --a------ C:\DOCUME~1\Lagadec\LOCALS~1\Temp\~DF83CA.tmp
2008-05-02 21:00:02 16384 --a------ C:\DOCUME~1\Lagadec\LOCALS~1\Temp\~DF8DC7.tmp
2008-05-03 14:46:22 49152 --a------ C:\DOCUME~1\Lagadec\LOCALS~1\Temp\~DFC267.tmp
2008-05-03 11:51:26 131072 --a------ C:\DOCUME~1\Lagadec\LOCALS~1\Temp\~DFCDF9.tmp
2008-05-02 19:33:04 16384 --a------ C:\DOCUME~1\Lagadec\LOCALS~1\Temp\~DFD167.tmp
2008-05-03 15:57:59 131072 --a------ C:\DOCUME~1\Lagadec\LOCALS~1\Temp\~DFD3BD.tmp
2008-05-03 12:52:58 16384 --a------ C:\DOCUME~1\Lagadec\LOCALS~1\Temp\~DFDC9B.tmp
2008-05-02 21:33:08 16384 --a------ C:\DOCUME~1\Lagadec\LOCALS~1\Temp\~DFED0.tmp
2008-05-03 15:58:30 16384 --a------ C:\DOCUME~1\Lagadec\LOCALS~1\Temp\~DFEFD4.tmp
2008-05-02 21:32:45 131072 --a------ C:\DOCUME~1\Lagadec\LOCALS~1\Temp\~DFF147.tmp
2000-10-06 02:01:04 339565 -ra------ C:\WINDOWS\temp\IEC2D0.tmp
2000-10-06 02:01:04 339565 -ra----c- C:\WINDOWS\temp\IEC3.tmp
2008-05-03 12:47:07 16384 --a-----t C:\WINDOWS\temp\Perflib_Perfdata_574.dat
2008-05-04 11:24:04 16384 --a-----t C:\WINDOWS\temp\Perflib_Perfdata_578.dat
2008-05-03 11:48:39 16384 --a-----t C:\WINDOWS\temp\Perflib_Perfdata_588.dat
2008-05-04 11:35:12 255 --a------ C:\WINDOWS\temp\WGAErrLog.txt
2008-05-04 11:35:20 409 --a------ C:\WINDOWS\temp\WGANotify.settings
2003-05-29 16:00:20 160864 --a------ C:\WINDOWS\Downloaded Program Files\messengerstatsclient.dll <Verified; Microsoft Corporation; MSN® Games by Zone.com>
2004-04-06 20:03:54 172072 --a------ C:\WINDOWS\Downloaded Program Files\MessengerStatsPAClient.dll <Not Verified; Microsoft Corporation; MSN® Games by Zone.com>
2003-05-29 15:00:22 84064 --a------ C:\WINDOWS\Downloaded Program Files\minesweeper.dll <Verified; Microsoft Corporation; MSN® Games by Zone.com>
2003-05-29 16:00:18 77408 --a------ C:\WINDOWS\Downloaded Program Files\msgrchkr.dll <Verified; Microsoft Corporation; MSN® Games by Zone.com>
2002-11-07 11:43:20 653312 --a------ C:\WINDOWS\Downloaded Program Files\npchatg.dll <Not Verified; TimSoft (www.timsoft.com); nPaXChat>
2002-08-29 14:06:02 298712 --a------ C:\WINDOWS\Downloaded Program Files\npwwg.dll <Verified; Winwise; InstantTouch>
2004-11-05 16:58:20 119496 --a------ C:\WINDOWS\Downloaded Program Files\MsnMessengerSetupDownloader.ocx <Verified; Microsoft Corporation; MsnMessengerSetupDownloader>
2004-11-17 23:44:52 114728 --a------ C:\WINDOWS\Downloaded Program Files\ZIntro.ocx <Not Verified; Microsoft Corporation; MSN® Games by Zone.com>

-*- End of Logfile -*-

bon, alors j'ai fait le scan avec OTmoveIt,
pour info :
à la fin, j'ai eu plein de fenêtre qui se sont ouvertes :
avast à détecté win32, (j'ai cliqué sur "ne rien faire" puisque qu'il ne veut pas le mettre en quarantaine), puis spybot a ouvert une fenêtre avec le message suivant "spybot à décelé qu'un élément important du registre à été modifié - catégorie : system startup blogal entry - modif: valeur ajoutée - élément : OTscanlt - Nouvelle valeur : C:\documents and setting\lagadec\bureau\OTmoveIt2.exe
J'ai accepté la modif (j'ai bien fait ???)

puis un autre message sur une fenêtre "acces violation at adress .. puis avant que j'ai eu le temps de tout lire, le système à redémarré.

bon ensuite j'ai lancé ATF cleaner
message à la fin de la manip "main" : done cleaning!! ATF cleaner has freed 2.000.184 MBs
message à la fin de la manip "firefox" : done cleaning!!! ATF cleaner has freed 216.000 KBs

bon, ci-dessous rapport de OTmoveIt :

LoadLibrary failed for C:\WINDOWS\system32\ldkymjhk.dll
C:\WINDOWS\system32\ldkymjhk.dll NOT unregistered.
C:\WINDOWS\system32\ldkymjhk.dll moved successfully.
LoadLibrary failed for C:\WINDOWS\system32\dyujevuk.dll
C:\WINDOWS\system32\dyujevuk.dll NOT unregistered.
C:\WINDOWS\system32\dyujevuk.dll moved successfully.
LoadLibrary failed for C:\WINDOWS\system32\fidaphiy.dll
C:\WINDOWS\system32\fidaphiy.dll NOT unregistered.
File move failed. C:\WINDOWS\system32\fidaphiy.dll scheduled to be moved on reboot.
C:\WINDOWS\system32\gMpAJRqr.ini2 moved successfully.
LoadLibrary failed for C:\WINDOWS\system32\rqRJApMg.dll
C:\WINDOWS\system32\rqRJApMg.dll NOT unregistered.
File move failed. C:\WINDOWS\system32\rqRJApMg.dll scheduled to be moved on reboot.
C:\WINDOWS\system32\pnVes05 moved successfully.
< EmptyTemp >
File delete failed. C:\DOCUME~1\Lagadec\LOCALS~1\Temp\~DF875D.tmp scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\Lagadec\LOCALS~1\Temp\~DFE94F.tmp scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_57c.dat scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS\temp\_avast4_\Webshlock.txt scheduled to be deleted on reboot.
Temp folders emptied.
IE temp folders emptied.

OTMoveIt2 by OldTimer - Version 1.0.4.1 log created on 05042008_203056

Files moved on Reboot...
File C:\WINDOWS\system32\fidaphiy.dll not found!
LoadLibrary failed for C:\WINDOWS\system32\rqRJApMg.dll
C:\WINDOWS\system32\rqRJApMg.dll NOT unregistered.
File move failed. C:\WINDOWS\system32\rqRJApMg.dll scheduled to be moved on reboot.
C:\DOCUME~1\Lagadec\LOCALS~1\Temp\~DF875D.tmp moved successfully.
C:\DOCUME~1\Lagadec\LOCALS~1\Temp\~DFE94F.tmp moved successfully.
File C:\WINDOWS\temp\Perflib_Perfdata_57c.dat not found!
File move failed. C:\WINDOWS\temp\_avast4_\Webshlock.txt scheduled to be moved on reboot.



Maintenant je vais faire le scan (sous I.E.) avec bitdefender
a+
(c'est vraiment une cochonnerie ce trojan ... en tout cas merci pour ton aide et ta patience)

bon voici le rapport BDOSCAN


[General]
App = "BitDefender Online Scanner v8"
Date = 05:05:2008
Time = 00:42:02
Scan Path = A:\;C:\;D:\;R:\;

[Engines Info]
Virus Definitions = 1189394
Engine build = "AVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)"
Scan plugins = 16
Archive plugins = 42
Unpack plugins = 7
E-mail plugins = 6
System plugins = 5

[Scan Statistics]
Folders = 13140
Files = 406336
Archives = 8833
Packed files = 11563
Identified viruses = 8
Infected files = 12
Warnings = 0
Suspect files = 0
Disinfected files = 0
Deleted files = 12
Copied files = 0
Moved files = 0
Renamed files = 0
I/O Errors = 33298

[Scan Settings]
SecondAction = Delete
FirstAction = Disinfect
Heuristics = 1
Enable Warnings = 1
Exclude Ext =
Extensions = *;
Scan Emails = 1
Scan Archives = 1
Scan Packed = 1
Scan Files = 1
Scan Boot = 1
Verify Memory = 0

[Scan Results]
Line00000032 = "C:\Deckard\System Scanner\backup\DOCUME~1\Lagadec\LOCALS~1\Temp\Av-test.txt Infected with: EICAR-Test-File (not a virus)"
Line00000031 = "C:\Deckard\System Scanner\backup\DOCUME~1\Lagadec\LOCALS~1\Temp\Av-test.txt Disinfection failed"
Line00000030 = "C:\Deckard\System Scanner\backup\DOCUME~1\Lagadec\LOCALS~1\Temp\Av-test.txt Deleted"
Line00000029 = "C:\Documents and Settings\MATHIEU\Bureau\Everest Poker.exe Detected with: Adware.Generic.17222"
Line00000028 = "C:\Documents and Settings\MATHIEU\Bureau\Everest Poker.exe Deleted"
Line00000027 = "C:\Program Files\Alwil Software\Avast4\DATA\moved\S_00305_jpg.zip.vir=>www.S_00305_jpg-msn.com Infected with: Backdoor.IrcBot.ABFF"
Line00000026 = "C:\Program Files\Alwil Software\Avast4\DATA\moved\S_00305_jpg.zip.vir=>www.S_00305_jpg-msn.com Deleted"
Line00000025 = "C:\Program Files\Alwil Software\Avast4\DATA\moved\S_00305_jpg.zip.vir Update failed"
Line00000024 = "C:\QooBox\Quarantine\C\WINDOWS\system32\pac.txt.vir Infected with: Trojan.Downloader.VB.VPG"
Line00000023 = "C:\QooBox\Quarantine\C\WINDOWS\system32\pac.txt.vir Deleted"
Line00000022 = "C:\System Volume Information\_restore{C563218A-304B-4932-87D0-324947F95954}\RP1\A0000474.dll Infected with: Trojan.Vundo.EIO"
Line00000021 = "C:\System Volume Information\_restore{C563218A-304B-4932-87D0-324947F95954}\RP1\A0000474.dll Deleted"
Line00000020 = "C:\System Volume Information\_restore{C563218A-304B-4932-87D0-324947F95954}\RP2\A0001500.dll Infected with: Trojan.Vundo.EIR"
Line00000019 = "C:\System Volume Information\_restore{C563218A-304B-4932-87D0-324947F95954}\RP2\A0001500.dll Disinfection failed"
Line00000018 = "C:\System Volume Information\_restore{C563218A-304B-4932-87D0-324947F95954}\RP2\A0001500.dll Deleted"
Line00000017 = "C:\System Volume Information\_restore{C563218A-304B-4932-87D0-324947F95954}\RP3\A0003559.exe Detected with: Adware.Generic.17222"
Line00000016 = "C:\System Volume Information\_restore{C563218A-304B-4932-87D0-324947F95954}\RP3\A0003559.exe Deleted"
Line00000015 = "C:\upload_moi_SNCH75000508.tar.gz=>upload_moi.tar=>WINDOWS/System32/ldkymjhk.dll Infected with: Trojan.Vundo.EIY"
Line00000014 = "C:\upload_moi_SNCH75000508.tar.gz=>upload_moi.tar=>WINDOWS/System32/ldkymjhk.dll Deleted"
Line00000013 = "C:\upload_moi_SNCH75000508.tar.gz=>upload_moi.tar Updated"
Line00000012 = "C:\upload_moi_SNCH75000508.tar.gz=>upload_moi.tar=>WINDOWS/System32/dyujevuk.dll Infected with: Trojan.Vundo.EIV"
Line00000011 = "C:\upload_moi_SNCH75000508.tar.gz=>upload_moi.tar=>WINDOWS/System32/dyujevuk.dll Deleted"
Line00000010 = "C:\upload_moi_SNCH75000508.tar.gz=>upload_moi.tar Updated"
Line00000009 = "C:\upload_moi_SNCH75000508.tar.gz=>upload_moi.tar=>WINDOWS/System32/bktsstlv.dll Infected with: Trojan.Vundo.EIR"
Line00000008 = "C:\upload_moi_SNCH75000508.tar.gz=>upload_moi.tar=>WINDOWS/System32/bktsstlv.dll Deleted"
Line00000007 = "C:\upload_moi_SNCH75000508.tar.gz=>upload_moi.tar Updated"
Line00000006 = "C:\upload_moi_SNCH75000508.tar.gz Updated"
Line00000005 = "C:\_OTMoveIt\MovedFiles\05042008_203056\WINDOWS\system32\dyujevuk.dll Infected with: Trojan.Vundo.EIV"
Line00000004 = "C:\_OTMoveIt\MovedFiles\05042008_203056\WINDOWS\system32\dyujevuk.dll Disinfection failed"
Line00000003 = "C:\_OTMoveIt\MovedFiles\05042008_203056\WINDOWS\system32\dyujevuk.dll Deleted"
Line00000002 = "C:\_OTMoveIt\MovedFiles\05042008_203056\WINDOWS\system32\ldkymjhk.dll Infected with: Trojan.Vundo.EIY"
Line00000001 = "C:\_OTMoveIt\MovedFiles\05042008_203056\WINDOWS\system32\ldkymjhk.dll Disinfection failed"
Line00000000 = "C:\_OTMoveIt\MovedFiles\05042008_203056\WINDOWS\system32\ldkymjhk.dll Deleted"



et le rapport OAD :

2008-05-05 ---- 0:55:41.25

----------------------------------
§§§§§§ [rqRJApMg.dll] §§§§§§
----------------------------------
[X] Registre

-------------- [ ] rapide
-- Fichier --- [ ] disque systeme
------------- [X] complete


********************
[Registre]
********************


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{69630436-9B36-4C78-BE02-12CA38F95480}\InprocServer32]
@="C:\\WINDOWS\\system32\\rqRJApMg.dll"

*******************
[Fichier]
*******************

c:\WINDOWS\system32\rqRJApMg.dll


*********************
[Même date]
*********************

[2008-04-26 ] --- REP ---> C:\Program Files\LimeWire
[2008-04-26 ] ---> C:\WINDOWS\system32\clkcnt.txt
[2008-04-26 ] ---> C:\WINDOWS\system32\gMpAJRqr.ini
[2008-04-26 ] ---> C:\WINDOWS\system32\rqRJApMg.dll



Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§
----------------------------------

bonjour,

Bon, là, je ne suis pas sûr d'avoir tout compris (pour spybot)

"désactive le teatimer" : il s'agit de la protection résident ? (je décoche "protection résident" ???)

ensuite "ouvre le bloc note" : j'ai en effet trouvé un bloc note ("afficher le log") , mais il y a déjà des choses dedans :

2008-05-03 19:11:27 Autorisé(e) (based on authenticode whitelist) value "SpybotSnD" (new data: ""C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" /autocheck") ajouté(e) in System Startup global entry!
2008-05-04 12:47:52 Autorisé(e) (based on user decision) value "SpybotSnD" (new data: "") supprimé(e) in System Startup global entry!
2008-05-04 20:33:34 Autorisé(e) (based on user decision) value "OTScanIt" (new data: "C:\Documents and Settings\Lagadec\Bureau\OTMoveIt2.exe") ajouté(e) in System Startup global entry!
2008-05-04 20:50:44 Autorisé(e) (based on user decision) value "OTScanIt" (new data: "") supprimé(e) in System Startup global entry!
2008-05-05 00:44:21 Refusé(e) (based on user decision) value "First Home Page" (new data: "") supprimé(e) in Browser page!
2008-05-05 00:44:34 Refusé(e) (based on user decision) value "{5D86DDB5-BDF9-441B-9E9E-D4730F4EE499}" (new data: "") ajouté(e) in ActiveX Distribution Unit!

la phrase dont tu parles "REGEDIT4 [ ... " je la colle à la place du texte ci-dessus ou à la suite ???, je tiens compte du retour à la ligne après REGEDIT 4 ??? (et de l'espace entre REGEDIT4 et [HKEY ....)

merci m'indiquer la manip' stp, sinon je risque de faire des bêtise non ?

bon, les manip bloc note, REGEDIT, déconnection, fix.reg ... .... ok

PAR CONTRE :

je ne trouve pas gMpAJRqr.in (ni init.) sous system32

et

rqRJApMg.dll, je le trouve mais quand je fais "supprimer", avast se lance et me demande "mise en quarantaine" ... j'ai essayé mais bien sûr il me met toujours "impossible, cette ressource est utilisée par une autre personne ou un autre programme"

à, au fait, la case "afficher les fichiers et dossiers cachés" était déjà cochée ( ?!)

y a un pb non ?

(avant de me reconnecté et envoyer ce post, j'ai relancé la protection résident, et décoché "afficher dossiers cachés"

what do we do now ???

ouai, j'ai lu, intéressant,
bon j'ai désinstallé avast et téléchargé antivit (v7 ?) via site que tu m'as indiqué (et le lien qu'il proposait)
bref, tout se passe bien, mise à jour et tout ...
sauf que :

1- j'ai des fenêtre spybot (encore ??) qui me mettent :

"modification importante du registre"
catégorie : system startup global entry modifiée
élément : BM87cb8322
ancienne valeur : Rundll32.exe "C.\WINDOWS\System32\Kayfyjco.dll",s
nouvelle valeur : Rundll32.exe "C\WINDOWS\System32\wbivagqi.dll",s

me demande "autoriser modif", ne sachant pas quoi faire j'ai laissé la fenêtre allumée puis redémarrer en mode sans échec pour faire le scan.

en mode sans échec je n'ai pas l'icone antivir dans la barre d'outil en bas à droite (je l'avais en mode normal) je n'est que l'icone antivir.exe sur le bureau et là, pas de possibilité choisir C: pour scanner,
du coup je suis retourné en mode normal pour voir

arrivé sur mon bureau l'icone microsoft (bouclier jaune) se met en rouge et m'informe que version antivir est sans doute perimée ... (?), et j'ai un message d'antivir m'indiquant que ma mise à jour date de + de 3 jours (?) je clique sur antivir et vais voir dans ? pour voir la version : il m'indique que ma version expire dans "26 days" - me demande si je veux faire un update ... je dis oui ... il le fait ..
puis tout d'un coup j'ai des fenêtre antivir qui s'affiche m'informant qu'il trouve des virus (trojan vundo, ...) j'ai cliqué sur mettre en quarantaine.

deplus, je n'ai plus l'icone antivir dans la barre d'outil en bas à droite

qu'est-ce qui se passe ? qu'est-ce que je fais (je suis toujours en mode normal), il continue à me demander de mettre en quarantaine des trucs qu'il trouve (la fenêtre spybot est toujours en place)

qu'est ce qui se passe ? que fais-je ??

ok
c'est vrai que spybot commence à me les briser menues.

je viens de remarquer qu'en fait, que c'est les deux valeurs que spybot m'indique, qui sont systématiquement détecté par antivir (kayfyjco.dll et wbivagqi.dll) .... je m'en doutais

bon, je désactive le résident et me met en mode sans échec pour la manip' du scan

a+